SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架，包含超过1000个控制要求，覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024•覆盖状态: 完整覆盖 (2478/2478)•控制项/量表/总计: 1239/1239/2478•当前展示: 17 / 1239•33 个分类

CHG-04组织是否强制实施配置限制以限制用户进行未经授权的更改的能力？控制项

变革管理 / 更改访问限制

存在强制配置限制的机制，以限制用户进行未经授权的更改的能力。

评估

评估状态:

评估备注:

CHG-04.1组织是否对配置更改日志进行事后审查以发现任何未经授权的更改？控制项

变革管理 / 自动访问执行/审核

存在对配置更改日志进行事后审查的机制，以发现任何未经授权的更改。

评估

评估状态:

评估备注:

CHG-02.4组织是否使用自动化机制在检测到未经授权的基线配置更改时实施补救措施？控制项

变革管理 / 自动安全响应

存在自动化机制，用于在检测到未经授权的基线配置更改时实施补救措施。

评估

评估状态:

评估备注:

CHG-01组织是否促进变革管理计划的实施？控制项

变革管理 / 变革管理计划

存在促进变革管理计划实施的机制。

评估

评估状态:

评估备注:

CHG-02组织是否管理技术配置变更控制流程？控制项

变革管理 / 配置变更控制

存在管理技术配置变更控制流程的机制。

评估

评估状态:

评估备注:

CHG-06组织是否在实施变更后验证网络安全和/或数据隐私控制的功能，以确保适用的控制按设计运行？控制项

变革管理 / 控制功能验证

现有机制可在实施变更后验证网络安全和/或数据隐私控制的功能，以确保适用的控制按设计运行。

评估

评估状态:

评估备注:

CHG-02.5组织是否根据组织的配置管理流程来管理提供加密保护所涉及的资产？控制项

变革管理 / 密码管理

存在根据组织的配置管理流程来管理涉及提供加密保护的资产的机制。

评估

评估状态:

评估备注:

CHG-02.3组织是否在配置变更控制审核流程中包括网络安全和/或数据隐私代表？控制项

变革管理 / 资产生命周期变化的网络安全和数据隐私代表

存在将网络安全和/或数据隐私代表纳入配置变更控制审查流程的机制。

评估

评估状态:

评估备注:

CHG-04.3组织是否强制执行两人规则来实施关键资产变更？控制项

变革管理 / 变更的双重授权

存在执行两人规则来实施关键资产变更的机制。

评估

评估状态:

评估备注:

CHG-04.5组织是否将软件库权限限制为具有相关业务访问需求的个人？控制项

变革管理 / 图书馆特权

存在将软件库权限限制给具有相关业务访问需求的个人的机制。

评估

评估状态:

评估备注:

CHG-04.4组织是否限制实施变更的操作权限？控制项

变革管理 / 实施变更的权限

存在限制实施变更的操作权限的机制。

评估

评估状态:

评估备注:

CHG-02.1除非收到组织批准的变更请求，否则组织是否禁止未经授权的变更？控制项

变革管理 / 禁止变更

存在禁止未经授权的变更的机制，除非收到组织批准的变更请求。

评估

评估状态:

评估备注:

CHG-06.1组织是否向适当的组织管理层报告网络安全和数据隐私功能验证的结果？控制项

变革管理 / 报告验证结果

存在向适当的组织管理层报告网络安全和数据隐私功能验证结果的机制。

评估

评估状态:

评估备注:

CHG-03在实施变更之前，组织是否分析了拟议变更的潜在安全影响？控制项

变革管理 / 变更的安全影响分析

在实施变更之前，存在用于分析拟议变更的潜在安全影响的机制。

评估

评估状态:

评估备注:

CHG-04.2组织是否在未验证组件已使用组织批准的证书颁发机构进行数字签名的情况下阻止安装软件和固件组件？控制项

变革管理 / 签名组件

存在一些机制来防止在未验证组件已使用组织批准的证书颁发机构进行数字签名的情况下安装软件和固件组件。

评估

评估状态:

评估备注:

CHG-05组织是否确保利益相关者意识到并理解拟议变更的影响？控制项

变革管理 / 利益相关者变更通知

现有机制可确保利益相关者意识到并理解拟议变更的影响。

评估

评估状态:

评估备注:

CHG-02.2在生产环境中实施变更之前，组织是否在非生产环境中适当测试并记录了提议的变更？控制项

变革管理 / 测试、验证和记录变更

在生产环境中实施变更之前，存在适当测试和记录非生产环境中提议的变更的机制。

评估

评估状态: