Planning Poker 模板
安全审查优先级排序
在安全发现演变为事故前,按风险优先级进行排序
使用 planning poker 配合风险 Deck,让团队就安全发现的严重性达成一致。安全工程师和开发人员共同投票,能暴露影响可利用性的实现细节;业务代表则评估漏洞的业务影响。同步揭牌可防止资深工程师的初始判断锚定整个团队的评估方向。
Deck 类型
risk
有效期
45 分钟
Team人数
3–8 人
估算焦点
可利用性和业务影响
步骤
- 01列出最近一次审计或渗透测试中的安全发现
- 02简述每条发现:攻击向量、受影响数据、现有控制措施
- 03投票评定风险等级——Low、Medium、High 或 Critical
- 04揭牌后讨论分歧,从可能性与影响两个维度分析
- 05为每条发现指定负责人和目标修复日期
- 06安排跟进确认修复完成情况
何时使用
安全审计、渗透测试或重大架构变更后进行。需要工程团队和安全代表共同参与——不能由单个团队单方面排定优先级。