云控制矩阵 4.0
控制项模式云安全联盟云控制矩阵,为云服务提供商和用户提供云安全控制框架。
建立、记录、批准、沟通、应用、评估并维护应用安全的政策和程序,为组织应用安全能力的适当规划、交付和支持提供指导。至少每年审查和更新一次政策和程序。建立、记录、批准、沟通、应用、评估并维护应用安全的政策和程序,为组织应用安全能力的适当规划、交付和支持提供指导。至少每年审查和更新一次政策和程序。
建立、记录、批准、沟通、应用、评估并维护应用安全的政策和程序,为组织应用安全能力的适当规划、交付和支持提供指导。至少每年审查和更新一次政策和程序。建立、记录、批准、沟通、应用、评估并维护应用安全的政策和程序,为组织应用安全能力的适当规划、交付和支持提供指导。至少每年审查和更新一次政策和程序。
建立、记录并维护保护不同应用程序的基线要求。
根据业务目标、安全要求和合规义务,定义并实施技术和运营指标。
定义并实施一个修复应用程序安全漏洞的流程,并在可能的情况下实现自动化修复。 定义并实施一个修复应用程序安全漏洞的流程,并在可能的情况下实现自动化修复。
定义并实施一个修复应用程序安全漏洞的流程,并在可能的情况下实现自动化修复。 定义并实施一个修复应用程序安全漏洞的流程,并在可能的情况下实现自动化修复。
实施测试策略,包括新信息系统、升级和新版本的验收标准,确保应用程序安全性并保持合规,同时支持组织的快速交付目标。在适用且可能的情况下实现自动化。实施测试策略,包括新信息系统、升级和新版本的验收标准,确保应用程序安全性并保持合规,同时支持组织的快速交付目标。在适用且可能的情况下实现自动化。
实施测试策略,包括新信息系统、升级和新版本的验收标准,确保应用程序安全性并保持合规,同时支持组织的快速交付目标。在适用且可能的情况下实现自动化。实施测试策略,包括新信息系统、升级和新版本的验收标准,确保应用程序安全性并保持合规,同时支持组织的快速交付目标。在适用且可能的情况下实现自动化。
建立并实施用于安全、标准化和合规应用部署的策略和能力。在可能的情况下实现自动化。 建立并实施用于安全、标准化和合规应用部署的策略和能力。在可能的情况下实现自动化。
建立并实施用于安全、标准化和合规应用部署的策略和能力。在可能的情况下实现自动化。 建立并实施用于安全、标准化和合规应用部署的策略和能力。在可能的情况下实现自动化。
根据组织定义的安全要求,定义并实施适用于应用程序设计、开发、部署和运行的系统开发生命周期(SDLC)流程。
建立、记录、批准、沟通、应用、评估和维护审计与保证的政策、程序和标准。至少每年审查和更新这些政策与程序。 建立、记录、批准、沟通、应用、评估和维护审计与保证的政策、程序和标准。至少每年审查和更新这些政策与程序。
建立、记录、批准、沟通、应用、评估和维护审计与保证的政策、程序和标准。至少每年审查和更新这些政策与程序。 建立、记录、批准、沟通、应用、评估和维护审计与保证的政策、程序和标准。至少每年审查和更新这些政策与程序。
定义并实施审计管理流程,以支持审计计划、风险分析、安全控制评估、结论、整改计划、报告生成,以及对过去报告和支持证据的审查。
至少每年根据相关标准进行独立的审计和鉴证评估。
建立、记录、审批、沟通、应用、评估并维护基于风险的纠正措施计划,以整改审计发现,审查并向相关利益相关者报告整改状态。 建立、记录、审批、沟通、应用、评估并维护基于风险的纠正措施计划,以整改审计发现,审查并向相关利益相关者报告整改状态。
建立、记录、审批、沟通、应用、评估并维护基于风险的纠正措施计划,以整改审计发现,审查并向相关利益相关者报告整改状态。 建立、记录、审批、沟通、应用、评估并维护基于风险的纠正措施计划,以整改审计发现,审查并向相关利益相关者报告整改状态。
核实符合适用于审计的所有相关标准、法规、法律/合同及法定要求。
根据基于风险的计划和政策执行独立审计和保证评估。
定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据以确保恢复能力。
定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据以确保恢复能力。
定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据的能力以提高弹性。定期备份存储在云中的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复数据以确保恢复能力。
至少每年或在发生重大变更时,对业务连续性和运营韧性计划进行演练和测试。
建立、记录、批准、沟通、实施、评估并维护业务连续性管理和运营韧性政策及程序。至少每年审查和更新一次政策和程序。建立、记录、批准、沟通、实施、评估并维护业务连续性管理和运营韧性政策及程序。至少每年审查和更新政策与程序。
建立、记录、批准、沟通、实施、评估并维护业务连续性管理和运营韧性政策及程序。至少每年审查和更新一次政策和程序。建立、记录、批准、沟通、实施、评估并维护业务连续性管理和运营韧性政策及程序。至少每年审查和更新政策与程序。
根据运营弹性策略和能力的结果,建立、记录、批准、传达、应用、评估和维护业务连续性计划。
在风险承受范围内,制定策略以减少业务中断的影响、抵御其影响并实现恢复。
在业务连续性和韧性程序过程中,与利益相关者和参与者建立沟通。
建立、记录、批准、沟通、实施、评估并维护灾难应对计划,以从自然灾害和人为灾害中恢复。至少每年更新一次计划,或在发生重大变化时更新。 建立、记录、批准、沟通、实施、评估并维护灾难应对计划,以从自然灾害和人为灾害中恢复。至少每年更新一次计划,或在发生重大变化时更新。
建立、记录、批准、沟通、实施、评估并维护灾难应对计划,以从自然灾害和人为灾害中恢复。至少每年更新一次计划,或在发生重大变化时更新。 建立、记录、批准、沟通、实施、评估并维护灾难应对计划,以从自然灾害和人为灾害中恢复。至少每年更新一次计划,或在发生重大变化时更新。
开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。将文档提供给授权的利益相关者并定期审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。
开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。将文档提供给授权的利益相关者并定期审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。
开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。将文档提供给授权的利益相关者并定期审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。开发、识别和获取与支持业务连续性和运营韧性计划相关的文档。向授权利益相关者提供文档,并定期进行审查。
根据适用的行业标准,在合理的最小距离内独立布置冗余设备,以补充关键业务设备。
每年或在重大变更时演练灾害应对计划,包括在可能的情况下邀请当地应急管理部门参与。 每年或在重大变更时演练灾害应对计划,包括在可能的情况下邀请当地应急管理部门参与。
每年或在重大变更时演练灾害应对计划,包括在可能的情况下邀请当地应急管理部门参与。 每年或在重大变更时演练灾害应对计划,包括在可能的情况下邀请当地应急管理部门参与。
确定业务中断和风险的影响,以建立制定业务连续性和运营韧性策略及能力的标准。
包括限制直接影响CSC拥有的环境/租户的变更的条款,仅限于CSP与CSC之间服务级别协议中明确授权的请求。
为组织资产上的所有相关授权变更建立变更管理基线。
建立、记录、批准、沟通、应用、评估并维护管理与对组织资产进行变更相关的风险的政策和程序,包括应用程序、系统、基础设施、配置等,无论这些资产是内部管理还是外部管理(即外包)。至少每年审查和更新这些政策和程序。建立、记录、批准、沟通、应用、评估和维护管理与对组织资产(包括应用程序、系统、基础设施、配置等)进行变更相关的风险的政策和程序,无论这些资产是内部管理还是外部管理(即外包)。至少每年审查和更新这些政策和程序。
建立、记录、批准、沟通、应用、评估并维护管理与对组织资产进行变更相关的风险的政策和程序,包括应用程序、系统、基础设施、配置等,无论这些资产是内部管理还是外部管理(即外包)。至少每年审查和更新这些政策和程序。建立、记录、批准、沟通、应用、评估和维护管理与对组织资产(包括应用程序、系统、基础设施、配置等)进行变更相关的风险的政策和程序,无论这些资产是内部管理还是外部管理(即外包)。至少每年审查和更新这些政策和程序。
管理与对组织资产进行变更相关的风险,包括应用程序、系统、基础设施、配置等,无论这些资产是由内部还是外部(即外包)管理。
定义并实施一个流程,以在发生错误或安全问题时,主动将更改回滚到先前已知的良好状态。
实施检测措施,并在偏离既定基线的变化发生时主动通知。
在变更和配置流程中实施异常管理程序,包括紧急情况。使该程序与 GRC-04:政策例外流程 的要求保持一致。
在变更和配置流程中实施异常管理程序,包括紧急情况。使该程序与 GRC-04:政策例外流程 的要求保持一致。
遵循已定义的质量变更控制、审批和测试流程,并具备已建立的基准、测试和发布标准。
限制未经授权的组织资产的添加、删除、更新和管理。
根据数据的类型和敏感度对其进行分类。
创建数据流文档,以确定哪些数据在何处被处理、存储或传输。按照规定的时间间隔至少每年审查一次数据流文档,并在任何变更后进行审查。 创建数据流文档,以确定哪些数据在何处被处理、存储或传输。按照规定的时间间隔至少每年审查一次数据流文档,并在任何变更后进行审查。
创建数据流文档,以确定哪些数据在何处被处理、存储或传输。按照规定的时间间隔至少每年审查一次数据流文档,并在任何变更后进行审查。 创建数据流文档,以确定哪些数据在何处被处理、存储或传输。按照规定的时间间隔至少每年审查一次数据流文档,并在任何变更后进行审查。
创建并维护数据清单,至少要涵盖任何敏感数据和个人数据。
定义并实施流程、程序和技术措施,以确定和记录数据的物理位置,包括数据处理或备份的任何位置。
所有相关个人和敏感数据的文件所有权和管理。至少每年进行一次审查。 所有相关个人和敏感数据的文件所有权和管理。至少每年进行一次审查。
所有相关个人和敏感数据的文件所有权和管理。至少每年进行一次审查。 所有相关个人和敏感数据的文件所有权和管理。至少每年进行一次审查。
基于隐私设计原则和行业最佳实践开发系统、产品和商业做法。确保系统的隐私设置默认配置符合所有适用的法律法规。基于隐私设计原则和行业最佳实践开发系统、产品和商业做法。确保系统的隐私设置根据所有适用的法律法规默认配置。
基于隐私设计原则和行业最佳实践开发系统、产品和商业做法。确保系统的隐私设置默认配置符合所有适用的法律法规。基于隐私设计原则和行业最佳实践开发系统、产品和商业做法。确保系统的隐私设置根据所有适用的法律法规默认配置。
基于安全设计原则和行业最佳实践开发系统、产品和业务流程。
根据任何适用的法律、法规和行业最佳实践,进行数据保护影响评估(DPIA),以评估在处理个人数据时风险的来源、性质、特性和严重性。
数据的保留、归档和删除是根据业务需求以及适用的法律法规进行管理的。
CSP 必须建立并向 CSC 说明根据适用法律法规管理和应对执法机关个人数据披露请求的程序。CSP 必须特别注意向相关 CSC 发送通知的程序,除非法律另有禁止,例如刑法下为了保护执法调查的机密性而禁止的情况。CSP 必须建立并向 CSC 说明管理和响应执法机关根据适用法律法规提出的个人数据披露请求的程序。CSP 必须特别注意向相关 CSC 发送通知的程序,除非法律另有禁止,例如刑法下为了保护执法调查的机密性而禁止通知。
CSP 必须建立并向 CSC 说明根据适用法律法规管理和应对执法机关个人数据披露请求的程序。CSP 必须特别注意向相关 CSC 发送通知的程序,除非法律另有禁止,例如刑法下为了保护执法调查的机密性而禁止的情况。CSP 必须建立并向 CSC 说明管理和响应执法机关根据适用法律法规提出的个人数据披露请求的程序。CSP 必须特别注意向相关 CSC 发送通知的程序,除非法律另有禁止,例如刑法下为了保护执法调查的机密性而禁止通知。
在启动处理之前,定义、实施并评估流程、程序和技术措施,以向数据所有者披露任何子处理方对个人或敏感数据访问的详细信息。
在将生产数据复制或用于非生产环境之前,获取数据所有者的授权,并管理相关风险。
定义、实施和评估流程、程序和技术措施,以确保个人数据按照适用的法律法规以及向数据主体声明的目的进行处理。
根据适用的法律法规,定义和实施流程、程序及技术措施,使数据主体能够请求访问、修改或删除其个人数据。
根据适用的法律法规,定义、实施和评估服务供应链中个人数据传输和分包处理的流程、程序及技术措施。
采用行业公认的方法安全销毁存储介质上的数据,以确保数据无法通过任何取证手段恢复。
建立、记录、批准、传达、执行、评估并维护数据在整个生命周期中的分类、保护和处理的政策和程序,遵守所有适用的法律法规、标准和风险等级。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、执行、评估和维护数据在整个生命周期中的分类、保护和处理的政策和程序,并遵守所有适用的法律法规、标准和风险等级。至少每年审查和更新一次政策和程序。
建立、记录、批准、传达、执行、评估并维护数据在整个生命周期中的分类、保护和处理的政策和程序,遵守所有适用的法律法规、标准和风险等级。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、执行、评估和维护数据在整个生命周期中的分类、保护和处理的政策和程序,并遵守所有适用的法律法规、标准和风险等级。至少每年审查和更新一次政策和程序。
定义并实施流程、程序和技术措施,在敏感数据的整个生命周期中进行保护。
定义、实施和评估流程、程序及技术措施,以确保任何个人或敏感数据的转移都受到未授权访问的保护,并且仅在相关法律法规允许的范围内进行处理。
在一个安全的系统中编目并跟踪位于所有 CSP 场所的所有相关物理和逻辑资产。
根据组织的业务风险对物理资产和逻辑资产(例如应用程序)进行分类和归档。
定义、实施和评估流程、程序及技术措施,以确保在所有设施、办公室和房间中依据风险保护电力和电信电缆,防止其被截获、干扰或损坏。
实施物理安全周界以保护人员、数据和信息系统。在管理区和业务区与数据存储和处理设施区之间建立物理安全周界。实施物理安全周界以保护人员、数据和信息系统。在行政和业务区域与数据存储及处理设施区域之间建立物理安全周界。
实施物理安全周界以保护人员、数据和信息系统。在管理区和业务区与数据存储和处理设施区之间建立物理安全周界。实施物理安全周界以保护人员、数据和信息系统。在行政和业务区域与数据存储及处理设施区域之间建立物理安全周界。
实施和维护数据中心环境控制系统,监控、维持并测试温度和湿度,以确保其持续有效,并符合公认的行业标准。
使用设备识别作为连接认证的方法。
将业务关键设备放置在不容易发生环境风险事件的位置。
建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估并维护组织场所外使用设备的安全处置的政策和程序。如果设备未被物理销毁,则必须执行一种数据销毁程序,使信息无法恢复。至少每年审查并更新政策和程序。
建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估并维护组织场所外使用设备的安全处置的政策和程序。如果设备未被物理销毁,则必须执行一种数据销毁程序,使信息无法恢复。至少每年审查并更新政策和程序。
建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估和维护组织场所外使用设备的安全处置政策和程序。如果设备未被物理销毁,则必须执行数据销毁程序,以使信息无法恢复。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、执行、评估并维护组织场所外使用设备的安全处置的政策和程序。如果设备未被物理销毁,则必须执行一种数据销毁程序,使信息无法恢复。至少每年审查并更新政策和程序。
建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。
建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。
建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护将硬件、软件或数据/信息迁移或转移到异地或备用地点的政策和程序。迁移或转移请求需获得书面或可加密验证的授权。至少每年审查和更新一次政策和程序。
仅允许授权人员进入安全区域,所有出入口应受到限制、记录并通过物理访问控制机制进行监控。根据组织的判断,定期保留访问控制记录。仅允许授权人员进入安全区域,所有出入口应受到限制、记录并通过物理访问控制机制进行监控。根据组织的判断,定期保留访问控制记录。
仅允许授权人员进入安全区域,所有出入口应受到限制、记录并通过物理访问控制机制进行监控。根据组织的判断,定期保留访问控制记录。仅允许授权人员进入安全区域,所有出入口应受到限制、记录并通过物理访问控制机制进行监控。根据组织的判断,定期保留访问控制记录。
建立、记录、批准、传达、应用、评估并维护办公场所、房间和设施安全工作环境的政策和程序。至少每年审查和更新一次这些政策和程序。建立、记录、批准、传达、应用、评估并维护办公场所、房间和设施中安全工作环境的政策和程序。至少每年审查和更新这些政策和程序。
建立、记录、批准、传达、应用、评估并维护办公场所、房间和设施安全工作环境的政策和程序。至少每年审查和更新一次这些政策和程序。建立、记录、批准、传达、应用、评估并维护办公场所、房间和设施中安全工作环境的政策和程序。至少每年审查和更新这些政策和程序。
建立、记录、批准、传达、应用、评估并维护关于物理介质安全运输的政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护关于物理介质安全运输的政策和程序。至少每年审查和更新一次这些政策和程序。
建立、记录、批准、传达、应用、评估并维护关于物理介质安全运输的政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护关于物理介质安全运输的政策和程序。至少每年审查和更新一次这些政策和程序。
确保、监控、维护和测试公用事业服务,以在计划的间隔内持续有效。
在外部边界以及所有出入口点实施、维护和操作数据中心监控系统,以检测未经授权的进出尝试。
培训数据中心人员应对未授权的进入或离开尝试。
建立、记录、批准、传达、应用、评估并维护信息治理计划的政策和程序,该计划由组织领导层支持。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、应用、评估并维护信息治理计划的政策和程序,该计划由组织领导层支持。至少每年审查和更新这些政策和程序。
建立、记录、批准、传达、应用、评估并维护信息治理计划的政策和程序,该计划由组织领导层支持。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、应用、评估并维护信息治理计划的政策和程序,该计划由组织领导层支持。至少每年审查和更新这些政策和程序。
定义并记录规划、实施、运营、评估和改进治理计划的角色和职责。
开发并实施一个信息安全计划,其中包括涵盖 CCM 所有相关领域的计划。
识别并记录所有适用于贵组织的相关标准、法规、法律/合同及法定要求。
至少每年或在组织发生重大变化时,审查所有相关的组织政策及相关程序。
每当出现偏离既定政策的情况时,应根据治理计划的要求,建立并遵循经批准的例外处理流程。
建立一个正式的、有文件记录的、由领导层支持的企业风险管理(ERM)项目,其中包括用于识别、评估、归属、处理和接受云安全及隐私风险的政策和程序。
根据业务背景,与云相关的特殊兴趣小组及其他相关实体建立并保持联系。
建立、记录、批准、传达、应用、评估和维护关于组织拥有或管理的资产可接受使用的许可和条件的政策与程序。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、应用、评估和维护关于组织拥有或管理的资产可接受使用的许可和条件的政策与程序。至少每年审查和更新这些政策和程序。
建立、记录、批准、传达、应用、评估和维护关于组织拥有或管理的资产可接受使用的许可和条件的政策与程序。至少每年审查和更新这些政策和程序。建立、记录、批准、传达、应用、评估和维护关于组织拥有或管理的资产可接受使用的许可和条件的政策与程序。至少每年审查和更新这些政策和程序。
建立并记录终止雇员归还组织资产的程序。
根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查和更新政策与程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。
根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查和更新政策与程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。
根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查和更新政策与程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。根据当地法律、法规、伦理和合同约束,并根据将要访问的数据分类、业务需求和可接受风险,建立、记录、批准、沟通、应用、评估并维护所有新员工(包括但不限于远程员工、承包商及第三方)的背景核查政策和程序。至少每年审查并更新政策和程序。
建立、记录、审批、传达、应用、评估和维护要求无人值守的工作区不得公开显示机密数据的政策和程序。至少每年审查和更新一次这些政策和程序。建立、记录、审批、传达、应用、评估和维护要求无人值守的工作区不得公开显示机密数据的政策和程序。至少每年审查和更新政策与程序。
建立、记录、审批、传达、应用、评估和维护要求无人值守的工作区不得公开显示机密数据的政策和程序。至少每年审查和更新一次这些政策和程序。建立、记录、审批、传达、应用、评估和维护要求无人值守的工作区不得公开显示机密数据的政策和程序。至少每年审查和更新政策与程序。
让员工了解他们在保持对既定政策和程序以及适用的法律、法定或监管合规义务的认知和遵守方面的角色和责任。
该组织在雇佣协议中包含了遵守既定信息治理和安全政策的条款和/或规定。
员工在被授予访问组织信息系统、资源和资产的权限之前,需要签署员工协议。
建立、记录并传达给所有员工有关就业变动角色和职责的程序。
在计划的时间间隔内,识别、记录并审查保密/不披露协议的要求,以反映组织对数据和运营细节保护的需求。
为所有员工提供访问敏感组织和个人数据的权限,并提供适当的安全意识培训,以及定期更新与其在组织中的职业职能相关的组织程序、流程和政策。为所有员工提供对敏感的组织和个人数据的访问权限,同时进行适当的安全意识培训,并定期更新与其在组织中的职能相关的组织程序、流程和政策。
为所有员工提供访问敏感组织和个人数据的权限,并提供适当的安全意识培训,以及定期更新与其在组织中的职业职能相关的组织程序、流程和政策。为所有员工提供对敏感的组织和个人数据的访问权限,同时进行适当的安全意识培训,并定期更新与其在组织中的职能相关的组织程序、流程和政策。
记录并传达员工在信息资产和安全方面的角色和责任。
建立、记录、批准、传达、应用、评估并维护政策和程序,以保护在远程站点和地点访问、处理或存储的信息。至少每年审查和更新一次这些政策和程序。建立、记录、批准、传达、应用、评估并维护政策和程序,以保护在远程站点和地点访问、处理或存储的信息。至少每年审查和更新一次这些政策和程序。
建立、记录、批准、传达、应用、评估并维护政策和程序,以保护在远程站点和地点访问、处理或存储的信息。至少每年审查和更新一次这些政策和程序。建立、记录、批准、传达、应用、评估并维护政策和程序,以保护在远程站点和地点访问、处理或存储的信息。至少每年审查和更新一次这些政策和程序。
为组织的所有员工建立、记录、批准、沟通、实施、评估和维护安全意识培训计划,并提供定期的培训更新。 为组织的所有员工建立、记录、批准、沟通、实施、评估和维护安全意识培训计划,并提供定期的培训更新。
为组织的所有员工建立、记录、批准、沟通、实施、评估和维护安全意识培训计划,并提供定期的培训更新。 为组织的所有员工建立、记录、批准、沟通、实施、评估和维护安全意识培训计划,并提供定期的培训更新。
定义、实施和评估流程、程序及技术措施,以验证对数据和系统功能的访问是否被授权。
定义、实施并评估流程和程序,以便在适用情况下,让客户参与授予经过认可的高风险(由组织风险评估定义)特权访问角色的过程。
建立、记录、批准、沟通、实施、应用、评估并维护身份和访问管理的政策和程序。至少每年审查和更新一次政策和程序。 建立、记录、批准、沟通、实施、应用、评估并维护身份和访问管理的政策和程序。至少每年审查和更新一次政策和程序。
建立、记录、批准、沟通、实施、应用、评估并维护身份和访问管理的政策和程序。至少每年审查和更新一次政策和程序。 建立、记录、批准、沟通、实施、应用、评估并维护身份和访问管理的政策和程序。至少每年审查和更新一次政策和程序。
管理、存储和查看系统身份的信息以及访问权限等级。
在实施信息系统访问时遵循最小权限原则。
定义并实施访问流程,以确保特权访问角色和权限在有限的时间内授予,并实施程序以防止分离特权访问的累积。 定义并实施访问流程,以确保特权访问角色和权限在有限的时间内授予,并实施程序以防止分离特权访问的累积。
定义并实施访问流程,以确保特权访问角色和权限在有限的时间内授予,并实施程序以防止分离特权访问的累积。 定义并实施访问流程,以确保特权访问角色和权限在有限的时间内授予,并实施程序以防止分离特权访问的累积。
定义、实施并评估用于密码安全管理的流程、程序和技术措施。
定义、实施和评估流程、程序和技术措施,以确保日志基础设施对所有具有写入权限的用户(包括特权访问角色)都是只读的,并且禁用日志的能力通过一个确保职责分离和紧急操作程序的程序进行控制。定义、实施和评估流程、程序和技术措施,以确保日志基础设施对所有具有写入权限的用户(包括特权访问角色)都是只读的,并且禁用日志的能力通过一个确保职责分离和紧急操作程序的程序进行控制。
定义、实施和评估流程、程序和技术措施,以确保日志基础设施对所有具有写入权限的用户(包括特权访问角色)都是只读的,并且禁用日志的能力通过一个确保职责分离和紧急操作程序的程序进行控制。定义、实施和评估流程、程序和技术措施,以确保日志基础设施对所有具有写入权限的用户(包括特权访问角色)都是只读的,并且禁用日志的能力通过一个确保职责分离和紧急操作程序的程序进行控制。
定义、实施并评估流程、程序和技术措施,以实现特权访问角色的分离,从而使对数据、加密和密钥管理能力以及日志记录能力的管理访问是独立和分开的。
在实施信息系统访问时,运用职务分离原则。
定义、实施和评估用于验证系统、应用程序和数据资产访问的流程、程序和技术措施,包括对至少特权用户和敏感数据访问采用多因素认证。采用数字证书或能够实现系统身份同等安全级别的替代方案。定义、实施和评估用于验证系统、应用程序和数据资产访问的流程、程序和技术措施,包括对至少特权用户和敏感数据访问采用多因素认证。采用数字证书或能够实现系统身份同等安全级别的替代方案。
定义、实施和评估用于验证系统、应用程序和数据资产访问的流程、程序和技术措施,包括对至少特权用户和敏感数据访问采用多因素认证。采用数字证书或能够实现系统身份同等安全级别的替代方案。定义、实施和评估用于验证系统、应用程序和数据资产访问的流程、程序和技术措施,包括对至少特权用户和敏感数据访问采用多因素认证。采用数字证书或能够实现系统身份同等安全级别的替代方案。
建立、记录、批准、传达、实施、应用、评估和维护强密码策略和程序。至少每年审查和更新一次这些策略和程序。 建立、记录、批准、传达、实施、应用、评估和维护强密码策略和程序。至少每年审查和更新一次这些策略和程序。
建立、记录、批准、传达、实施、应用、评估和维护强密码策略和程序。至少每年审查和更新一次这些策略和程序。 建立、记录、批准、传达、实施、应用、评估和维护强密码策略和程序。至少每年审查和更新一次这些策略和程序。
定义、实施并评估流程、程序和技术措施,以确保用户可以通过唯一ID被识别,或能够将个人与用户ID的使用关联起来。
及时取消或相应修改离职人员/调岗人员的访问权限,或系统身份变更,以有效采用和传达身份与访问管理政策。
定义并实施用户访问权限配置流程,对数据和资产的访问变更进行授权、记录和通知。
根据组织的风险容忍度,定期审查和重新验证用户访问权限,以确保最小特权和职责分离。
规划和监控资源的可用性、质量和充足容量,以确保提供符合业务要求的系统性能。
建立、记录、批准、沟通、应用、评估和维护基础设施和虚拟化安全的政策和程序。至少每年审查和更新这些政策和程序。 建立、记录、批准、沟通、应用、评估和维护基础设施和虚拟化安全的政策和程序。至少每年审查和更新这些政策和程序。
建立、记录、批准、沟通、应用、评估和维护基础设施和虚拟化安全的政策和程序。至少每年审查和更新这些政策和程序。 建立、记录、批准、沟通、应用、评估和维护基础设施和虚拟化安全的政策和程序。至少每年审查和更新这些政策和程序。
在将服务器、服务、应用程序或数据迁移到云环境时,请使用安全且加密的通信渠道。这些渠道必须仅包含最新且经过批准的协议。
识别并记录高风险环境。
定义、实施并评估用于保护、检测和及时应对基于网络的攻击的流程、程序和纵深防御技术。
监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。
监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。
监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。
监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。
监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。监控、加密并限制环境之间的通信,仅允许经过身份验证和授权的连接,并根据业务需求进行合理设置。至少每年审查一次这些配置,并通过文档化说明支持所有允许的服务、协议、端口以及补偿性控制措施的合理性。
根据各自的最佳实践加强主机和客户操作系统、虚拟机监控程序或基础设施控制平面,并通过技术控制予以支持,作为安全基线的一部分。
分离生产环境和非生产环境。
设计、开发、部署和配置应用程序及基础设施,使CSP和CSC(租户)用户访问及租户内部访问得到适当分割和隔离,并对其他租户进行监控和限制。
为CSC提供应用程序接口,以便他们通过编程方式获取数据,从而实现互操作性和可移植性。
协议必须包括规定CSC在合同终止时访问数据的条款,并应包括:a. 数据格式 b. 数据存储时长 c. 保留并提供给CSC的数据范围 d. 数据删除政策
建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护互操作性和可移植性政策和程序,包括以下要求: a. 应用接口之间的通信 b. 信息处理互操作性 c.应用程序开发的可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求: a. 应用程序接口之间的通信 b.信息处理互操作性 c. 应用开发可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求:a.应用程序接口之间的通信 b. 信息处理互操作性 c. 应用程序开发可移植性 d. 信息/数据的交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查并更新一次政策和程序。
建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护互操作性和可移植性政策和程序,包括以下要求: a. 应用接口之间的通信 b. 信息处理互操作性 c.应用程序开发的可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求: a. 应用程序接口之间的通信 b.信息处理互操作性 c. 应用开发可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求:a.应用程序接口之间的通信 b. 信息处理互操作性 c. 应用程序开发可移植性 d. 信息/数据的交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查并更新一次政策和程序。
建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护互操作性和可移植性政策和程序,包括以下要求: a. 应用接口之间的通信 b. 信息处理互操作性 c.应用程序开发的可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求: a. 应用程序接口之间的通信 b.信息处理互操作性 c. 应用开发可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求:a.应用程序接口之间的通信 b. 信息处理互操作性 c. 应用程序开发可移植性 d. 信息/数据的交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查并更新一次政策和程序。
建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护互操作性和可移植性政策和程序,包括以下要求: a. 应用接口之间的通信 b. 信息处理互操作性 c.应用程序开发的可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求: a. 应用程序接口之间的通信 b.信息处理互操作性 c. 应用开发可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求:a.应用程序接口之间的通信 b. 信息处理互操作性 c. 应用程序开发可移植性 d. 信息/数据的交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查并更新一次政策和程序。
建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估并维护互操作性和可移植性政策和程序,包括以下要求: a. 应用接口之间的通信 b. 信息处理互操作性 c.应用程序开发的可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求: a. 应用程序接口之间的通信 b.信息处理互操作性 c. 应用开发可移植性 d. 信息/数据交换、使用、可移植性、完整性和持久性 至少每年审查和更新政策和程序。建立、记录、批准、沟通、应用、评估和维护互操作性和可移植性政策和程序,包括以下要求:a.应用程序接口之间的通信 b. 信息处理互操作性 c. 应用程序开发可移植性 d. 信息/数据的交换、使用、可移植性、完整性和持久性 每年至少审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护互操作性和可移植性的政策和程序,包括以下要求:a. 应用接口之间的通信 b. 信息处理互操作性 c. 应用开发的可移植性 d.信息/数据交换、使用、可移植性、完整性和持久性 每年至少审查并更新一次政策和程序。
实现加密安全且标准化的网络协议,用于数据的管理、导入和导出。
使用可审计的访问控制系统监控和记录物理访问情况。
将审计日志访问限制在授权人员范围内,并保持能够提供唯一访问责任记录的记录。
监控安全审计日志以检测超出典型或预期模式的活动。建立并遵循定义好的流程,及时审查并对检测到的异常采取适当的行动。 监控安全审计日志以检测超出典型或预期模式的活动。建立并遵循定义好的流程,及时审查并对检测到的异常采取适当的行动。
监控安全审计日志以检测超出典型或预期模式的活动。建立并遵循定义好的流程,及时审查并对检测到的异常采取适当的行动。 监控安全审计日志以检测超出典型或预期模式的活动。建立并遵循定义好的流程,及时审查并对检测到的异常采取适当的行动。
定义、实施和评估流程、程序及技术措施,以确保审计日志的安全性和保存性。
在所有相关的信息处理系统中使用可靠的时间来源。
建立并保持对加密、加密密钥管理政策、流程、程序和控制操作的监控和内部报告能力。
定义、实施和评估监控系统异常和故障报告的流程、程序和技术措施,并向责任方提供即时通知。 定义、实施和评估监控系统异常和故障报告的流程、程序和技术措施,并向责任方提供即时通知。
定义、实施和评估监控系统异常和故障报告的流程、程序和技术措施,并向责任方提供即时通知。 定义、实施和评估监控系统异常和故障报告的流程、程序和技术措施,并向责任方提供即时通知。
信息系统保护审计记录免受未经授权的访问、修改和删除。
生成包含相关安全信息的审计记录。
建立、记录、批准、传达、应用、评估和维护日志记录和监控的政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估和维护日志记录和监控的政策和程序。至少每年审查和更新一次这些政策和程序。
建立、记录、批准、传达、应用、评估和维护日志记录和监控的政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估和维护日志记录和监控的政策和程序。至少每年审查和更新一次这些政策和程序。
建立、记录并实施应记录哪些信息元数据/系统事件。至少每年审查和更新范围,或在威胁环境发生变化时进行更新。 建立、记录并实施应记录哪些信息元数据/系统事件。至少每年审查和更新范围,或在威胁环境发生变化时进行更新。
建立、记录并实施应记录哪些信息元数据/系统事件。至少每年审查和更新范围,或在威胁环境发生变化时进行更新。 建立、记录并实施应记录哪些信息元数据/系统事件。至少每年审查和更新范围,或在威胁环境发生变化时进行更新。
识别并监控应用程序及底层基础设施中的安全相关事件。定义并实施一个系统,根据这些事件及相应的指标向相关责任方生成警报。识别并监控应用程序及底层基础设施中的安全相关事件。定义并实施一个系统,根据此类事件和相应的指标向相关负责人发送警报。
识别并监控应用程序及底层基础设施中的安全相关事件。定义并实施一个系统,根据这些事件及相应的指标向相关责任方生成警报。识别并监控应用程序及底层基础设施中的安全相关事件。定义并实施一个系统,根据此类事件和相应的指标向相关负责人发送警报。
记录和监控关键生命周期管理事件,以便对加密密钥的使用进行审计和报告。
定义和实施加密、加密和密钥管理的角色和职责。
云服务提供商必须提供能力,使客户可以管理自己的数据加密密钥。
使用经认证的加密库,为静态和传输中的数据提供加密保护,并符合批准的标准。
根据数据的分类、相关风险以及加密技术的可用性,使用适合数据保护的加密算法。
对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少每年进行一次,并在任何安全事件发生后进行审计。对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少要每年进行一次,并在发生任何安全事件后进行审计。
对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少每年进行一次,并在任何安全事件发生后进行审计。对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少要每年进行一次,并在发生任何安全事件后进行审计。
建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。
建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。
管理和采用与加密学、加密和密钥管理相关的系统(包括政策和程序)的变更,这些变更必须充分考虑拟议变更的下游影响,包括剩余风险、成本和收益分析。
建立标准的变更管理程序,以应对来自内部和外部的变更,对密码学、加密和密钥管理技术的变更进行审查、批准、实施和沟通。
建立并维护一个加密和密钥管理风险计划,该计划应包括风险评估、风险处理、风险背景、监控和反馈的相关条款。
定义、实施和评估流程、程序及技术措施,以在密钥已生成但尚未授权使用时将其置于预激活状态,其中包括法律和监管要求的规定。
定义、实施和评估用于在安全存储库中管理归档密钥的流程、程序和技术措施,该存储库需要最小权限访问,并包括符合法律和监管要求的条款。
定义、实施和评估流程、程序及技术措施,以便在受控情况下仅使用被泄露的密钥加密信息,之后仅用于解密数据,绝不用于加密数据,并包括符合法律和监管要求的条款。
定义、实施并评估在密钥到期时停用密钥的流程、程序和技术措施,其中包括符合法律和监管要求的条款。
定义、实施和评估流程、程序以及技术措施,以销毁存储在安全环境之外的密钥,并在硬件安全模块(HSM)中存储的密钥不再使用时撤销这些密钥,其中应包括法律和监管要求的规定。
使用业界认可的加密库生成加密密钥,并指定算法强度和所使用的随机数生成器。
定义、实施和评估流程、程序和技术措施,以便关键管理系统能够跟踪和报告所有加密材料及其状态变化,包括符合法律和监管要求的规定。
管理为特定用途配置的加密秘密和私钥。
定义、实施和评估流程、程序和技术措施,以评估运营连续性风险与密钥材料及其所保护的信息在密钥材料控制权丧失的情况下被泄露的风险,这些措施包括法律和监管要求的规定。
定义、实施和评估流程、程序及技术措施,在密钥到达设定的加密周期结束之前、密钥被泄露时,或某个实体不再属于组织时撤销和移除加密密钥,其中包括符合法律和监管要求的规定。
根据计算得出的加密周期轮换加密密钥,其中包括考虑信息泄露风险以及法律和监管要求的条款。
定义、实施和评估流程、程序和技术措施,以监控、审查和批准从任何状态到/从暂停的重要过渡,其中包括法律和监管要求的规定。
定义、实施和评估支持业务流程的流程、程序和技术措施,以分类处理与安全相关的事件。
建立并监控信息安全事件指标。
建立、记录、批准、沟通、实施、评估和维护安全事件响应计划,其中包括但不限于:相关内部部门、受影响的CSC以及可能受影响的其他关键业务关系(如供应链)。
在计划的时间间隔或发生重大组织或环境变化时,测试并根据需要更新事件响应计划,以确保其有效性。
与相关监管机构、国家和地方执法部门以及其他法律管辖当局保持联系。
定义并实施用于安全漏洞通知的流程、程序和技术措施。根据适用的服务等级协议、法律和法规,报告安全漏洞及假定的安全漏洞,包括任何相关的供应链漏洞。定义并实施用于安全漏洞通知的流程、程序和技术措施。根据适用的服务水平协议、法律和法规,报告安全漏洞和假设的安全漏洞,包括任何相关的供应链漏洞。
定义并实施用于安全漏洞通知的流程、程序和技术措施。根据适用的服务等级协议、法律和法规,报告安全漏洞及假定的安全漏洞,包括任何相关的供应链漏洞。定义并实施用于安全漏洞通知的流程、程序和技术措施。根据适用的服务水平协议、法律和法规,报告安全漏洞和假设的安全漏洞,包括任何相关的供应链漏洞。
建立、记录、批准、沟通、应用、评估并维护安全事件管理、电子发现和云取证的政策和程序。至少每年审查并更新这些政策和程序。建立、记录、批准、沟通、应用、评估并维护安全事件管理、电子发现和云取证的政策和程序。至少每年审查和更新政策与程序。
建立、记录、批准、沟通、应用、评估并维护安全事件管理、电子发现和云取证的政策和程序。至少每年审查并更新这些政策和程序。建立、记录、批准、沟通、应用、评估并维护安全事件管理、电子发现和云取证的政策和程序。至少每年审查和更新政策与程序。
建立、记录、批准、沟通、应用、评估并维护安全事件的及时管理政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、沟通、应用、评估并维护安全事件的及时管理政策和程序。至少每年审查和更新一次这些政策和程序。
建立、记录、批准、沟通、应用、评估并维护安全事件的及时管理政策和程序。至少每年审查和更新一次这些政策和程序。 建立、记录、批准、沟通、应用、评估并维护安全事件的及时管理政策和程序。至少每年审查和更新一次这些政策和程序。
定义并实施一个流程,用于进行内部评估,以至少每年确认标准、政策、程序和服务级别协议活动的符合性和有效性。
CSP 与 CSC(租户)之间的服务协议必须至少包含以下双方同意的条款和/或条件:• 业务关系和提供服务的范围、特征及地点 • 信息安全要求(包括 SSRM) • 变更管理流程 • 日志记录和监控能力 • 事件管理和沟通程序 • 审计权和第三方评估 • 服务终止 • 互操作性和可移植性要求 • 数据隐私
实施、操作,并审计或评估组织负责的 SSRM 部分。
根据 SSRM,描述所有 CSA CCM 控制的共享所有权和适用于云服务提供的情况。
审查并验证组织使用的所有云服务产品的SSRM文档。
向CSC提供SSRM指南,详细说明SSRM在整个供应链中的适用性信息。
在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。
在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。在组织内建立、记录、批准、传达、应用、评估和维护共享安全责任模型(SSRM)应用的政策和程序。至少每年审查和更新一次这些政策和程序。
在整个云服务供应链中应用、记录、实施和管理供应商安全风险管理(SSRM)。
至少每年审查一次CSP与CSC之间的供应链协议。
为供应链中的所有组织定义并实施定期开展安全评估的流程。
定期审查组织供应链合作伙伴的IT治理政策和程序。
开发并维护所有供应链关系的清单。
CSP会定期审查其供应链中所有组织相关的风险因素。
实施政策,要求供应链中的所有云服务提供商遵守信息安全、保密、访问控制、隐私、审计、人员政策以及服务水平要求和标准。
定义、实施并评估流程、程序和技术措施,以每周或更频繁地更新检测工具、威胁特征和入侵指标。
根据组织的漏洞管理政策,定义、实施和评估流程、程序及技术措施,以识别使用第三方或开源库的应用程序的更新。
建立、记录、批准、沟通、应用、评估并维护用于保护受管理资产免受恶意软件影响的政策和程序。至少每年审查并更新这些政策和程序。 建立、记录、批准、沟通、应用、评估并维护用于保护受管理资产免受恶意软件影响的政策和程序。至少每年审查并更新这些政策和程序。
建立、记录、批准、沟通、应用、评估并维护用于保护受管理资产免受恶意软件影响的政策和程序。至少每年审查并更新这些政策和程序。 建立、记录、批准、沟通、应用、评估并维护用于保护受管理资产免受恶意软件影响的政策和程序。至少每年审查并更新这些政策和程序。
定义、实施并评估由独立第三方定期进行渗透测试的流程、程序和技术措施。
建立、记录、批准、传达、应用、评估和维护政策和程序,以识别、报告并优先修复漏洞,从而保护系统免受漏洞利用的攻击。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护政策和程序,以识别、报告并优先修复漏洞,从而保护系统免受漏洞利用的攻击。至少每年审查和更新一次政策和程序。
建立、记录、批准、传达、应用、评估和维护政策和程序,以识别、报告并优先修复漏洞,从而保护系统免受漏洞利用的攻击。至少每年审查和更新一次政策和程序。建立、记录、批准、传达、应用、评估和维护政策和程序,以识别、报告并优先修复漏洞,从而保护系统免受漏洞利用的攻击。至少每年审查和更新一次政策和程序。
定义、实施和评估流程、程序及技术措施,以每月至少一次检测组织管理资产上的漏洞。
建立、监控并在规定时间间隔内报告漏洞识别和修复的指标。
定义并实施一个跟踪和报告漏洞识别及修复活动的流程,包括利益相关者通知。
使用基于风险的模型,利用行业认可的框架对漏洞修复进行有效优先级排序。
根据已识别的风险,定义、实施和评估流程、程序和技术措施,以便应对漏洞识别的计划内和紧急情况。
配置具有反恶意软件检测和防护技术及服务的托管终端。
定义、记录、应用并评估一份经批准的服务、应用程序和应用程序来源(商店)清单,这些清单在终端访问或存储组织管理的数据时是可接受的。
将所有相关的交互使用端点配置为需要自动锁屏。
定义并实施一个流程,用于验证终端设备与操作系统和应用程序的兼容性。
根据风险评估,使用数据丢失防护(DLP)技术和规则配置受管终端。
为所有端点建立、记录、批准、沟通、应用、评估和维护政策和程序。至少每年审查和更新一次政策和程序。 为所有端点建立、记录、批准、沟通、应用、评估和维护政策和程序。至少每年审查和更新一次政策和程序。
为所有端点建立、记录、批准、沟通、应用、评估和维护政策和程序。至少每年审查和更新一次政策和程序。 为所有端点建立、记录、批准、沟通、应用、评估和维护政策和程序。至少每年审查和更新一次政策和程序。
维护一个包含所有用于存储和访问公司数据的端点的清单。
定义、实施和评估流程、程序及技术措施,以执行针对所有被允许访问系统和/或存储、传输或处理组织数据的终端的政策和控制。
通过公司的变更管理流程管理端点操作系统、补丁级别和/或应用程序的变更。
为所有托管的移动终端启用远程地理位置功能。
定义、实施并评估流程、程序和技术措施,以便在受管端点设备上远程删除公司数据。
使用正确配置的软件防火墙配置托管端点。
通过存储加密保护受管理终端设备上的信息免遭未经授权的泄露。
定义、实施并评估流程、程序以及技术和/或合同措施,以维持对具有访问组织资产权限的第三方端点的适当安全性。