CISO助手
完成度
0%(0/71)
评估报告
CYBE

CCB 网络基础框架 2.0 2.0

成熟度模式

比利时CCB网络基础框架,帮助组织评估和提升其网络安全态势。

版本: 2.0覆盖状态: 完整覆盖 (142/142)控制项/量表/总计: 71/71/142当前展示: 11 / 716 个分类

资产管理

4
ID.AM-01.1应记录、审查并在发生变更时更新支持信息处理的物理和虚拟基础设施资产清单,例如硬件、网络设备和云托管环境。成熟度实践
Identify / 资产管理

应记录、审查并在发生变更时更新支持信息处理的物理和虚拟基础设施资产清单,例如硬件、网络设备和云托管环境。与信息及信息处理设施相关的企业资产清单应反映组织环境的变化,并包含有效问责所需的所有信息。当检测到未经授权的硬件时,应将其隔离以进行可能的例外处理、移除或更换,并相应更新资产清单。应识别用于检测组织ICT/OT环境中未授权硬件和固件组件存在的机制。

评估
评估状态:
评估备注:
ID.AM-01.2与信息及信息处理设施相关的企业资产清单应反映组织环境的变化,并包括有效问责所需的所有信息。成熟度实践
Identify / 资产管理

应记录、审查并在发生变更时更新支持信息处理的物理和虚拟基础设施资产清单,例如硬件、网络设备和云托管环境。与信息及信息处理设施相关的企业资产清单应反映组织环境的变化,并包含有效问责所需的所有信息。当检测到未经授权的硬件时,应将其隔离以进行可能的例外处理、移除或更换,并相应更新资产清单。应识别用于检测组织ICT/OT环境中未授权硬件和固件组件存在的机制。

评估
评估状态:
评估备注:
ID.AM-01.3当检测到未经授权的硬件时,应将其隔离以便可能的例外处理、移除或更换,并相应更新库存。成熟度实践
Identify / 资产管理

应记录、审查并在发生变更时更新支持信息处理的物理和虚拟基础设施资产清单,例如硬件、网络设备和云托管环境。与信息及信息处理设施相关的企业资产清单应反映组织环境的变化,并包含有效问责所需的所有信息。当检测到未经授权的硬件时,应将其隔离以进行可能的例外处理、移除或更换,并相应更新资产清单。应识别用于检测组织ICT/OT环境中未授权硬件和固件组件存在的机制。

评估
评估状态:
评估备注:
ID.AM-01.4应识别用于检测组织ICT/OT环境中未经授权的硬件和固件组件存在的机制。成熟度实践
Identify / 资产管理

应记录、审查并在发生变更时更新支持信息处理的物理和虚拟基础设施资产清单,例如硬件、网络设备和云托管环境。与信息及信息处理设施相关的企业资产清单应反映组织环境的变化,并包含有效问责所需的所有信息。当检测到未经授权的硬件时,应将其隔离以进行可能的例外处理、移除或更换,并相应更新资产清单。应识别用于检测组织ICT/OT环境中未授权硬件和固件组件存在的机制。

评估
评估状态:
评估备注:

Improvement

1
ID.IM-02.1应使用安全测试和演练,包括与供应商及相关第三方进行的演练,以识别需要改进的领域。成熟度实践
Identify / Improvement

应使用安全测试和演练,包括与供应商及相关第三方进行的演练,以识别需要改进的领域。

评估
评估状态:
评估备注:

风险评估

6
ID.RA-01.1应识别所有相关资产的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注:
ID.RA-01.2应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注:
ID.RA-01.3组织应建立并保持一套文件化流程,使能够持续评审、分析和修复漏洞,并在适用情况下实现信息共享。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注:
ID.RA-01.4为了确保组织的运作不会因测试过程而受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注:
ID.RA-01.5漏洞扫描不得对系统功能产生不利影响。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注:
ID.RA-01.6应识别并管理所有相关资产中的漏洞,包括软件、网络和系统架构以及设施。成熟度实践
Identify / 风险评估

应识别所有相关资产中的威胁和漏洞,包括软件、网络和系统架构,以及存放关键计算资产的设施。应建立一个流程,持续监控、识别并记录组织关键业务系统的漏洞。组织应建立并维护一个文件化流程,使得能够持续审查、分析和修复漏洞,并在适用的情况下实现信息共享。为确保组织的运营不因测试过程受到不利影响,组织系统的性能/负载测试和渗透测试应谨慎进行。漏洞扫描不得对系统功能产生不利影响。应在所有相关资产中识别和管理漏洞,包括软件、网络和系统架构以及设施。

评估
评估状态:
评估备注: