CIS-
CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
版本: 8.1•覆盖状态: 完整覆盖 (306/306)•控制项/量表/总计: 153/153/306•当前展示: 5 / 153•18 个分类
ESTABLISH.AND.MAINTAIN.A.PENETRATION.TESTING.PROGRAM.315818,1:建立并维护渗透测试计划控制项
渗透测试 / 建立并维护渗透测试计划
建立并维护一个适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划的特征包括范围,例如网络、Web 应用程序、应用程序编程接口(API)、托管服务和实体场所控制;频率;限制,例如允许的时间段和排除的攻击类型;联系点信息;补救措施,例如如何在内部传递发现的问题;以及追溯性要求。
评估
评估状态:
评估备注:
PERFORM.PERIODIC.EXTERNAL.PENETRATION.TESTS.315918,2:定期进行外部渗透测试控制项
渗透测试 / 定期进行外部渗透测试
根据程序要求定期进行外部渗透测试,频率不少于每年一次。外部渗透测试必须包括企业和环境侦察,以发现可利用的信息。渗透测试需要专业技能和经验,并且必须通过合格的机构进行。测试可以是明盒测试或暗盒测试。
评估
评估状态:
评估备注:
PERFORM.PERIODIC.INTERNAL.PENETRATION.TESTS.316218.5:执行定期内部渗透测试控制项
渗透测试 / 执行定期内部渗透测试
根据项目要求定期进行内部渗透测试,至少每年一次。测试可以是明盒测试或暗盒测试。
评估
评估状态:
评估备注:
REMEDIATE.PENETRATION.TEST.FINDINGS.316018,3:修复渗透测试发现的问题控制项
渗透测试 / 修复渗透测试发现的问题
根据企业关于修复范围和优先级的政策,整改渗透测试发现的问题。
评估
评估状态:
评估备注:
VALIDATE.SECURITY.MEASURES.316118.4:验证安全措施控制项
渗透测试 / 验证安全措施
在每次渗透测试后验证安全措施。如果认为有必要,修改规则集和能力以检测测试中使用的技术。
评估
评估状态:
评估备注: