CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 28 / 123933 个分类
CRY-01.1是否使用加密机制作为物理保护措施的替代方案来防止未经授权的信息泄露?控制项
加密保护 / 替代物理保护

加密机制的存在是为了防止未经授权的信息泄露,作为物理保护的替代方案。

评估
评估状态:
评估备注:
CRY-09.5组织是否确保加密密钥与个人身份绑定?控制项
加密保护 / 指定所有者

存在确保加密密钥与个人身份绑定的机制。

评估
评估状态:
评估备注:
CRY-09.2组织是否使用符合联邦信息处理标准 (FIPS) 的密钥管理技术和保护用户私钥的流程来促进非对称加密密钥的生产和管理?控制项
加密保护 / 非对称密钥

现有机制可以使用符合联邦信息处理标准 (FIPS) 的密钥管理技术和保护用户私钥的流程来促进非对称加密密钥的生成和管理。

评估
评估状态:
评估备注:
CRY-08.1组织是否确保在密钥丢失时数据的可用性?控制项
加密保护 / Availability

存在弹性机制以确保在丢失加密密钥时数据的可用性。

评估
评估状态:
评估备注:
CRY-11组织是否使用自动化机制来支持使用组织定义的证书颁发机构 (CA) 来促进受保护会话的建立?控制项
加密保护 / 证书颁发机构

存在自动化机制,可以使用组织定义的证书颁发机构 (CA) 来促进受保护会话的建立。

评估
评估状态:
评估备注:
CRY-12组织是否使用自动化机制来发现何时为组织控制的域颁发新证书?控制项
加密保护 / 证书监控

存在自动化机制来发现何时为组织控制的域颁发新证书。

评估
评估状态:
评估备注:
CRY-01.4是否使用加密机制来隐藏或随机化通信模式?控制项
加密保护 / 隐藏/随机化通信

加密机制的存在是为了隐藏或随机化通信模式。

评估
评估状态:
评估备注:
CRY-09.4组织是否使用行业认可的密钥管理技术和流程促进对称和非对称加密密钥的安全分发?控制项
加密保护 / 密钥的控制和分发

现有机制可以使用行业认可的密钥管理技术和流程来促进对称和非对称加密密钥的安全分发。

评估
评估状态:
评估备注:
CRY-01.5组织是否识别、记录和审查已部署的加密密码套件和协议,以主动响应有关所用加密密码套件和协议的持续可行性的行业趋势?控制项
加密保护 / 加密密码套件和协议清单

存在识别、记录和审查已部署的加密密码套件和协议的机制,以主动响应有关所使用的加密密码套件和协议的持续可行性的行业趋势。

评估
评估状态:
评估备注:
CRY-09.3组织是否确保在个人用户丢失加密密钥的情况下信息的可用性?控制项
加密保护 / 密钥丢失或更改

现有机制可确保在个人用户丢失加密密钥时信息的可用性。

评估
评估状态:
评估备注:
CRY-09组织是否促进加密密钥管理控制以保护密钥的机密性、完整性和可用性?控制项
加密保护 / 密钥管理

存在促进加密密钥管理控制的机制,以保护密钥的机密性、完整性和可用性。

评估
评估状态:
评估备注:
CRY-02组织是否使用自动化机制来使系统能够对加密模块进行身份验证?控制项
加密保护 / 加密模块认证

存在自动化机制,使系统能够对加密模块进行身份验证。

评估
评估状态:
评估备注:
CRY-05.3组织是否确保数据库服务器利用加密来保护数据库内数据的机密性?控制项
加密保护 / 数据库加密

存在确保数据库服务器利用加密来保护数据库内数据的机密性的机制。

评估
评估状态:
评估备注:
CRY-05是否利用加密机制来防止未经授权的静态数据泄露?控制项
加密保护 / 静态加密数据

加密机制的存在是为了防止未经授权的静态数据泄露。

评估
评估状态:
评估备注:
CRY-01.2该组织是否按照相关法律和监管要求处理加密技术的出口?控制项
加密保护 / 出口管制密码学

存在符合相关法律和监管要求的解决密码技术出口问题的机制。

评估
评估状态:
评估备注:
CRY-09.7组织是否保持对通过外部系统存储或传输的加密材料的密钥的控制?控制项
加密保护 / 外部系统密钥控制

存在维持对通过外部系统存储或传输的加密材料的加密密钥的控制的机制。

评估
评估状态:
评估备注:
CRY-06是否使用加密机制来保护非控制台管理访问的机密性和完整性?控制项
加密保护 / 非控制台管理访问

加密机制的存在是为了保护非控制台管理访问的机密性和完整性。

评估
评估状态:
评估备注:
CRY-05.2组织是否从在线存储中删除未使用的数据并将其离线存档在安全位置,直到可以根据数据保留要求进行处置?控制项
加密保护 / 离线存储

存在从在线存储中删除未使用的数据并将其离线归档到安全位置的机制,直到可以根据数据保留要求对其进行处理。

评估
评估状态:
评估备注:
CRY-01.3是否利用加密机制来确保信息在准备传输和接收期间的机密性和完整性?控制项
加密保护 / 传输前/传输后处理

加密机制的存在是为了确保信息在准备传输和接收期间的机密性和完整性。

评估
评估状态:
评估备注:
CRY-08组织是否安全地实施内部公钥基础设施 (PKI) 基础设施或从信誉良好的 PKI 服务提供商获取 PKI 服务?控制项
加密保护 / 公钥基础设施 (PKI)

存在安全实施内部公钥基础设施 (PKI) 基础设施或从信誉良好的 PKI 服务提供商获取 PKI 服务的机制。

评估
评估状态:
评估备注:
CRY-05.1是否利用加密机制来保护存储介质上敏感/受监管数据的机密性和完整性?控制项
加密保护 / 存储介质

加密机制的存在是为了保护存储介质上敏感/受监管数据的机密性和完整性。

评估
评估状态:
评估备注:
CRY-09.1组织是否使用符合联邦信息处理标准 (FIPS) 的密钥管理技术和流程来促进对称加密密钥的生产和管理?控制项
加密保护 / 对称密钥

现有机制可促进使用符合联邦信息处理标准 (FIPS) 的密钥管理技术和流程来生成和管理对称加密密钥。

评估
评估状态:
评估备注:
CRY-09.6组织是否确保在共享加密密钥时向客户提供适当的密钥管理指导?控制项
加密保护 / 第三方加密密钥

现有机制可确保在共享加密密钥时向客户提供适当的密钥管理指导。

评估
评估状态:
评估备注:
CRY-03是否使用加密机制来保护传输数据的机密性?控制项
加密保护 / 传输保密性

加密机制的存在是为了保护正在传输的数据的机密性。

评估
评估状态:
评估备注:
CRY-04是否利用加密机制来保护传输数据的完整性?控制项
加密保护 / 传输完整性

加密机制的存在是为了保护正在传输的数据的完整性。

评估
评估状态:
评估备注:
CRY-10组织是否确保系统将安全属性与系统之间交换的信息相关联?控制项
加密保护 / 网络安全和数据隐私属性的传输

存在确保系统将安全属性与系统之间交换的信息相关联的机制。

评估
评估状态:
评估备注:
CRY-01组织是否使用已知的公共标准和可信的加密技术促进加密保护控制的实施?控制项
加密保护 / 使用加密控制

存在促进使用已知公共​​标准和可信加密技术实施加密保护控制的机制。

评估
评估状态:
评估备注:
CRY-07组织是否通过安全身份验证和加密来保护无线访问?控制项
加密保护 / 无线接入认证与加密

存在通过安全身份验证和加密来保护无线访问的机制。

评估
评估状态:
评估备注: