CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
通过目录服务或支持的单点登录(SSO)提供商集中管理所有企业资产的访问控制。
通过确定和记录企业中每个角色成功执行其分配职责所需的访问权限,定义并维护基于角色的访问控制。对企业资产执行访问控制审查,以验证所有权限是否经过授权,审查应至少每年定期进行,或更频繁。
建立并遵循一个流程,最好是自动化的,用于在新员工入职、授予权限或用户角色变更时分配企业资产的访问权限。
建立并遵循一个流程,最好是自动化的,用于撤销对企业资产的访问权限,包括在用户离职、权限被撤销或角色变更时立即禁用账户。禁用账户而不是删除账户可能是必要的,以保留审计记录。
建立并维护企业的身份验证和授权系统清单,包括本地托管或远程服务提供商托管的系统。至少每年审查和更新一次清单,或更频繁地进行更新。
在支持的情况下,对所有企业资产上的所有管理访问账户,无论是本地管理还是通过第三方提供商管理,都要求使用多因素认证(MFA)。
要求所有对外公开的企业或第三方应用程序在支持的情况下强制多因素认证(MFA)。通过目录服务或单点登录(SSO)提供商强制执行 MFA 是实现此保障措施的可接受方法。
远程网络访问需要多因素认证。
通过目录或身份服务集中管理账户。
在支持的情况下,对于任何闲置账户,在连续45天不活动后应删除或禁用。
建立并维护企业中管理的所有账户的清单。清单必须包括用户账户和管理员账户。清单至少应包含人员姓名、用户名、起止日期和所属部门。验证所有活跃账户均已获授权,至少每季度定期进行一次,或更频繁。
建立并维护服务账户清单。该清单至少应包含部门负责人、审核日期和用途。定期执行服务账户审核,以验证所有活动账户是否获得授权,审核频率至少为每季度一次,或更频繁。
将管理员权限限制在企业资产的专用管理员账户上。日常计算活动,如上网浏览、电子邮件和使用办公套件,应通过用户的主要非特权账户进行。
为所有企业资产使用独特的密码。最佳实践至少包括:对于使用多因素认证(MFA)的账户,密码长度至少为8个字符;对于未使用MFA的账户,密码长度至少为14个字符。
在应用架构中应用安全设计原则。安全设计原则包括最小特权的概念,以及强制中介以验证用户执行的每个操作,倡导“永远不要信任用户输入”的理念。实例包括确保对所有输入都进行明确的错误检查并记录,包括输入的大小、数据类型以及可接受的范围或格式。安全设计还意味着最小化应用程序基础设施的攻击面,例如关闭未受保护的端口和服务、删除不必要的程序和文件,以及重命名或删除默认账户。
进行应用程序渗透测试。对于关键应用程序,认证渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖测试人员的技能,以认证或未认证用户的身份手动操作应用程序。
进行威胁建模。威胁建模是在编码之前识别和解决应用程序安全设计缺陷的过程。它由经过专门培训的人员进行,这些人员评估应用程序设计并衡量每个入口点和访问级别的安全风险。目标是以结构化的方式描绘应用、架构和基础设施,以便了解其弱点。
建立并维护一个处理软件漏洞报告的流程,包括为外部实体提供报告途径。该流程应包括以下内容:识别报告流程的漏洞处理政策、负责处理漏洞报告的相关方,以及漏洞接收、分配、修复及修复测试的流程。作为流程的一部分,使用包含严重性评级的漏洞跟踪系统,以及用于衡量漏洞识别、分析和修复时间的指标。每年审查和更新文档,或者在可能影响该防护措施的重大企业变更发生时进行更新。第三方应用程序开发者需要将此视为面向外部的政策,有助于为外部利益相关者设定预期。
建立并维护安全的应用程序开发流程。在此过程中,应涉及以下内容:安全的应用程序设计标准、安全编码规范、开发人员培训、漏洞管理、第三方代码的安全性以及应用程序安全测试程序。每年或在可能影响此安全措施的重要企业变更发生时,审查并更新相关文档。
建立并维护一个应用程序漏洞的严重性评级系统和流程,以便优先安排修复已发现漏洞的顺序。该流程包括设定发布代码或应用程序的最低安全可接受水平。严重性评级提供了一种系统的方法来分类漏洞,这有助于改进风险管理,并确保最严重的漏洞优先修复。每年审查并更新系统和流程。
建立并管理一个用于开发的第三方组件的最新清单,这通常被称为“物料清单”,以及计划将来使用的组件。该清单应包括每个第三方组件可能带来的任何风险。至少每月评估一次该清单,以识别这些组件的任何变化或更新,并验证组件仍然受到支持。
在应用程序生命周期中使用静态和动态分析工具,以验证是否遵循了安全编码规范。
利用经过验证的模块或服务来实现应用程序安全组件,例如身份管理、加密以及审计和日志记录。在关键安全功能中使用平台特性可以减轻开发人员的工作量,并降低设计或实现错误的可能性。现代操作系统提供了有效的身份识别、认证和授权机制,并将这些机制提供给应用程序使用。仅使用标准化、当前公认且经过广泛审查的加密算法。操作系统还提供了创建和维护安全审计日志的机制。
对安全漏洞进行根本原因分析。在审查漏洞时,根本原因分析是评估导致代码中出现漏洞的潜在问题的任务,它使开发团队能够不仅仅是修复出现的个别漏洞,而是从根本上解决问题。
为生产系统和非生产系统保持独立的环境。
确保所有软件开发人员接受针对其特定开发环境和职责的安全编码培训。培训可以包括一般的安全原则和应用安全标准实践。至少每年进行一次培训,并以促进开发团队安全为目标进行设计,在开发人员中建立安全文化。
对应用程序基础设施组件使用标准的、行业推荐的加固配置模板。这包括底层服务器、数据库和Web服务器,并适用于云容器、平台即服务(PaaS)组件以及软件即服务(SaaS)组件。不要允许内部开发的软件削弱配置加固。
使用最新且值得信赖的第三方软件组件。在可能的情况下,选择已建立并经过验证的框架和库,以提供足够的安全性。从可信来源获取这些组件,或在使用前评估软件的漏洞。
尽可能集中企业资产的审计日志收集和保留。
收集审计日志。确保根据企业的审计日志管理流程,在企业资产中启用了日志记录。
收集命令行审计日志。示例实现包括从 PowerShell®、BASH™ 和远程管理终端收集审计日志。
为包含敏感数据的企业资产配置详细的审计日志记录。包括事件来源、日期、用户名、时间戳、源地址、目标地址以及其他可能有助于取证调查的有用元素。
在企业资产上收集 DNS 查询审计日志,在适当且支持的情况下进行。
收集服务提供商日志(在支持的情况下)。示例实现包括收集身份验证和授权事件、数据创建和销毁事件以及用户管理事件。
在适当且支持的情况下,收集企业资产上的 URL 请求审计日志。
审查审计日志以检测可能表明潜在威胁的异常或异常事件。每周或更频繁地进行审查。
确保日志存储位置保持足够的存储空间,以符合企业的审计日志管理流程。
建立并维护审核日志管理流程,明确企业的日志记录要求。至少应涵盖企业资产的审核日志的收集、审查和保存。每年审查和更新文档,或在发生可能影响该保障措施的重大企业变更时进行更新。
在企业资产中保留审计日志至少90天。
标准化时间同步。在支持的情况下,在企业资产中配置至少两个同步时间源。
建立并保持以风险为基础的整改策略,并在整改流程中记录,进行每月或更频繁的审查。
建立并维护针对企业资产的有据可查的漏洞管理流程。每年或在可能影响此安全防护措施的重大企业变更发生时,审查并更新相关文档。
通过自动化补丁管理每月或更频繁地对企业资产执行应用程序更新。
通过自动化补丁管理,每月或更频繁地对企业资产进行操作系统更新。
使用符合 SCAP 的漏洞扫描工具对外部暴露的企业资产进行自动化漏洞扫描。每月或更频繁地进行扫描。
对内部企业资产进行季度或更频繁的自动化漏洞扫描。使用符合 SCAP 标准的漏洞扫描工具进行经过身份验证和未经过身份验证的扫描。
根据修复流程,通过流程和工具每月或更频繁地修复软件中检测到的漏洞。
根据用户的知情需求配置数据访问控制列表。将数据访问控制列表(也称为访问权限)应用于本地和远程文件系统、数据库及应用程序。
实施一个自动化工具,例如基于主机的数据丢失防护(DLP)工具,以识别存储、处理或通过企业资产传输的所有敏感数据,包括位于本地或远程服务提供商处的数据,并更新企业的敏感数据清单。
文档数据流。数据流文档包括服务提供商的数据流,并应基于企业的数据管理流程。每年审查和更新文档,或在发生可能影响此保障措施的重大企业变化时进行更新。
对包含敏感数据的终端用户设备上的数据进行加密。示例实现可以包括:Windows BitLocker®、Apple FileVault®、Linux® dm-crypt。
对可移动介质上的数据进行加密。
对存放在服务器、应用程序和包含敏感数据的数据库中的敏感数据进行加密。存储层加密,也称为服务器端加密,满足本安全措施的最低要求。其他加密方法可能包括应用层加密,也称为客户端加密,在这种方法下,访问数据存储设备并不允许访问明文数据。
对传输中的敏感数据进行加密。示例实现可以包括:传输层安全(TLS)和开放安全外壳(OpenSSH)。
根据企业的数据管理流程保留数据。数据保留必须包括最短和最长的时间期限。
为企业建立并维护总体数据分类方案。企业可以使用诸如“敏感”、“机密”和“公开”等标签,并根据这些标签对数据进行分类。每年审查和更新分类方案,或在发生可能影响此保护措施的重大企业变更时进行更新。
根据企业的数据管理流程建立并维护数据清单。至少应清点敏感数据。至少每年审查和更新清单,重点关注敏感数据。
建立并维护数据管理流程。在该流程中,根据企业的敏感性和保留标准,处理数据敏感性、数据所有者、数据处理、数据保留期限及处置要求。每年或在可能影响此保障措施的重大企业变更发生时,审查并更新文档。
记录敏感数据的访问,包括修改和处理。
根据企业的数据管理流程安全处置数据。确保处置过程和方法与数据的敏感性相适应。
根据数据的敏感性对数据进行分段处理和存储。不要在用于低敏感性数据的企业资产上处理敏感数据。
建立并维护数据恢复流程。在此过程中,要明确数据恢复活动的范围、恢复优先级以及备份数据的安全性。每年或在可能影响此保障的重大企业变更发生时,审查并更新相关文档。
建立并维护一个独立的恢复数据实例。实现示例包括通过离线、云或异地系统或服务对备份目标进行版本控制。
对范围内的企业资产执行自动备份。根据数据的敏感性,每周或更频繁地运行备份。
使用与原始数据相同的控制措施来保护恢复数据。根据需求参考加密或数据分离。
对范围内的企业资产抽样进行季度备份恢复测试,或更频繁地进行测试。
阻止试图进入企业邮箱网关的不必要文件类型。
部署和维护电子邮件服务器的反恶意软件保护,例如附件扫描和/或沙箱检测。
确保企业中仅允许完全支持的浏览器和邮件客户端运行,并且仅使用供应商提供的最新版本的浏览器和邮件客户端。
为了降低来自有效域名的伪造或篡改电子邮件的风险,请实施 DMARC 策略和验证,首先从实施发送方策略框架(SPF)和域密钥识别邮件(DKIM)标准开始。
实施并更新基于网络的 URL 过滤器,以限制企业资产连接到可能恶意或未批准的网站。示例实现包括基于类别的过滤、基于声誉的过滤,或使用阻止列表。对所有企业资产执行过滤器。
通过卸载或禁用,限制任何未经授权或不必要的浏览器或电子邮件客户端插件、扩展程序和附加应用程序。
在所有企业资产上使用 DNS 过滤服务,以阻止访问已知恶意域名。
为事件响应分配关键角色和职责,包括法律、信息技术、信息安全、设施、公共关系、人力资源、事件响应人员和分析人员的员工(视情况而定)。每年审查一次,或者在可能影响该保障措施的重大企业变更发生时进行审查。
进行事后评审。事后评审通过识别经验教训和后续行动,有助于防止事件再次发生。
为参与事件响应过程的关键人员计划并开展常规的事件响应演练和情景训练,以准备应对实际事件。演练需要测试沟通渠道、决策和工作流程。至少每年进行一次测试。
确定在安全事件期间将使用哪些主要和次要机制进行沟通和报告。机制可以包括电话、电子邮件或信函。请记住,某些机制(如电子邮件)在安全事件期间可能会受到影响。每年审查一次,或在可能影响此防护措施的重大企业变更发生时进行审查。
指定一名关键负责人,至少一名备用人员,负责管理企业的事件处理流程。管理人员负责协调和记录事件响应及恢复工作,可以由企业内部员工、第三方供应商或混合方式组成。如果使用第三方供应商,应指定至少一名企业内部人员来监督任何第三方工作。应每年审查一次,或在发生可能影响此安全防护的重要企业变动时进行审查。
建立并维护一套企业流程,让员工能够报告安全事件。该流程包括报告的时间要求、需报告的人员、报告机制以及需报告的最低信息。确保该流程向全体员工公开可用。每年审核一次,或在可能影响此安全措施的重大企业变更发生时进行审核。
建立并维护事件响应流程,明确角色和职责、合规要求以及沟通计划。每年审查一次,或在可能影响该保障措施的重大企业变更发生时进行审查。
建立并维护需要通报安全事件的各方的联系信息。联系人可能包括内部员工、第三方供应商、执法机构、网络保险提供商、相关政府机构、信息共享与分析中心(ISAC)合作伙伴或其他利益相关者。每年核实联系信息,以确保信息是最新的。
建立并维护安全事件阈值,至少应区分事件与事件类型的区别。示例可以包括:异常活动、安全漏洞、安全弱点、数据泄露、隐私事件等。每年审查一次,或在可能影响此安全措施的重大企业变更发生时进行审查。
确保有一个流程每周处理未经授权的资产。企业可以选择从网络中移除该资产、拒绝其远程连接网络,或将其隔离。
建立并维护一份准确、详细且最新的企业资产清单,这些资产有可能存储或处理数据,包括:终端用户设备(包括便携式和移动设备)、网络设备、非计算/物联网设备以及服务器。确保库存记录每个资产的网络地址(如果是静态)、硬件地址、机器名称、企业资产所有者、所属部门以及该资产是否已获批准连接到网络。对于移动终端用户设备,在适当情况下,可以使用 MDM 类型的工具支持此过程。该清单包括与基础设施物理上、虚拟上、远程连接以及云环境中的资产。此外,它还包括定期连接到企业网络基础设施的资产,即使这些资产不在企业的控制之下。每六个月或更频繁地审查和更新所有企业资产的清单。
使用被动发现工具识别连接到企业网络的资产。至少每周审查和使用扫描结果来更新企业的资产清单,或更频繁地更新。
在所有 DHCP 服务器或互联网协议(IP)地址管理工具上使用 DHCP 日志记录以更新企业的资产清单。每周或更频繁地查看并使用日志来更新企业的资产清单。
使用主动发现工具来识别与企业网络连接的资产。将主动发现工具配置为每天或更频繁地执行。
确保未经授权的软件要么从企业资产中移除,要么获得有据可查的例外批准。每月或更频繁地进行审查。
使用技术控制措施确保只有经过授权的软件库(如特定的 .dll、.ocx、.so 等文件)被允许加载到系统进程中。阻止未授权的库加载到系统进程中。每半年或更频繁地重新评估。
使用技术控制,例如数字签名和版本控制,以确保只有经过授权的脚本(如特定的 .ps1、.py 等文件)被允许执行。阻止未经授权的脚本执行。每半年或更频繁地重新评估。
使用技术控制措施,例如应用程序允许列表,确保只有授权的软件可以执行或被访问。每六个月重新评估一次,或更频繁地评估。
确保在企业资产的软件清单中,仅将当前受支持的软件指定为授权。如果软件不受支持,但对于完成企业使命是必要的,应记录一份例外情况说明,详细说明缓解控制措施和剩余风险的接受情况。对于任何没有例外文件的不受支持软件,应指定为未经授权。请审核软件清单,以确认软件支持至少每月一次,或更频繁。
建立并维护企业资产上所有已安装许可软件的详细清单。软件清单必须记录每个条目的名称、发布者、首次安装/使用日期以及业务用途;在适当情况下,还应包括统一资源定位器(URL)、应用商店、版本号、部署方式及停用日期。每半年或更频繁地审查和更新软件清单。
在整个企业中尽可能使用软件清单工具,以自动发现和记录已安装的软件。
集中管理反恶意软件软件。
配置反恶意软件软件以自动扫描可移动介质。
为所有企业资产配置反恶意软件签名文件的自动更新。
在所有企业资产上部署并维护反恶意软件软件。
禁用可移动媒体的自动运行和自动播放功能。
在企业资产和软件上尽可能启用反利用功能,例如 Microsoft® 数据执行保护 (DEP)、Windows® Defender 漏洞防护 (WDEG) 或 Apple® 系统完整性保护 (SIP) 和 Gatekeeper™。
使用基于行为的反恶意软件。
集中网络 AAA。
确保网络基础设施保持最新状态。示例实现包括运行最新的稳定版本软件和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地检查软件版本,以验证软件是否得到支持。
要求用户在终端设备上访问企业资源之前,先通过企业管理的 VPN 和认证服务进行身份验证。
建立并维护安全的网络架构。安全的网络架构至少必须考虑分段、最小权限和可用性。
建立并维护架构图和/或其他网络系统文档。每年或在可能影响此防护措施的重大企业变更发生时,审查并更新文档。
为所有管理任务或需要管理员访问权限的任务建立并维护专用计算资源,这些资源可以是物理上或逻辑上分离的。计算资源应与企业的主要网络分隔开,并且不允许访问互联网。
安全管理网络基础设施。示例实现包括基于版本控制的基础设施即代码,以及使用安全的网络协议,如 SSH 和 HTTPS。
使用安全的网络管理和通信协议(例如,802.1X、Wi-Fi 保护访问 2 (WPA2) 企业版或更高版本)。
在企业资产中集中安全事件警报,以进行日志关联和分析。最佳实践实施需要使用 SIEM,其中包括供应商定义的事件关联警报。配置了与安全相关的关联警报的日志分析平台也可以满足此安全保障要求。
收集网络设备的网络流量日志和/或网络流量,以便进行审查和警报。
在企业资产上部署基于主机的入侵检测解决方案,在适当和/或支持的情况下。
在企业资产上部署基于主机的入侵防御解决方案,在适当或支持的情况下实施。示例实现包括使用端点检测与响应(EDR)客户端或基于主机的 IPS 代理。
在企业资产上部署网络入侵检测解决方案(如适用)。示例实现包括使用网络入侵检测系统(NIDS)或等效的云服务提供商(CSP)服务。
在适当的情况下部署网络入侵防护解决方案。示例实现包括使用网络入侵防护系统(NIPS)或等效的云服务提供商(CSP)服务。
部署端口级访问控制。端口级访问控制利用802.1x或类似的网络访问控制协议,如证书,并可能结合用户和/或设备身份验证。
远程管理访问企业资源的资产的访问控制。根据以下条件确定访问企业资源的权限:已安装最新的反恶意软件,配置符合企业的安全配置流程,并确保操作系统和应用程序是最新的。
执行应用层过滤。示例实现包括过滤代理、应用层防火墙或网关。
在适当的情况下,在网络段之间执行流量过滤。
每月或更频繁地调整安全事件警报阈值。
建立并维护一个适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划的特征包括范围,例如网络、Web 应用程序、应用程序编程接口(API)、托管服务和实体场所控制;频率;限制,例如允许的时间段和排除的攻击类型;联系点信息;补救措施,例如如何在内部传递发现的问题;以及追溯性要求。
根据程序要求定期进行外部渗透测试,频率不少于每年一次。外部渗透测试必须包括企业和环境侦察,以发现可利用的信息。渗透测试需要专业技能和经验,并且必须通过合格的机构进行。测试可以是明盒测试或暗盒测试。
根据项目要求定期进行内部渗透测试,至少每年一次。测试可以是明盒测试或暗盒测试。
根据企业关于修复范围和优先级的政策,整改渗透测试发现的问题。
在每次渗透测试后验证安全措施。如果认为有必要,修改规则集和能力以检测测试中使用的技术。
在企业资产上配置自动会话锁定,在定义的不活动时间后触发。对于通用操作系统,该时间不得超过15分钟。对于移动终端用户设备,该时间不得超过2分钟。
在企业资产上配置受信任的DNS服务器。示例实现包括:将资产配置为使用企业控制的DNS服务器和/或信誉良好的外部可访问DNS服务器。
在支持的情况下,在便携式终端用户设备上达到预设的本地认证失败次数阈值后,强制启用自动设备锁定。对于笔记本电脑,认证失败次数不得超过 20 次;对于平板电脑和智能手机,认证失败次数不得超过 10 次。示例实现包括 Microsoft® InTune 设备锁定和 Apple® 配置文件 maxFailedAttempts。
在认为适当的情况下,例如设备丢失或被盗,或个人不再为企业提供支持时,可远程擦除企业拥有的便携式终端用户设备上的企业数据。
为企业资产(终端用户设备,包括便携式和移动设备、非计算/物联网设备以及服务器)和软件(操作系统和应用程序)建立并维护安全配置流程。每年审查并更新文档,或在发生可能影响此防护措施的重大企业变更时进行更新。
建立并维护网络设备的安全配置流程。每年审查并更新文档,或在可能影响此防护措施的重大企业变更发生时进行更新。
在终端用户设备上实施和管理基于主机的防火墙或端口过滤工具,采用默认拒绝规则,丢弃所有流量,除非明确允许的服务和端口。
在支持的服务器上实施和管理防火墙。示例实现包括虚拟防火墙、操作系统防火墙或第三方防火墙代理。
管理企业资产和软件上的默认账户,如 root、管理员以及其他预配置的供应商账户。示例实施方式可以包括:禁用默认账户或使其无法使用。
安全管理企业资产和软件。示例实现包括通过版本控制的基础设施即代码(Infrastructure-as-Code)管理配置,以及通过安全网络协议(如安全外壳(SSH)和超文本传输安全协议(HTTPS))访问管理界面。除非操作上必需,否则不要使用不安全的管理协议,如Telnet(电传网络)和HTTP。
在支持的情况下,确保在移动终端用户设备上使用独立的企业工作区。示例实现包括使用苹果®配置文件或安卓™工作配置文件,将企业应用和数据与个人应用和数据分开。
卸载或禁用企业资产和软件中不必要的服务,例如未使用的文件共享服务、Web 应用模块或服务功能。
开展针对特定角色的安全意识和技能培训。具体实施示例包括为IT专业人员提供的安全系统管理课程、为Web应用开发人员提供的OWASP®前10漏洞意识与防护培训,以及为高风险岗位提供的高级社会工程学意识培训。
建立并维护安全意识计划。安全意识计划的目的是教育企业员工如何以安全的方式使用企业资产和数据。应在员工入职时进行培训,至少每年进行一次培训。内容应每年审核和更新,或在发生可能影响该保障措施的重大企业变更时进行更新。
对员工进行身份验证最佳实践的培训。示例主题包括多因素认证(MFA)、密码设置以及凭证管理。
培训员工意识到非故意数据泄露的原因。示例主题包括敏感数据寄错、丢失便携式终端设备或将数据发布给未预期的受众。
培训员工,使其能够识别潜在事件并能报告此类事件。
培训员工识别社会工程攻击,例如网络钓鱼、借口欺骗和尾随进入。
培训员工如何识别和妥善存储、传输、归档以及销毁敏感数据。这也包括对员工进行清屏和桌面最佳实践的培训,例如在离开企业设备时锁定屏幕、在会议结束时清除物理和虚拟白板,以及安全存储数据和资产。
培训员工了解如何验证并报告过期的软件补丁或任何自动化流程和工具的故障。培训的一部分应包括在自动化流程和工具出现故障时通知IT人员。
对员工进行培训,使其了解在企业活动中连接和通过不安全的网络传输数据的危险。如果企业有远程工作人员,培训必须包括指导,确保所有用户安全配置其家庭网络基础设施。
根据企业的服务提供商管理政策评估服务提供商。评估范围可能因分类而异,并可能包括审查标准化评估报告,如服务组织控制 2(SOC 2)和支付卡行业(PCI)合规性声明(AoC)、定制问卷或其他适当严格的流程。至少每年重新评估服务提供商,或在签订新合同和续签合同时进行评估。
对服务提供商进行分类。分类时可以考虑一个或多个特征,例如数据敏感性、数据量、可用性要求、适用法规、固有风险和缓解风险。应每年更新和审查分类,或在可能影响此保障措施的重大企业变更发生时进行审查。
确保服务提供商合同中包含安全要求。示例要求可能包括最低安全计划要求、安全事件和/或数据泄露通知及响应、数据加密要求以及数据处置承诺。这些安全要求必须与企业的服务提供商管理政策保持一致。每年审查服务提供商合同,以确保合同中不缺失安全要求。
建立并维护服务提供商管理政策。确保该政策涵盖服务提供商的分类、清单、评估、监控和退役。每年审查和更新该政策,或在发生可能影响此保障措施的重要企业变更时进行更新。
建立并维护服务提供商清单。该清单应列出所有已知的服务提供商,包括类别,并为每个服务提供商指定企业联系人。每年审查并更新清单,或者在发生可能影响此安全保障的重大企业变更时进行更新。
根据企业的服务提供商管理政策监控服务提供商。监控可能包括定期重新评估服务提供商的合规性、监控服务提供商的发行说明以及暗网监控。
安全地退役服务提供商。示例考虑因素包括用户和服务账户停用、数据流终止以及在服务提供商系统中安全处理企业数据。