根據《網絡產品安全漏洞管理規定》，安全漏洞的責任主體包括兩大類：一是網絡產品提供者和網絡運營者，二是從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人。企業作為網絡運營者，在其中擔負著重要的作用。

制訂定期的漏洞掃描計劃

很多企業認為，臨時掃描漏洞并進行修復已經足夠了，但這樣既低效又不能充分保護網絡。為了防止網絡攻擊通過漏洞進行，企業應該采用程序化方法進行漏洞管理，這個方法結合了企業對風險的容忍度以及確定優先級、補救和緩解已識別漏洞的流程。

這有助于確保進行有效的監督，并將漏洞管理與企業內部的任何其他業務風險一樣對待。

審視風險和優先事項

企業需要常常審視自身能承受的安全風險，并確定優先事項，以提高企業的風險承受能力，并建立工作優先順序的流程，對于強大的脆弱性管理計劃都至關重要。應該至少每年都重新訪問一次，也可以在企業內部或IT環境發生重大變化時訪問。

根據企業自身的風險進行定制

企業會不斷發現新的漏洞，再加上現有已知漏洞，不可能一次性修復這些問題。企業需要找到一種方法來查明最重要的漏洞并確定修復工作的優先順序是至關重要的，這項工作可以由漏洞掃描、供應商和其他安全渠道提供的分類(高、中、低)指導，但該過程應考慮企業對風險的容忍度、技術環境、行業等。

使用框架和系統

企業無需自己獨立開發技術來幫助完成漏洞管理任務，因為很多企業已經開發了框架和其他系統來幫助首席信息安全官進行管理。這些框架和系統可以幫助企業查看安全漏洞，并了解網絡攻擊者如何使用它們的方法，因此可以使用框架和系統來確定漏洞和其響應的優先級。