CISO助手
完成度
0%(0/261)
评估报告
CLOU

云控制矩阵 4.0

控制项模式

云安全联盟云控制矩阵,为云服务提供商和用户提供云安全控制框架。

版本: 4.0覆盖状态: 完整覆盖 (522/522)控制项/量表/总计: 261/261/522当前展示: 23 / 26117 个分类
CEK-02是否已经定义并实施了密码学、加密和密钥管理的角色与职责?控制项
People / CEK 角色与职责

定义和实施加密、加密和密钥管理的角色和职责。

评估
评估状态:
评估备注:
CEK-08云服务提供商是否为客户提供了管理自身数据加密密钥的能力?控制项
People / CSC 密钥管理能力

云服务提供商必须提供能力,使客户可以管理自己的数据加密密钥。

评估
评估状态:
评估备注:
CEK-03静态数据和传输中的数据是否使用经过认证、符合批准标准的加密库进行加密保护?控制项
People / 数据加密

使用经认证的加密库,为静态和传输中的数据提供加密保护,并符合批准的标准。

评估
评估状态:
评估备注:
CEK-04是否使用了适当的数据保护加密算法,这些算法考虑了数据分类、相关风险以及加密技术的可用性?控制项
People / 加密算法

根据数据的分类、相关风险以及加密技术的可用性,使用适合数据保护的加密算法。

评估
评估状态:
评估备注:
CEK-09加密和密钥管理系统、策略及流程是否按照系统的风险暴露程度以及在任何安全事件之后进行审计?控制项
People / 加密与密钥管理审计

对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少每年进行一次,并在任何安全事件发生后进行审计。对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少要每年进行一次,并在发生任何安全事件后进行审计。

评估
评估状态:
评估备注:
CEK-09.2加密和密钥管理系统、政策及流程是否经过审计(最好是持续审计,但至少每年一次)?控制项
People / 加密与密钥管理审计

对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少每年进行一次,并在任何安全事件发生后进行审计。对加密和密钥管理系统、策略及流程进行审计,其频率应与系统的风险暴露程度相适应,审计最好持续进行,但至少要每年进行一次,并在发生任何安全事件后进行审计。

评估
评估状态:
评估备注:
CEK-01是否已建立、记录、批准、传达、应用、评估和维护密码学、加密以及密钥管理的政策和程序?控制项
People / 加密与密钥管理政策与程序

建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。

评估
评估状态:
评估备注:
CEK-01.2密码学、加密以及密钥管理的政策和程序是否至少每年审查和更新一次?控制项
People / 加密与密钥管理政策与程序

建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。 建立、记录、批准、传达、应用、评估并维护密码学、加密和密钥管理的政策和程序。至少每年审查并更新一次这些政策和程序。

评估
评估状态:
评估备注:
CEK-06与加密、加密和密钥管理相关的系统、政策和程序的变更,是否以一种能够充分考虑拟议变更的下游影响,包括剩余风险、成本和收益分析的方式进行管理和采用?控制项
People / 加密更改成本效益分析

管理和采用与加密学、加密和密钥管理相关的系统(包括政策和程序)的变更,这些变更必须充分考虑拟议变更的下游影响,包括剩余风险、成本和收益分析。

评估
评估状态:
评估备注:
CEK-05是否建立了标准的变更管理程序来审查、批准、实施和传达适应内部和外部来源的加密、加密技术和密钥管理技术的变更?控制项
People / 加密变更管理

建立标准的变更管理程序,以应对来自内部和外部的变更,对密码学、加密和密钥管理技术的变更进行审查、批准、实施和沟通。

评估
评估状态:
评估备注:
CEK-07是否建立并维护了一个加密、加密技术和密钥管理风险程序,该程序包括风险评估、风险处理、风险背景、监控和反馈条款?控制项
People / 加密风险管理

建立并维护一个加密和密钥管理风险计划,该计划应包括风险评估、风险处理、风险背景、监控和反馈的相关条款。

评估
评估状态:
评估备注:
CEK-15是否正在定义、实施和评估用于在钥匙处于预激活状态(即已生成但尚未授权使用)时创建钥匙的流程、程序和技术措施,以包括法律和监管要求的条款?控制项
People / 密钥激活

定义、实施和评估流程、程序及技术措施,以在密钥已生成但尚未授权使用时将其置于预激活状态,其中包括法律和监管要求的规定。

评估
评估状态:
评估备注:
CEK-18是否已经定义、实施并评估了用于在安全存储库中管理归档密钥(需要最小权限访问)的流程、程序和技术措施,以包括法律和监管要求的条款?控制项
People / 关键档案

定义、实施和评估用于在安全存储库中管理归档密钥的流程、程序和技术措施,该存储库需要最小权限访问,并包括符合法律和监管要求的条款。

评估
评估状态:
评估备注:
CEK-19是否正在定义、实施和评估在特定场景下(例如,仅在受控情况下,并且之后仅用于数据解密而绝不用于加密)加密信息的流程、程序和技术措施,以涵盖法律和监管要求条款?控制项
People / 密钥泄露

定义、实施和评估流程、程序及技术措施,以便在受控情况下仅使用被泄露的密钥加密信息,之后仅用于解密数据,绝不用于加密数据,并包括符合法律和监管要求的条款。

评估
评估状态:
评估备注:
CEK-17是否正在定义、实施和评估在密钥到期时停用密钥的流程、程序和技术措施,以纳入法律和监管要求条款?控制项
People / 钥匙停用

定义、实施并评估在密钥到期时停用密钥的流程、程序和技术措施,其中包括符合法律和监管要求的条款。

评估
评估状态:
评估备注:
CEK-14是否已定义、实施和评估用于销毁不需要的密钥的流程、程序和技术措施,以处理在安全环境之外的密钥销毁、存储在硬件安全模块(HSM)中的密钥撤销,并包括适用的法律和监管要求条款?控制项
People / 钥匙销毁

定义、实施和评估流程、程序以及技术措施,以销毁存储在安全环境之外的密钥,并在硬件安全模块(HSM)中存储的密钥不再使用时撤销这些密钥,其中应包括法律和监管要求的规定。

评估
评估状态:
评估备注:
CEK-10加密密钥是否使用行业公认且批准的加密库生成,这些库指定了算法强度和随机数生成器规范?控制项
People / 密钥生成

使用业界认可的加密库生成加密密钥,并指定算法强度和所使用的随机数生成器。

评估
评估状态:
评估备注:
CEK-21关键管理系统的流程、程序和技术措施是否正在被定义、实施和评估,以跟踪和报告所有加密材料及其状态变更,并包含法律和监管要求的规定?控制项
People / 关键库存管理

定义、实施和评估流程、程序和技术措施,以便关键管理系统能够跟踪和报告所有加密材料及其状态变化,包括符合法律和监管要求的规定。

评估
评估状态:
评估备注:
CEK-11用于特定目的的私钥是否受到管理,密码学是否保密?控制项
People / 主要目的

管理为特定用途配置的加密秘密和私钥。

评估
评估状态:
评估备注:
CEK-20是否正在定义、实施和评估用于评估运营连续性风险的流程、程序和技术措施(与失去密钥材料控制及暴露受保护数据的风险相对),以包括法律和监管要求的条款?控制项
People / 密钥恢复

定义、实施和评估流程、程序和技术措施,以评估运营连续性风险与密钥材料及其所保护的信息在密钥材料控制权丧失的情况下被泄露的风险,这些措施包括法律和监管要求的规定。

评估
评估状态:
评估备注:
CEK-13加密密钥是否按照已定义、实施和评估的流程、程序及技术措施(包括法律和监管要求条款)在预定加密使用期限结束前被撤销和移除(例如,当密钥被泄露或实体不再属于组织时)?控制项
People / 密钥撤销

定义、实施和评估流程、程序及技术措施,在密钥到达设定的加密周期结束之前、密钥被泄露时,或某个实体不再属于组织时撤销和移除加密密钥,其中包括符合法律和监管要求的规定。

评估
评估状态:
评估备注:
CEK-12加密密钥是否根据考虑信息泄露风险以及法律和监管要求计算的加密周期进行轮换?控制项
People / 密钥轮换

根据计算得出的加密周期轮换加密密钥,其中包括考虑信息泄露风险以及法律和监管要求的条款。

评估
评估状态:
评估备注:
CEK-16是否正在定义、实施和评估用于监控、审查和批准关键变更(例如,从任何状态到/从暂停状态)的流程、程序和技术措施,以纳入法律和监管要求的规定?控制项
People / 钥匙悬挂

定义、实施和评估流程、程序和技术措施,以监控、审查和批准从任何状态到/从暂停的重要过渡,其中包括法律和监管要求的规定。

评估
评估状态:
评估备注: