CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 54 / 123933 个分类
BCD-09.2在发生区域性中断或灾难时,组织是否识别并缓解备用处理地点的潜在可访问性问题以及可能的缓解措施?控制项
业务连续性和灾难恢复 / Accessibility

现有机制可识别和缓解备用处理地点的潜在可达性问题,并在发生区域性破坏或灾难时采取可能的缓解措施。

评估
评估状态:
评估备注:
BCD-16组织是否处理被视为高风险的人工智能 (AI) 和自主技术 (AAT) 故障或事件?控制项
业务连续性和灾难恢复 / 人工智能和自主技术事件

存在处理被视为高风险的人工智能 (AI) 和自主技术 (AAT) 故障或事件的机制。

评估
评估状态:
评估备注:
BCD-10.4组织是否通过备用通信渠道维持指挥和控制能力,并在主要决策者无法使用时指定备用决策者?控制项
业务连续性和灾难恢复 / 替代沟通渠道

存在通过替代通信渠道维持指挥和控制能力的机制,并在主要决策者无法使用时指定替代决策者。

评估
评估状态:
评估备注:
BCD-09组织是否建立了备用处理站点来提供与主站点相同的安全措施?控制项
业务连续性和灾难恢复 / 替代处理地点

存在建立备用处理站点的机制,该站点提供与主站点等效的安全措施。

评估
评估状态:
评估备注:
BCD-09.3组织是否在支持可用性要求(包括恢复时间目标 (RTO))的备用处理和存储站点中解决了服务优先级规定?控制项
业务连续性和灾难恢复 / 备用站点服务优先级

现有机制可解决支持可用性要求的备用处理和存储站点中的服务优先级规定,包括恢复时间目标 (RTO)。

评估
评估状态:
评估备注:
BCD-04.2组织是否在备用存储和处理地点测试应急计划,以使应急人员熟悉设施并评估备用处理地点支持应急操作的能力?控制项
业务连续性和灾难恢复 / 替代储存和加工地点

现有机制可测试备用储存和加工地点的应急计划,以使应急人员熟悉该设施并评估备用加工地点支持应急行动的能力。

评估
评估状态:
评估备注:
BCD-08组织是否建立了备用存储站点,其中包括允许存储和恢复系统备份信息的资产和必要协议?控制项
业务连续性和灾难恢复 / 备用存储站点

存在建立备用存储站点的机制,其中包括允许存储和恢复系统备份信息的资产和必要的协议。

评估
评估状态:
评估备注:
BCD-07当实现安全功能的主要手段不可用或受到损害时,组织是否实施替代或补偿控制来满足安全功能?控制项
业务连续性和灾难恢复 / Alternative Security Measures

当实现安全功能的主要手段不可用或受到损害时,存在用于实现替代或补偿控制以满足安全功能的机制。

评估
评估状态:
评估备注:
BCD-03.2组织是否使用自动化机制来提供更全面、更现实的应急培训环境?控制项
业务连续性和灾难恢复 / 自动化培训环境

自动化机制的存在可以提供更全面、更现实的应急培训环境。

评估
评估状态:
评估备注:
BCD-11.9组织是否将备份访问权限限制为具有数据备份和恢复操作分配角色的特权用户?控制项
业务连续性和灾难恢复 / 备份访问

存在一些机制来限制具有数据备份和恢复操作角色的特权用户对备份的访问。

评估
评估状态:
评估备注:
BCD-13组织是否保护备份和恢复硬件和软件?控制项
业务连续性和灾难恢复 / 备份与恢复硬件保护

存在保护备份和恢复硬件和软件的机制。

评估
评估状态:
评估备注:
BCD-11.10组织是否限制具有分配的数据备份和恢复操作角色的特权用户修改和/或删除备份的访问权限?控制项
业务连续性和灾难恢复 / 备份修改和/或销毁

存在一些机制来限制具有分配的数据备份和恢复操作角色的特权用户修改和/或删除备份的访问权限。

评估
评估状态:
评估备注:
BCD-01组织是否促进实施应急计划控制,以帮助确保具有弹性的资产和服务(例如,运营连续性计划 (COOP) 或业务连续性和灾难恢复 (BC/DR) 手册)?控制项
业务连续性和灾难恢复 / 业务连续性管理系统(BCMS)

现有机制可促进应急计划控制的实施,以帮助确保具有弹性的资产和服务(例如,运营连续性计划 (COOP) 或业务连续性和灾难恢复 (BC/DR) 手册)。

评估
评估状态:
评估备注:
BCD-05每次启动应急计划时,组织是否都会进行根本原因分析 (RCA) 和“经验教训”活动?控制项
业务连续性和灾难恢复 / 应急计划根本原因分析 (RCA) 和经验教训

每次启动应急计划时,都有进行根本原因分析 (RCA) 和“经验教训”活动的机制。

评估
评估状态:
评估备注:
BCD-04组织是否进行测试和/或演习来评估应急计划的有效性以及组织执行该计划的准备情况?控制项
业务连续性和灾难恢复 / 应急计划测试和演习

存在进行测试和/或练习的机制,以评估应急计划的有效性以及组织执行该计划的准备情况。

评估
评估状态:
评估备注:
BCD-03组织是否对应急人员和相关利益相关者进行了充分的应急角色和职责培训?控制项
业务连续性和灾难恢复 / 应急培训

现有机制可以对应急人员和相关利益相关者的应急角色和职责进行充分培训。

评估
评估状态:
评估备注:
BCD-02.2组织是否能够在几乎不损失运营连续性的情况下继续执行基本任务和业务功能,并维持这种连续性,直到主要处理和/或存储站点的系统完全恢复?控制项
业务连续性和灾难恢复 / 继续履行基本使命和业务职能

现有机制可以继续执行基本任务和业务功能,而几乎不会损失运营连续性,并维持这种连续性,直到主要处理和/或存储站点的系统完全恢复。

评估
评估状态:
评估备注:
BCD-01.2组织是否协调内部应急计划与外部服务提供商的应急计划,以确保满足应急需求?控制项
业务连续性和灾难恢复 / 与外部服务提供商协调

存在协调内部应急计划与外部服务提供商应急计划的机制,以确保满足应急需求。

评估
评估状态:
评估备注:
BCD-01.1组织是否与负责相关计划的内部和外部部门协调应急计划的制定?控制项
业务连续性和灾难恢复 / 与相关规划协调

存在协调应急计划制定与负责相关计划的内部和外部要素的机制。

评估
评估状态:
评估备注:
BCD-04.1组织是否与负责相关计划的内部和外部部门协调应急计划测试?控制项
业务连续性和灾难恢复 / 与相关计划协调测试

存在协调应急计划测试与负责相关计划的内部和外部要素的机制。

评估
评估状态:
评估备注:
BCD-11.4是否利用加密机制来防止未经授权的泄露和/或修改备份信息?控制项
业务连续性和灾难恢复 / 加密保护

加密机制的存在是为了防止未经授权的泄露和/或修改备份信息。

评估
评估状态:
评估备注:
BCD-11组织是否创建数据、软件和/或系统映像的定期备份,并验证这些备份的完整性,以确保数据的可用性以满足恢复时间目标 (RTO) 和恢复点目标 (RPO)?控制项
业务连续性和灾难恢复 / 数据备份

现有机制可创建数据、软件和/或系统映像的定期备份,并验证这些备份的完整性,以确保数据的可用性以满足恢复时间目标 (RTO) 和恢复点目标 (RPO)。

评估
评估状态:
评估备注:
BCD-02.4组织是否对包含敏感/受监管数据的存储位置进行定期安全审查?控制项
业务连续性和灾难恢复 / 数据存储位置评论

存在对包含敏感/受监管数据的存储位置进行定期安全审查的机制。

评估
评估状态:
评估备注:
BCD-11.8组织是否实施并强制执行双重授权来删除或销毁敏感备份介质和数据?控制项
业务连续性和灾难恢复 / 备份介质销毁双重授权

存在实施和强制删除或销毁敏感备份介质和数据的双重授权的机制。

评估
评估状态:
评估备注:
BCD-12.3组织是否利用涵盖当前和存档通信交易的电子取证 (eDiscovery)?控制项
业务连续性和灾难恢复 / 电子取证(eDiscovery)

存在利用涵盖当前和存档通信交易的电子发现(eDiscovery)的机制。

评估
评估状态:
评估备注:
BCD-12.2组织是否实施实时或近实时故障转移功能来维持关键系统、应用程序和/或服务的可用性?控制项
业务连续性和灾难恢复 / 故障转移能力

存在实现实时或近实时故障转移功能的机制,以维持关键系统、应用程序和/或服务的可用性。

评估
评估状态:
评估备注:
BCD-02组织是否识别并记录支持基本任务和业务功能的关键系统、应用程序和服务?控制项
业务连续性和灾难恢复 / 识别关键资产

存在识别和记录支持基本任务和业务功能的关键系统、应用程序和服务的机制。

评估
评估状态:
评估备注:
BCD-09.5组织是否针对无法返回初级加工场地的自然和人为环境进行计划和准备?控制项
业务连续性和灾难恢复 / 无法返回主站点

现有机制可以针对阻止返回初级加工场地的自然和人为环境进行规划和准备。

评估
评估状态:
评估备注:
BCD-11.3组织是否从代表安全、运行状态的配置控制和完整性保护映像中重新映像资产?控制项
业务连续性和灾难恢复 / 信息系统成像

存在从代表安全、操作状态的配置控制和完整性保护映像重新映像资产的机制。

评估
评估状态:
评估备注:
BCD-12组织是否确保系统在中断、妥协或故障后安全恢复和重组到已知状态?控制项
业务连续性和灾难恢复 / 信息系统恢复与重建

现有机制可确保系统在中断、妥协或故障后安全恢复和重组至已知状态。

评估
评估状态:
评估备注:
BCD-14组织是否利用隔离的非生产环境通过离线、云或异地功能执行数据备份和恢复操作?控制项
业务连续性和灾难恢复 / 隔离恢复环境

存在利用隔离的非生产环境通过离线、云或异地功能执行数据备份和恢复操作的机制。

评估
评估状态:
评估备注:
BCD-06组织是否使应急计划与业务需求、技术变化以及应急计划测试活动的反馈保持同步?控制项
业务连续性和灾难恢复 / 持续的应急计划

现有机制可以使应急计划与业务需求、技术变化和应急计划测试活动的反馈保持同步。

评估
评估状态:
评估备注:
BCD-09.4组织是否准备备用处理备用来支持基本任务和业务功能,以便备用站点能够用作主站点?控制项
业务连续性和灾难恢复 / 使用准备

存在准备备用处理备用站点的机制,以支持基本任务和业务功能,以便备用站点能够用作主站点。

评估
评估状态:
评估备注:
BCD-10.3组织是否根据合同要求外部服务提供商制定满足组织应急要求的应急计划?控制项
业务连续性和灾难恢复 / 提供商应急计划

现有机制可以通过合同要求外部服务提供商制定满足组织应急要求的应急计划。

评估
评估状态:
评估备注:
BCD-01.6组织是否向指定的内部和外部利益相关者传达恢复活动的状态和恢复运营能力的进度?控制项
业务连续性和灾难恢复 / 恢复操作通信

现有机制可向指定的内部和外部利益相关者传达恢复活动的状态和恢复运营能力的进展情况。

评估
评估状态:
评估备注:
BCD-01.5组织是否定义了启动业务连续性/灾难恢复 (BC/DR) 计划必须满足的特定标准,以促进能够满足适用的恢复时间目标 (RTO) 和恢复点目标 (RPO) 的业务连续性操作?控制项
业务连续性和灾难恢复 / 恢复操作标准

现有机制可定义启动业务连续性/灾难恢复 (BC/DR) 计划时必须满足的特定标准,以促进能够满足适用的恢复时间目标 (RTO) 和恢复点目标 (RPO) 的业务连续性操作。

评估
评估状态:
评估备注:
BCD-01.4组织是否根据恢复时间目标 (RTO) 和恢复点目标 (RPO) 促进恢复操作?控制项
业务连续性和灾难恢复 / 恢复时间/点目标 (RTO/RPO)

现有机制可根据恢复时间目标 (RTO) 和恢复点目标 (RPO) 促进恢复操作。

评估
评估状态:
评估备注:
BCD-11.7组织是否维护一个不与主系统、应用程序和/或服务并置的故障转移系统,该系统可以在几乎不丢失信息或不中断操作的情况下激活?控制项
业务连续性和灾难恢复 / 冗余辅助系统

存在维护故障转移系统的机制,该系统不与主系统、应用程序和/或服务并置,可以在几乎没有信息丢失或操作中断的情况下激活故障转移系统。

评估
评估状态:
评估备注:
BCD-15组织是否购买并维护足够的备用硬件储备,以确保在供应链中断时能够维持基本任务和业务功能?控制项
业务连续性和灾难恢复 / 预留硬件

现有机制可以购买和维持足够的备用硬件储备,以确保在供应链中断时仍能维持基本任务和业务功能。

评估
评估状态:
评估备注:
BCD-13.1在使用备份和其他恢复资产进行恢复之前,组织是否验证其完整性?控制项
业务连续性和灾难恢复 / 恢复完整性验证

在使用备份和其他恢复资产进行恢复之前,存在验证其完整性的机制。

评估
评估状态:
评估备注:
BCD-12.4组织是否在组织定义的恢复时间内从配置控制和完整性保护的信息恢复系统、应用程序和/或服务;代表资产的已知运行状态?控制项
业务连续性和灾难恢复 / 在一段时间内恢复

存在用于在组织定义的恢复时间段内从配置控制和完整性保护的信息恢复系统、应用程序和/或服务的机制;代表资产的已知运行状态。

评估
评估状态:
评估备注:
BCD-02.1组织是否在应急计划激活的恢复时间目标 (RTO) 内恢复所有任务和业务功能?控制项
业务连续性和灾难恢复 / 恢复所有使命和业务职能

现有机制可在应急计划激活的恢复时间目标 (RTO) 内恢复所有任务和业务功能。

评估
评估状态:
评估备注:
BCD-02.3组织是否在组织定义的应急计划启动时间内恢复基本任务和业务功能?控制项
业务连续性和灾难恢复 / 恢复基本任务和业务职能

现有机制可在组织规定的应急计划启动时间内恢复基本任务和业务职能。

评估
评估状态:
评估备注:
BCD-11.2组织是否将关键软件和其他安全相关信息的备份副本存储在单独的设施或未与备份系统并置的防火容器中?控制项
业务连续性和灾难恢复 / 关键信息单独存储

现有机制可将关键软件和其他安全相关信息的备份副本存储在单独的设施或不与备份系统并置的防火容器中。

评估
评估状态:
评估备注:
BCD-09.1组织是否将备用处理站点与主处理站点分开以降低对类似威胁的敏感性?控制项
业务连续性和灾难恢复 / 与主站点分离

存在将备用处理站点与主处理站点分开的机制,以降低对类似威胁的敏感性。

评估
评估状态:
评估备注:
BCD-10.2组织是否从与主要服务提供商分开的提供商处获得替代电信服务,以降低对相同威胁的敏感性?控制项
业务连续性和灾难恢复 / 主要/备用提供商的分离

存在从与主要服务提供商分开的提供商处获取替代电信服务的机制,以降低对相同威胁的敏感性。

评估
评估状态:
评估备注:
BCD-03.1组织是否将模拟事件纳入应急培训,以促进人员在危机情况下有效应对?控制项
业务连续性和灾难恢复 / 模拟事件

存在将模拟事件纳入应急培训的机制,以促进人员在危机情况下有效应对。

评估
评估状态:
评估备注:
BCD-10.1组织是否正式制定主要和备用电信服务协议,其中包含支持可用性要求的服务优先级条款,包括恢复时间目标 (RTO)?控制项
业务连续性和灾难恢复 / 电信优先服务规定

存在正式化主要和备用电信服务协议的机制,其中包含支持可用性要求的服务优先级条款,包括恢复时间目标(RTO)。

评估
评估状态:
评估备注:
BCD-10组织是否降低了主要电信服务出现单点故障的可能性?控制项
业务连续性和灾难恢复 / 电信服务可用性

现有机制可减少主要电信服务出现单点故障的可能性。

评估
评估状态:
评估备注:
BCD-11.5作为业务连续性计划测试的一部分,组织是否利用可用备份的抽样来测试恢复能力?控制项
业务连续性和灾难恢复 / 使用采样进行测试恢复

作为业务连续性计划测试的一部分,存在利用可用备份采样来测试恢复能力的机制。

评估
评估状态:
评估备注:
BCD-11.1组织是否定期测试备份以验证备份过程的可靠性以及数据的完整性和可用性?控制项
业务连续性和灾难恢复 / 可靠性和完整性测试

存在定期测试备份的机制,以验证备份过程的可靠性以及数据的完整性和可用性。

评估
评估状态:
评估备注:
BCD-12.1组织是否利用专门的备份机制来允许根据恢复点目标 (RPO) 对基于事务的应用程序和服务进行事务恢复?控制项
业务连续性和灾难恢复 / 交易恢复

存在利用专门备份机制的机制,这些机制将允许根据恢复点目标 (RPO) 对基于事务的应用程序和服务进行事务恢复。

评估
评估状态:
评估备注:
BCD-01.3在发生破坏性事件或执行连续性计划期间,组织是否将人员重新部署到其他角色?控制项
业务连续性和灾难恢复 / 转移至备用处理/储存地点

在发生破坏性事件或执行连续性计划期间,存在将人员重新部署到其他角色的机制。

评估
评估状态:
评估备注:
BCD-11.6组织是否以能够满足恢复时间目标 (RTO) 和恢复点目标 (RPO) 的速率将备份数据传输到备用存储站点?控制项
业务连续性和灾难恢复 / 转移到备用存储地点

存在以能够满足恢复时间目标 (RTO) 和恢复点目标 (RPO) 的速率将备份数据传输到备用存储站点的机制。

评估
评估状态:
评估备注: