CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 19 / 123933 个分类
EMB-13Does the organization restrict embedded technologies to communicate only with authorized peers and service endpoints?控制项
嵌入式技术 / 授权通讯

存在限制嵌入式技术仅与授权对等点和服务端点通信的机制。

评估
评估状态:
评估备注:
EMB-16Does the organization enforce certificate-based authentication for embedded technologies (e.g., IoT, OT, etc.) and their supporting services?控制项
嵌入式技术 / 基于证书的身份验证

现有机制可以对嵌入式技术(例如物联网、OT 等)及其支持服务实施基于证书的身份验证。

评估
评估状态:
评估备注:
EMB-17组织是否实施了利用预配置云信任锚的嵌入式技术来支持安全引导和零接触配置 (ZTP)?控制项
嵌入式技术 / 芯片到云的安全

现有机制可实现嵌入式技术,利用预先配置的云信任锚来支持安全引导和零接触配置 (ZTP)。

评估
评估状态:
评估备注:
EMB-05Does the organization generate log entries on embedded devices when configuration changes or attempts to access interfaces are detected?控制项
嵌入式技术 / 嵌入式技术配置监控

当检测到配置更改或尝试访问接口时,存在在嵌入式设备上生成日志条目的机制。

评估
评估状态:
评估备注:
EMB-07组织是否安全地更新嵌入式设备上的软件和升级功能?控制项
嵌入式技术 / 嵌入式技术维护

存在安全更新嵌入式设备上的软件和升级功能的机制。

评估
评估状态:
评估备注:
EMB-10组织是否根据需要或至少每年对已部署的嵌入式技术进行评估,以确保识别和实施必要的更新以减轻与传统嵌入式技术相关的风险?控制项
嵌入式技术 / 嵌入式技术评论

存在根据需要或至少每年一次对已部署的嵌入式技术进行评估的机制,以确保识别和实施必要的更新,以减轻与遗留嵌入式技术相关的风险。

评估
评估状态:
评估备注:
EMB-01Does the organization facilitate the implementation of embedded technology controls?控制项
嵌入式技术 / 嵌入式技术安全计划

存在促进嵌入式技术控制实施的机制。

评估
评估状态:
评估备注:
EMB-04组织是否保护嵌入式设备免遭未经授权的物理工厂诊断和测试接口的使用?控制项
嵌入式技术 / 接口安全

存在保护嵌入式设备免遭未经授权使用物理工厂诊断和测试接口的机制。

评估
评估状态:
评估备注:
EMB-02组织是否主动管理与物联网 (IoT) 相关的网络安全和数据隐私风险?控制项
嵌入式技术 / 物联网 (IOT)

现有机制可主动管理与物联网 (IoT) 相关的网络安全和数据隐私风险。

评估
评估状态:
评估备注:
EMB-11组织是否强制执行消息队列遥测传输 (MQTT) 流量的安全性?控制项
嵌入式技术 / 消息队列遥测传输 (MQTT) 安全性

存在加强消息队列遥测传输 (MQTT) 流量安全性的机制。

评估
评估状态:
评估备注:
EMB-14组织是否确定嵌入式技术是否经过认证可以在建议的操作环境中安全使用?控制项
嵌入式技术 / 运行环境认证

存在确定嵌入式技术是否经过认证可以在建议的操作环境中安全使用的机制。

评估
评估状态:
评估备注:
EMB-03组织是否主动管理与运营技术 (OT) 相关的网络安全和数据隐私风险?控制项
嵌入式技术 / 运营技术(OT)

现有机制可主动管理与运营技术 (OT) 相关的网络安全和数据隐私风险。

评估
评估状态:
评估备注:
EMB-09组织是否使用自动化机制来监控嵌入式技术的功率水平,以减少或过度用电量(包括电池消耗),以调查设备篡改情况?控制项
嵌入式技术 / 功率电平监控

存在自动化机制来监控嵌入式技术的功率水平,以减少或过度用电(包括电池耗尽),以调查设备篡改情况。

评估
评估状态:
评估备注:
EMB-06组织是否通过防止未经授权的软件安装和执行来保护嵌入式设备?控制项
嵌入式技术 / 防止改动

存在通过防止未经授权安装和执行软件来保护嵌入式设备的机制。

评估
评估状态:
评估备注:
EMB-18组织是否确保嵌入式技术利用安全配置的实时操作系统 (RTOS)?控制项
嵌入式技术 / 实时操作系统 (RTOS) 安全

现有机制可确保嵌入式技术利用安全配置的实时操作系统 (RTOS)。

评估
评估状态:
评估备注:
EMB-08组织是否将嵌入式技术配置为能够适应数据网络和断电?控制项
嵌入式技术 / 抗断电能力

存在配置嵌入式技术以适应数据网络和断电的机制。

评估
评估状态:
评估备注:
EMB-12组织是否需要嵌入式技术来发起所有通信并丢弃新的传入通信?控制项
嵌入式技术 / 限制通讯

现有机制要求嵌入式技术启动所有通信并丢弃新的传入通信。

评估
评估状态:
评估备注:
EMB-19当安全操作不再得到保证时,组织是否持续验证触发自动状态更改的自主系统?控制项
嵌入式技术 / 安全操作

存在持续验证自主系统的机制,当安全操作不再得到保证时,自主系统会触发自动状态更改。

评估
评估状态:
评估备注:
EMB-15组织是否通过故障树分析或类似方法评估嵌入式技术的安全方面,以确定误用、错误配置和/或故障可能产生的后果?控制项
嵌入式技术 / 安全评估

存在通过故障树分析或类似方法评估嵌入式技术的安全方面的机制,以确定误用、错误配置和/或故障的可能后果。

评估
评估状态:
评估备注: