CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 22 / 123933 个分类
CLD-04组织是否确保支持具有应用程序和程序接口 (API) 的组件之间的安全互操作性?控制项
云安全 / 应用程序和程序接口 (API) 安全性

现有机制可确保支持具有应用程序和程序接口 (API) 的组件之间的安全互操作性。

评估
评估状态:
评估备注:
CLD-13.1组织是否授权特定个人访问外部服务提供商 (ESP) 拥有、运营和/或维护的外部系统、应用程序和/或服务?控制项
云安全 / 托管系统、应用程序和服务的授权个人

存在授权特定个人访问外部服务提供商 (ESP) 拥有、运营和/或维护的外部系统、应用程序和/或服务的机制。

评估
评估状态:
评估备注:
CLD-11组织是否利用云访问安全代理 (CASB) 或类似技术来提供边界保护和监控功能,既提供对云的访问,又保护组织免遭云资源的滥用?控制项
云安全 / 云访问安全代理 (CASB)

存在利用云访问安全代理 (CASB) 或类似技术来提供边界保护和监控功能的机制,这些功能既提供对云的访问,又保护组织免遭云资源的滥用。

评估
评估状态:
评估备注:
CLD-01.2组织是否确保云服务退役,以便数据根据适用的组织标准以及法定、监管和合同义务安全地转移到新系统或存档?控制项
云安全 / 云基础设施卸载

现有机制可确保云服务退役,以便数据根据适用的组织标准以及法定、监管和合同义务安全地转移到新系统或存档。

评估
评估状态:
评估备注:
CLD-01.1组织是否确保云服务的设计和配置符合适用的组织标准以及法律、法规和合同义务,从而确保系统、应用程序和流程的安全?控制项
云安全 / 云基础设施入门

现有机制可确保云服务的设计和配置,以便根据适用的组织标准以及法定、监管和合同义务确保系统、应用程序和流程的安全。

评估
评估状态:
评估备注:
CLD-03组织是否在专用子网中托管特定于安全的技术?控制项
云安全 / 云基础设施安全子网

存在在专用子网中托管特定于安全的技术的机制。

评估
评估状态:
评估备注:
CLD-02组织是否确保云安全架构支持组织的技术战略以安全地设计、配置和维护云就业?控制项
云安全 / 云安全架构

现有机制可确保云安全架构支持组织的技术策略,以安全地设计、配置和维护云应用。

评估
评估状态:
评估备注:
CLD-01组织是否促进云管理控制的实施,以确保云实例安全并符合行业实践?控制项
云安全 / 云服务

现有机制可促进云管理控制的实施,以确保云实例安全并符合行业实践。

评估
评估状态:
评估备注:
CLD-06.1组织是否正式记录客户责任矩阵 (CRM),以描述云服务提供商 (CSP) 及其客户之间控制的分配责任?控制项
云安全 / 客户责任矩阵 (CRM)

存在正式记录客户责任矩阵 (CRM) 的机制,描述云服务提供商 (CSP) 与其客户之间的控制分配责任。

评估
评估状态:
评估备注:
CLD-07组织是否确保云提供商使用安全协议来导入、导出和管理基于云的服务中的数据?控制项
云安全 / 数据处理和可移植性

现有机制可确保云提供商使用安全协议来导入、导出和管理基于云的服务中的数据。

评估
评估状态:
评估备注:
CLD-09组织是否根据包括法定、监管和合同义务在内的业务要求控制云处理/存储的位置?控制项
云安全 / 加工、储存和服务地点的地理位置要求

存在根据业务要求(包括法定、监管和合同义务)控制云处理/存储位置的机制。

评估
评估状态:
评估备注:
CLD-13组织是否指定必须在外部系统上实施的适用网络安全和数据保护控制措施,并符合与拥有、运营和/或维护外部系统、应用程序和/或服务的外部服务提供商 (ESP) 制定的合同义务?控制项
云安全 / 托管系统、应用程序和服务

现有机制可指定必须在外部系统上实施的适用网络安全和数据保护控制措施,并符合与拥有、运营和/或维护外部系统、应用程序和/或服务的外部服务提供商 (ESP) 制定的合同义务。

评估
评估状态:
评估备注:
CLD-06组织是否确保设计和管理多租户拥有或管理的资产(物理和虚拟),以便提供商和客户(租户)用户的访问与其他租户用户适当隔离?控制项
云安全 / 多租户环境

现有机制可确保设计和管理多租户拥有或管理的资产(物理和虚拟),以便提供商和客户(租户)用户的访问与其他租户用户适当隔离。

评估
评估状态:
评估备注:
CLD-06.2组织是否确保多租户服务提供商 (MTSP) 为其客户提供符合适用法律、法规和/或合同义务的安全事件记录功能?控制项
云安全 / 多租户事件记录功能

现有机制可确保多租户服务提供商 (MTSP) 为其客户提供符合适用法律、法规和/或合同义务的安全事件记录功能。

评估
评估状态:
评估备注:
CLD-06.3组织是否确保多租户服务提供商 (MTSP) 在发生可疑或已确认的安全事件时促进及时的取证调查?控制项
云安全 / 多租户取证功能

现有机制可确保多租户服务提供商 (MTSP) 在发生可疑或已确认的安全事件时促进及时的取证调查。

评估
评估状态:
评估备注:
CLD-06.4组织是否确保多租户服务提供商 (MTSP) 促进对可疑或已确认的安全事件和漏洞做出及时响应,包括及时通知受影响的客户?控制项
云安全 / 多租户事件响应能力

现有机制可确保多租户服务提供商 (MTSP) 促进对可疑或已确认的安全事件和漏洞做出及时响应,包括及时通知受影响的客户。

评估
评估状态:
评估备注:
CLD-14在验证适用的网络安全和数据保护控制实施之前,组织是否禁止访问或使用托管系统、应用程序和/或服务?控制项
云安全 / 禁止未经验证的托管系统、应用程序和服务

在验证适用的网络安全和数据保护控制实施之前,存在禁止访问或使用托管系统、应用程序和/或服务的机制。

评估
评估状态:
评估备注:
CLD-10组织是否限制和管理公共云提供商中敏感/受监管数据的存储?控制项
云安全 / 公共云提供商中的敏感数据

存在限制和管理公共云提供商中敏感/受监管数据存储的机制。

评估
评估状态:
评估备注:
CLD-13.2组织是否根据所有适用的法律、法规和/或合同义务,使用外部服务提供商 (ESP) 拥有、运营和/或维护的外部系统、应用程序和/或服务定义正式流程来存储、处理和/或传输敏感/受监管数据?控制项
云安全 / 托管系统、应用程序和服务上的敏感/受监管数据

现有机制可根据所有适用的法律、法规和/或合同义务,使用外部服务提供商 (ESP) 拥有、运营和/或维护的外部系统、应用程序和/或服务来定义存储、处理和/或传输敏感/受监管数据的正式流程。

评估
评估状态:
评估备注:
CLD-12使用内容交付网络 (CDN) 时,组织是否通过限制对 CDN 和授权管理网络对源服务器 IP 地址的访问来防止“侧通道攻击”?控制项
云安全 / 侧信道攻击预防

使用内容分发网络 (CDN) 时,存在通过限制对 CDN 和授权管理网络对源服务器 IP 地址的访问来防止“旁道攻击”的机制。

评估
评估状态:
评估备注:
CLD-08组织是否通过要求云提供商使用行业认可的格式并提供自定义更改文档以供审核来确保互操作性?控制项
云安全 / 标准化虚拟化格式

现有机制通过要求云提供商使用行业认可的格式并提供自定义更改文档以供审核来确保互操作性。

评估
评估状态:
评估备注:
CLD-05组织是否始终确保虚拟机映像的完整性?控制项
云安全 / 虚拟机镜像

存在始终确保虚拟机映像完整性的机制。

评估
评估状态:
评估备注: