网络与信息安全指令2 2023
控制项模式欧盟网络与信息安全指令,加强整个欧盟的网络安全要求。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。对于至少相关的信息和网络系统,其安全(加固)的参考配置已在更新的清单中定义并记录。| 2. 根据措施 GV.PO-01 的政策,已采用并记录与第 1 点相关的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。除非有合理且有文件记录的规范或技术原因,否则只安装保证提供安全更新的软件,包括操作系统。| 2. 除非有合理且有文件记录的规范或技术原因,否则应根据措施 ID.RA-08 中提到的漏洞管理计划,及时安装制造商发布的最新安全更新。| 3.根据GV.PO-01措施中提到的政策,针对第1点和第2点采用并记录了相关程序。| 4. 除非有正当且有文件证明的规范或技术原因,并且符合ID.RA-05措施中提到的风险评估结果,被认为关键的软件在实际部署到运行环境之前,会在测试环境中进行验证。5.根据措施 GV.PO-01 中提到的政策,针对第4点采取并记录了相应的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。至少对于相关的信息系统和网络,已制定并记录了用于数据存储设备的物理转移和安全处置的程序。| 2. 至少对于相关的信息系统和网络,会保留一份或多份硬件维护记录。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。所有远程访问以及使用具有管理员权限的账户进行的访问都会被记录。| 2.对于至少相关的信息和网络系统,用于监控安全事件的日志(包括与第1点中提到的访问相关的日志)会被安全存储,并可能集中管理。| 3.根据措施ID的风险评估结果。RA-05,第2点中提到的日志保留时间已定义并记录。| 4. 根据GV.PO-01措施的政策,已采用并记录关于第1点和第2点的程序。
配置管理实践已建立并得到应用。软件根据风险进行维护、替换和移除。硬件根据风险进行维护、替换和移除。生成日志记录并可用于持续监控。安全软件开发实践已整合,并在整个软件生命周期中监控其性能。标准:1。在软件开发中采用并记录安全代码开发实践。