W technologii informacyjnej termin zarządzanie podatnością opisuje proces identyfikacji i zapobiegania potencjalnym zagrożeniom z powodu luk, od naruszenia integralności systemów, interfejsów i danych.Różne organizacje rozbijają proces zarządzania na kilka kroków, a elementy zidentyfikowanego procesu mogą się różnić.Niezależnie od takiej zmienności kroki te zazwyczaj zawierają następujące czynności: definicja polityki, ustanowienie środowiska, ustanowienie priorytetów, działania i czujności.Zgodnie z wykonaniem każdego kroku zapewnia menedżerom technologii informatycznych i analitykom bezpieczeństwa podstawową metodologię, która może skutecznie zidentyfikować zagrożenia i słabości, jednocześnie definiując działania w celu ograniczenia potencjalnych szkód.Obiektywnie proces zarządzania polega na zrozumieniu tych potencjalnych zagrożeń, zanim będą mogli skorzystać z luk w obu systemach i procesach związanych z dostępem do tych systemów lub zawartych w nich danych.

Definicja zasad odnosi się do ustalenia, jakie poziomy bezpieczeństwa są wymagane w odniesieniu do systemów i danych w całej organizacji.Po ustaleniu tych poziomów bezpieczeństwa organizacja będzie musiała następnie określić poziomy dostępu i kontroli zarówno systemów, jak i danych, przy jednoczesnym mapowaniu tych poziomów na potrzeby i hierarchię organizacyjną.Następnie dokładna ocena środowiska bezpieczeństwa na podstawie ustalonych zasad ma kluczowe znaczenie dla skutecznego zarządzania podatnością.Obejmuje to testowanie stanu bezpieczeństwa, dokładną ocenę go, przy jednoczesnym identyfikacji i śledzeniu przypadków naruszenia polityki.

Po identyfikacji luk i zagrożeń proces zarządzania podatnością musi dokładnie ustalić priorytetowe ustalenie działań i stanów bezpieczeństwa.W tym procesie przypisuje czynniki ryzyka dla każdej zidentyfikowanej podatności.Priorytetyzacja tych czynników zgodnie z każdym ryzykiem postawionym dla środowiska technologii informatycznych i organizacji jest niezbędne do zapobiegania katastrofie.Po ustaleniu priorytetów organizacja musi podjąć działania przeciwko tymi lukomu zidentyfikowanym, czy jest to powiązane z usuwaniem kodu, zmianą ustalonych zasad, wzmocnieniem takich zasad, aktualizacją oprogramowania lub instalacji łat bezpieczeństwa.

Dalsze monitorowanie i ciągłe zarządzanie podatnością jest niezbędne dla bezpieczeństwa organizacyjnego, szczególnie dla organizacji, które w dużej mierze opierają się na technologii informatycznej.Nowe luki są prezentowane prawie codziennie z zagrożeniami z różnych źródeł, zarówno wewnętrznie, jak i zewnętrznie starają się wykorzystać systemy informatyczne w celu uzyskania nieautoryzowanego dostępu do danych, a nawet rozpoczęcia ataku.Dlatego dalsze utrzymanie i monitorowanie procesu zarządzania podatnością na zagrożenia ma zasadnicze znaczenie dla ograniczenia potencjalnych szkód od takich zagrożeń i luk.Zarówno zasady, jak i wymagania bezpieczeństwa muszą również ewoluować, aby odzwierciedlić potrzeby organizacyjne, a będzie to wymagało dalszej oceny, aby upewnić się, że oba są dostosowane do potrzeb organizacyjnych i misji organizacji.