Planning Poker範本
安全審查優先排序
按風險優先處理安全問題,在成為事故前解決
使用 planning poker 和風險 deck 來達成團隊對安全發現嚴重性的共識。讓安全工程師和開發人員一起投票,可以揭示影響可利用性的實作細節,同時業務代表評估資安漏洞的影響範圍。同時揭露結果可防止資深工程師過早為小組設定初始評估。
Deck類型
risk
存續時間
45 分鐘
Team 人數
3–8 人
估算焦點
可利用性與業務影響
步驟
- 01列出最近審計或滲透測試的安全發現
- 02總結每個發現:攻擊向量、受影響資料、現有控制措施
- 03投票風險等級——低、中、高或關鍵
- 04揭露並解決分歧,透過討論可能性與影響程度
- 05為每個問題指派負責人與目標修復日期
- 06安排後續追蹤以驗證修復情況
何時使用
安全審計、滲透測試或重大架構變更後。需工程團隊和安全代表一起參與——不要讓單一方面獨自決定優先順序。