CIS-
CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
版本: 8.1•覆盖状态: 完整覆盖 (306/306)•控制项/量表/总计: 153/153/306•当前展示: 9 / 153•18 个分类
CONDUCT.ROLE.SPECIFIC.SECURITY.AWARENESS.AND.SKILLS.TRAINING.312714,9:开展针对角色的安全意识和技能培训控制项
安全意识与技能培训 / 开展针对特定角色的安全意识和技能培训
开展针对特定角色的安全意识和技能培训。具体实施示例包括为IT专业人员提供的安全系统管理课程、为Web应用开发人员提供的OWASP®前10漏洞意识与防护培训,以及为高风险岗位提供的高级社会工程学意识培训。
评估
评估状态:
评估备注:
ESTABLISH.AND.MAINTAIN.A.SECURITY.AWARENESS.PROGRAM.311914.1:建立并维护安全意识计划控制项
安全意识与技能培训 / 建立并维护安全意识计划
建立并维护安全意识计划。安全意识计划的目的是教育企业员工如何以安全的方式使用企业资产和数据。应在员工入职时进行培训,至少每年进行一次培训。内容应每年审核和更新,或在发生可能影响该保障措施的重大企业变更时进行更新。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.MEMBERS.ON.AUTHENTICATION.BEST.PRACTICES.312114,3:对员工进行身份验证最佳实践培训控制项
安全意识与技能培训 / 对员工进行身份验证最佳实践培训
对员工进行身份验证最佳实践的培训。示例主题包括多因素认证(MFA)、密码设置以及凭证管理。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.MEMBERS.ON.CAUSES.OF.UNINTENTIONAL.DATA.EXPOSURE.312314,5:培训员工了解意外数据泄露的原因控制项
安全意识与技能培训 / 培训员工关于意外数据泄露的原因
培训员工意识到非故意数据泄露的原因。示例主题包括敏感数据寄错、丢失便携式终端设备或将数据发布给未预期的受众。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.MEMBERS.ON.RECOGNIZING.AND.REPORTING.SECURITY.INCIDENTS.312414,6:培训员工识别和报告安全事件控制项
安全意识与技能培训 / 培训员工识别和报告安全事件
培训员工,使其能够识别潜在事件并能报告此类事件。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.MEMBERS.TO.RECOGNIZE.SOCIAL.ENGINEERING.ATTACKS.312014.2:培训员工识别社会工程攻击控制项
安全意识与技能培训 / 培训员工识别社会工程攻击
培训员工识别社会工程攻击,例如网络钓鱼、借口欺骗和尾随进入。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.ON.DATA.HANDLING.BEST.PRACTICES.312214.4:对员工进行数据处理最佳实践培训控制项
安全意识与技能培训 / 培训员工数据处理最佳实践
培训员工如何识别和妥善存储、传输、归档以及销毁敏感数据。这也包括对员工进行清屏和桌面最佳实践的培训,例如在离开企业设备时锁定屏幕、在会议结束时清除物理和虚拟白板,以及安全存储数据和资产。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.ON.HOW.TO.IDENTIFY.AND.REPORT.IF.THEIR.ENTERPRISE.ASSETS.ARE.MISSING.SECURITY.UPDATES.312514.7:培训员工如何识别并报告企业资产是否缺少安全更新控制项
安全意识与技能培训 / 培训员工如何识别并报告企业资产是否缺少安全更新
培训员工了解如何验证并报告过期的软件补丁或任何自动化流程和工具的故障。培训的一部分应包括在自动化流程和工具出现故障时通知IT人员。
评估
评估状态:
评估备注:
TRAIN.WORKFORCE.ON.THE.DANGERS.OF.CONNECTING.TO.AND.TRANSMITTING.ENTERPRISE.DATA.OVER.INSECURE.NETWORKS.312614.8:培训员工了解通过不安全网络连接和传输企业数据的危险控制项
安全意识与技能培训 / 培训员工了解在不安全网络上连接和传输企业数据的危险
对员工进行培训,使其了解在企业活动中连接和通过不安全的网络传输数据的危险。如果企业有远程工作人员,培训必须包括指导,确保所有用户安全配置其家庭网络基础设施。
评估
评估状态:
评估备注: