CISO助手
完成度
0%(0/71)
评估报告
CYBE

CCB 网络基础框架 2.0 2.0

成熟度模式

比利时CCB网络基础框架,帮助组织评估和提升其网络安全态势。

版本: 2.0覆盖状态: 完整覆盖 (142/142)控制项/量表/总计: 71/71/142当前展示: 15 / 716 个分类

组织背景

9
GV.OC-03.1应识别并落实有关信息和网络安全的法律及监管要求。成熟度实践
Govern / 组织背景

应识别并实施关于信息和网络安全的法律和监管要求。 与信息和网络安全相关的法律、监管及合同义务应持续管理,以确保其保持准确、最新并有效执行。

评估
评估状态:
评估备注:
GV.OC-03.2与信息和网络安全相关的法律、监管和合同义务应持续管理,以确保其保持准确、最新并有效执行。成熟度实践
Govern / 组织背景

应识别并实施关于信息和网络安全的法律和监管要求。 与信息和网络安全相关的法律、监管及合同义务应持续管理,以确保其保持准确、最新并有效执行。

评估
评估状态:
评估备注:
GV.OC-01.1该组织的使命应被确立、传达,并应成为信息和网络安全风险管理的基础。成熟度实践
Govern / 组织背景

该组织的使命应被确立、传达,并应成为信息和网络安全风险管理的基础。

评估
评估状态:
评估备注:
GV.OC-05.1组织应识别、记录并传达其在供应链中的角色,包括其依赖的外部能力、服务和依赖关系(上游),以及其与下游利益相关方的互动。成熟度实践
Govern / 组织背景

组织应识别、记录并传达其在供应链中的角色,包括其依赖的外部能力、服务和依赖关系(上游),以及其与下游利益相关方的互动。

评估
评估状态:
评估备注:
GV.OC-02.1组织应展示其理解并考虑内部和外部利益相关方在信息和网络安全风险管理方面的需求和期望。成熟度实践
Govern / 组织背景

组织应展示其理解并考虑内部和外部利益相关方在信息和网络安全风险管理方面的需求和期望。

评估
评估状态:
评估备注:
GV.OC-04.1组织应识别、记录并传达外部利益相关方依赖的关键目标、能力和服务,根据其重要性进行优先排序,并将此优先排序纳入风险评估流程中。成熟度实践
Govern / 组织背景

组织应识别、记录并传达外部利益相关方依赖的关键目标、能力和服务,根据其重要性进行优先排序,并将此优先排序纳入风险评估流程中。组织应定义并记录关键操作的网络安全要求,通过测试和审核进行验证,保留结果和纠正措施的记录,并根据不断变化的风险定期更新要求。应实施冗余以满足组织、法律和/或法规定义的可用性要求。关键ICT/OT系统流程恢复的恢复时间目标和恢复点目标应被定义并加以监控。

评估
评估状态:
评估备注:
GV.OC-04.2组织应定义并记录关键操作的网络安全要求,通过测试和审计进行验证,记录结果和纠正措施,并根据不断变化的风险定期更新要求。成熟度实践
Govern / 组织背景

组织应识别、记录并传达外部利益相关方依赖的关键目标、能力和服务,根据其重要性进行优先排序,并将此优先排序纳入风险评估流程中。组织应定义并记录关键操作的网络安全要求,通过测试和审核进行验证,保留结果和纠正措施的记录,并根据不断变化的风险定期更新要求。应实施冗余以满足组织、法律和/或法规定义的可用性要求。关键ICT/OT系统流程恢复的恢复时间目标和恢复点目标应被定义并加以监控。

评估
评估状态:
评估备注:
GV.OC-04.3应实施冗余以满足组织、法律和/或法规所定义的可用性要求。成熟度实践
Govern / 组织背景

组织应识别、记录并传达外部利益相关方依赖的关键目标、能力和服务,根据其重要性进行优先排序,并将此优先排序纳入风险评估流程中。组织应定义并记录关键操作的网络安全要求,通过测试和审核进行验证,保留结果和纠正措施的记录,并根据不断变化的风险定期更新要求。应实施冗余以满足组织、法律和/或法规定义的可用性要求。关键ICT/OT系统流程恢复的恢复时间目标和恢复点目标应被定义并加以监控。

评估
评估状态:
评估备注:
GV.OC-04.4关键ICT/OT系统流程恢复的恢复时间目标和恢复点目标应被定义并加以监控。成熟度实践
Govern / 组织背景

组织应识别、记录并传达外部利益相关方依赖的关键目标、能力和服务,根据其重要性进行优先排序,并将此优先排序纳入风险评估流程中。组织应定义并记录关键操作的网络安全要求,通过测试和审核进行验证,保留结果和纠正措施的记录,并根据不断变化的风险定期更新要求。应实施冗余以满足组织、法律和/或法规定义的可用性要求。关键ICT/OT系统流程恢复的恢复时间目标和恢复点目标应被定义并加以监控。

评估
评估状态:
评估备注:

Oversight

1
GV.OV-02.1信息和网络安全风险管理策略应进行审查和调整,以确保涵盖组织的需求和风险。成熟度实践
Govern / Oversight

信息和网络安全风险管理策略应进行审查和调整,以确保涵盖组织的需求和风险。

评估
评估状态:
评估备注:

政策、流程和程序

2
GV.PO-01.1应制定、记录、审查、批准、在发生变化时更新、传达并执行管理信息和网络安全的政策和程序。成熟度实践
Govern / 政策、流程和程序

应制定、记录、审查、批准、在发生变化时更新、传达并执行管理信息和网络安全的政策和程序。全组织范围的信息和网络安全政策与程序应包括密码学的使用,并在适当情况下包含加密措施,反映需求、威胁、技术和组织角色的变化,并经高级管理层批准,由其监督实施。

评估
评估状态:
评估备注:
GV.PO-01.2整个组织的信息和网络安全政策与程序应包括密码学的使用,并在适用时使用加密,反映需求、威胁、技术和组织角色的变化,并由高级管理层批准,高级管理层负责监督其实施。成熟度实践
Govern / 政策、流程和程序

应制定、记录、审查、批准、在发生变化时更新、传达并执行管理信息和网络安全的政策和程序。全组织范围的信息和网络安全政策与程序应包括密码学的使用,并在适当情况下包含加密措施,反映需求、威胁、技术和组织角色的变化,并经高级管理层批准,由其监督实施。

评估
评估状态:
评估备注:

风险管理策略

1
GV.RM-01.1信息/网络安全目标应由组织利益相关者确认,并经高级管理层批准成熟度实践
Govern / 风险管理策略

信息/网络安全目标应由组织利益相关者确认,并经高级管理层批准

评估
评估状态:
评估备注:

角色、职责与权限

1
GV.RR-01.1组织的高层管理人员应对网络安全风险负责,并应促进一种风险意识强、具道德性且持续改进的文化。成熟度实践
Govern / 角色、职责与权限

组织的高层管理人员应对网络安全风险负责,并应促进一种风险意识强、具道德性且持续改进的文化。

评估
评估状态:
评估备注:

供应链风险管理

1
GV.SC-01.1网络安全供应链风险管理程序、策略、目标、政策和流程应进行记录、审核,并在发生变化时更新,并由组织相关方批准。成熟度实践
Govern / 供应链风险管理

网络安全供应链风险管理程序、策略、目标、政策和流程应进行记录、审核,并在发生变化时更新,并由组织相关方批准。

评估
评估状态:
评估备注: