CIS-
CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
版本: 8.1•覆盖状态: 完整覆盖 (306/306)•控制项/量表/总计: 153/153/306•当前展示: 7 / 153•18 个分类
ASSESS.SERVICE.PROVIDERS.313215.5:评估服务提供商控制项
服务提供商管理 / 评估服务提供商
根据企业的服务提供商管理政策评估服务提供商。评估范围可能因分类而异,并可能包括审查标准化评估报告,如服务组织控制 2(SOC 2)和支付卡行业(PCI)合规性声明(AoC)、定制问卷或其他适当严格的流程。至少每年重新评估服务提供商,或在签订新合同和续签合同时进行评估。
评估
评估状态:
评估备注:
CLASSIFY.SERVICE.PROVIDERS.313015.3:分类服务提供商控制项
服务提供商管理 / 分类服务提供商
对服务提供商进行分类。分类时可以考虑一个或多个特征,例如数据敏感性、数据量、可用性要求、适用法规、固有风险和缓解风险。应每年更新和审查分类,或在可能影响此保障措施的重大企业变更发生时进行审查。
评估
评估状态:
评估备注:
ENSURE.SERVICE.PROVIDER.CONTRACTS.INCLUDE.SECURITY.REQUIREMENTS.313115.4:确保服务提供商合同包含安全要求控制项
服务提供商管理 / 确保服务提供商合同包含安全要求
确保服务提供商合同中包含安全要求。示例要求可能包括最低安全计划要求、安全事件和/或数据泄露通知及响应、数据加密要求以及数据处置承诺。这些安全要求必须与企业的服务提供商管理政策保持一致。每年审查服务提供商合同,以确保合同中不缺失安全要求。
评估
评估状态:
评估备注:
ESTABLISH.AND.MAINTAIN.A.SERVICE.PROVIDER.MANAGEMENT.POLICY.312915.2:建立和维护服务提供商管理政策控制项
服务提供商管理 / 建立并维护服务提供商管理政策
建立并维护服务提供商管理政策。确保该政策涵盖服务提供商的分类、清单、评估、监控和退役。每年审查和更新该政策,或在发生可能影响此保障措施的重要企业变更时进行更新。
评估
评估状态:
评估备注:
ESTABLISH.AND.MAINTAIN.AN.INVENTORY.OF.SERVICE.PROVIDERS.312815,1:建立并维护服务提供商清单控制项
服务提供商管理 / 建立并维护服务提供商清单
建立并维护服务提供商清单。该清单应列出所有已知的服务提供商,包括类别,并为每个服务提供商指定企业联系人。每年审查并更新清单,或者在发生可能影响此安全保障的重大企业变更时进行更新。
评估
评估状态:
评估备注:
MONITOR.SERVICE.PROVIDERS.313315.6:监控服务提供商控制项
服务提供商管理 / 监控服务提供商
根据企业的服务提供商管理政策监控服务提供商。监控可能包括定期重新评估服务提供商的合规性、监控服务提供商的发行说明以及暗网监控。
评估
评估状态:
评估备注:
SECURELY.DECOMMISSION.SERVICE.PROVIDERS.313415,7:安全淘汰服务提供商控制项
服务提供商管理 / 安全撤销服务提供商
安全地退役服务提供商。示例考虑因素包括用户和服务账户停用、数据流终止以及在服务提供商系统中安全处理企业数据。
评估
评估状态:
评估备注: