PCI的需求12.1.2 :指出标准流程是否足够？

Question

PCI DSS第12.1.2项要求公司的安全政策：

12.1.2包括一个年度程序，确定威胁和脆弱性，并进行正式的风险评估。

NIST已经发布了一个风险评估指南，它非常详细，可以用作我们的过程。为了满足这一要求，仅仅指向NIST指南就足够了，还是公司应该开发自己的定制流程(尽管是基于指南)？

Answer 1

一目了然，您所链接的NIST指南描述了在评估中进行的目标和背景，但是没有什么可以指向并说：“我们遵循了这些步骤。”它不提供一个可量化的，可验证的过程，审计师可以确认。

你必须找到另一种资源或者开发自己的资源。