安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
现有机制包括捕获负责/负责管理资产的个人的姓名、职位和/或角色,作为技术资产清单流程的一部分。
存在记录和管理已批准的偏离既定基线配置的实例的机制。
现有机制可维护最新的已批准技术(硬件和软件)列表。
存在对技术资产进行分类的机制。
现有机制可促进 IT 资产管理 (ITAM) 计划实施和管理资产管理控制。
现有的技术资产清查机制能够: (1) 准确反映当前使用的系统、应用程序和服务; (2) 标识授权软件产品,包括商业理由详细信息; (3) 达到跟踪和报告所需的粒度级别; (4) 包括组织定义的被视为实现有效财产问责所必需的信息; (5) 可供指定的组织人员审查和审计。
现有机制可确保在团队、个人或负责组织级别分配、跟踪和管理资产所有权责任,以建立对资产保护要求的共同理解。
现有机制通过识别、分配和记录所有系统、应用程序、服务和人员(内部和第三方)的适当资产范围分类来确定网络安全和数据隐私控制的适用性。
现有机制可识别和评估支持多个关键业务功能的技术资产的安全性。
现有机制可教育用户在旅行时需要在异地(最好是在车辆后备箱中)对笔记本电脑和其他移动设备进行物理保护。
存在跟踪系统组件地理位置的机制。
存在自动机制来检测未经授权的硬件、软件和固件组件并在检测到时发出警报。
存在防止在敏感区域使用蓝牙和无线设备(例如近场通信 (NFC))的机制,或者除非在射频 (RF) 屏蔽的建筑物中使用。
存在实施和管理自带设备 (BYOD) 计划的机制,以降低工作场所中个人拥有设备的相关风险。
存在对人工智能 (AI) 和自主技术 (AAT) 进行分类的机制。
存在用于创建和维护法定、监管和/或合同合规义务范围内的系统、应用程序和服务的当前清单的机制,这些机制提供了足够的详细信息,以便根据资产范围分类确定控制的适用性。
存在将组件绑定到特定系统的机制。
存在建立和维护权威来源和存储库的机制,为已批准和实施的系统组件提供可信来源和问责制,防止资产在其他资产清单中重复。
存在实施和管理配置管理数据库(CMDB)或类似技术的机制,以监视和管理技术资产特定信息。
现有机制可以安全地配置包含非接触式 RFID 或智能卡的非接触式访问控制系统,以保护数据的机密性和完整性,并防止安全空间受到损害。
现有机制可确保通过以图形方式表示适用边界来适当确定系统、应用程序、服务和第三方的控制适用性。
存在创建和维护技术资产地图的机制,其中存储、传输或处理敏感/受监管的数据。
存在开发、实施和管理数据库管理流程的机制,以及相应的标准化操作程序(SOP),用于操作和维护数据库。
如果适用,存在实施和维护数据库管理系统 (DBMS) 的机制。
现有机制可确保系统、应用程序和服务正确退役,以便数据根据适用的组织标准以及法定、监管和合同义务正确转移到新系统或存档。
存在启用动态主机配置协议 (DHCP) 服务器日志记录的机制,以改善资产清单并协助检测未知系统。
存在防止在不安全空间中使用视线和反射红外 (IR) 通信的机制。
存在对关键技术资产进行物理和逻辑检查以检测篡改证据的机制。
存在通过位于与用户工作站不同的网络区域中的“跳转盒”或“跳转服务器”来执行远程系统管理功能的机制。
存在适当的机制来保护通过直接物理交互捕获敏感/受监管数据的设备免遭篡改和替换。
存在用于验证关键技术资产在其整个生命周期中的逻辑配置设置和物理完整性的机制。
对于转移到组织设施之外的任何敏感/受监管媒体,存在获得管理层批准的机制。
存在配置资产的机制,以禁止在安全区域或讨论敏感/受监管信息的地方使用基于端点的麦克风和网络摄像头。
存在根据行业认可的设备类型安全实践安全配置多功能设备 (MFD) 的机制。
存在采用网络访问控制(NAC)或类似技术的自动化机制,其能够检测未经授权的设备并禁用对那些未经授权的设备的网络访问。
存在维护网络架构图的机制: (1) 包含足够的细节来评估网络架构的安全性; (2)反映当前网络环境的架构; (3) 记录所有敏感/受监管的数据流。
存在定期检查系统和系统组件的妥协指标 (IoC) 的机制。
存在管理供应链风险管理 (SCRM) 制裁的机制,这些制裁要求取消和禁止被法定或监管机构指定为供应链威胁的某些技术服务和/或设备。
存在跟踪系统、系统组件和相关数据的起源、开发、所有权、位置和变化的机制。
存在安全管理射频识别 (RFID) 部署的机制,以确保安全可靠地使用 RFID,以保护数据的机密性和完整性,并防止安全空间受到损害。
当从海外旅行返回专制国家时,存在重新映像最终用户技术(例如笔记本电脑和移动设备)的机制,该国家的知识产权(IP)盗窃或针对个人和私营公司的间谍活动的风险高于平均水平。
存在授权、控制和跟踪技术资产进出组织设施的机制。
现有机制可确保员工和第三方用户在雇佣、合同或协议终止时归还其拥有的所有组织资产。
存在提供和保护产品供应商密钥和数据的机密性、完整性和真实性的机制,这些密钥和数据可用作完整性验证的“信任根”基础。
存在使用组织定义的技术和方法来安全地处置、销毁或重新利用系统组件的机制,以防止从这些组件中恢复信息。
存在对任何类型的敏感/受监管媒体的内部或外部分发进行严格控制的机制。
存在通过软件许可限制来保护知识产权 (IP) 的机制。
现有机制可识别并吸引关键系统、应用程序和服务的相关利益相关者,以支持这些资产的持续安全管理。
现有机制可以为系统、应用程序和服务实现可扩展的标准化命名约定,从而避免资产命名冲突。
存在开发、实施和管理系统管理流程的机制,以及相应的标准化操作程序(SOP),用于操作和维护系统、应用程序和服务。
存在建立电信设备使用限制和实施指南的机制,以防止潜在的损坏或未经授权的修改,并防止潜在的窃听。
当出国旅行的人员前往知识产权 (IP) 盗窃或针对个人和私营公司的间谍活动的风险高于平均水平的专制国家时,现有机制可以向出国旅行的人员发放临时的、借用的或“仅供旅行”的最终用户技术(例如笔记本电脑和移动设备)。
存在对无人值守系统实施增强保护措施的机制,以防止篡改和未经授权的访问。
作为组件安装、拆卸和资产升级的一部分,存在更新资产库存的机制。
存在监控和强制执行使用参数的机制,以限制因未经授权或无意的系统参数更改而造成的潜在损害。
存在限制在组织控制的设施内拥有和使用个人拥有的技术设备的机制。
现有机制可降低与连接到网络的第三方资产损害组织资产或泄露组织数据相关的风险。
现有机制可在端点设备和指定会议室中实现安全视频电话会议 (VTC) 功能,以防止潜在的窃听。
存在实现安全互联网协议电话 (IPT) 的机制,该机制在逻辑上或物理上将互联网协议语音 (VoIP) 流量与数据网络分开。