CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 28 / 123933 个分类
MNT-05.1组织是否审核远程、非本地维护和诊断会话,并审查远程维护会话期间执行的维护操作?控制项
Maintenance / 审核远程维护

存在审核远程、非本地维护和诊断会话以及审查远程维护会话期间执行的维护操作的机制。

评估
评估状态:
评估备注:
MNT-06组织是否保留最新的授权维护组织或人员名单?控制项
Maintenance / 授权维修人员

存在维护授权维护组织或人员的当前列表的机制。

评估
评估状态:
评估备注:
MNT-02.1组织是否使用自动化机制来安排、进行和记录维护和维修?控制项
Maintenance / 自动化维护活动

存在用于安排、进行和记录维护和修理的自动化机制。

评估
评估状态:
评估备注:
MNT-03.3组织是否使用自动化机制将预测维护数据传输到计算机化维护管理系统?控制项
Maintenance / 预测性维护的自动化支持

存在将预测维护数据传输到计算机化维护管理系统的自动化机制。

评估
评估状态:
评估备注:
MNT-02组织是否在系统、应用程序或服务的整个生命周期中进行受控维护活动?控制项
Maintenance / 受控维护

存在在系统、应用程序或服务的整个生命周期中进行受控维护活动的机制。

评估
评估状态:
评估备注:
MNT-08组织是否安全地对地理部署的资产进行现场维护?控制项
Maintenance / 现场维护

现有机制可对地理部署的资产安全地进行现场维护。

评估
评估状态:
评估备注:
MNT-04.2在使用包含诊断和测试程序的介质之前,组织是否检查介质是否存在恶意代码?控制项
Maintenance / 检查介质

存在在使用包含诊断和测试程序的介质之前检查介质是否存在恶意代码的机制。

评估
评估状态:
评估备注:
MNT-04.1组织是否检查维护人员携带到设施中的维护工具是否存在不当或未经授权的修改?控制项
Maintenance / 检查工具

存在检查维护人员携带到设施中的维护工具是否存在不当或未经授权的修改的机制。

评估
评估状态:
评估备注:
MNT-07组织是否对等待服务或维修的技术资产保持适当的物理安全和配置控制?控制项
Maintenance / 在维护期间维护配置控制

存在对等待服务或维修的技术资产维持适当的物理安全和配置控制的机制。

评估
评估状态:
评估备注:
MNT-11组织是否通过跟踪维护活动和组件故障率来保持对系统和组件的质量和可靠性的态势感知?控制项
Maintenance / 维护监控

存在通过跟踪维护活动和组件故障率来保持对系统和组件的质量和可靠性的态势感知的机制。

评估
评估状态:
评估备注:
MNT-01组织是否制定、传播、审查和更新程序以促进整个企业维护控制的实施?控制项
Maintenance / 维护操作

存在开发、传播、审查和更新程序的机制,以促进整个企业维护控制的实施。

评估
评估状态:
评估备注:
MNT-06.1组织是否确保适当减轻与没有适当访问授权、许可或正式访问批准的维护人员相关的风险?控制项
Maintenance / 没有适当访问权限的维护人员

现有机制可确保适当减轻与没有适当访问授权、许可或正式访问批准的维护人员相关的风险。

评估
评估状态:
评估备注:
MNT-04组织是否控制和监控系统维护工具的使用?控制项
Maintenance / 维护工具

存在控制和监视系统维护工具的使用的机制。

评估
评估状态:
评估备注:
MNT-10组织是否验证维护活动是否根据工作指令正确执行并且安全控制措施是否有效?控制项
Maintenance / 维护验证

现有机制可验证维护活动是否根据工作指令适当执行,并且安全控制是否正常运行。

评估
评估状态:
评估备注:
MNT-06.2组织是否确保在 IT 系统物理附近执行非 IT 维护活动的非陪同人员拥有所需的访问授权?控制项
Maintenance / 非系统相关维护

现有机制可确保在 IT 系统物理附近执行非 IT 维护活动的非陪同人员拥有所需的访问授权。

评估
评估状态:
评估备注:
MNT-09组织是否确保安全地进行场外维护活动,并确保进行维护活动的资产在场外的物理转移和存储过程中得到保护?控制项
Maintenance / 异地维护

现有机制可确保安全地进行场外维护活动,并确保正在进行维护活动的资产在场外物理转移和存储期间得到保护。

评估
评估状态:
评估备注:
MNT-03.2组织是否对关键系统、应用程序和服务执行预测性维护?控制项
Maintenance / 预测性维护

存在对关键系统、应用程序和服务执行预测性维护的机制。

评估
评估状态:
评估备注:
MNT-04.3组织是否防止或控制移除包含组织信息的正在进行维护的设备?控制项
Maintenance / 防止未经授权的移除

存在防止或控制移除包含组织信息的正在进行维护的设备的机制。

评估
评估状态:
评估备注:
MNT-03.1组织是否对关键系统、应用程序和服务进行预防性维护?控制项
Maintenance / 预防性维护

存在对关键系统、应用程序和服务执行预防性维护的机制。

评估
评估状态:
评估备注:
MNT-05组织是否授权、监视和控制远程、非本地维护和诊断活动?控制项
Maintenance / 远程维护

存在授权、监视和控制远程、非本地维护和诊断活动的机制。

评估
评估状态:
评估备注:
MNT-05.6组织是否要求执行远程、非本地维护和/或诊断服务的系统实现与所服务的系统上实现的功能相当的安全功能?控制项
Maintenance / 远程维护同等的安全性和消毒性

现有机制要求执行远程、非本地维护和/或诊断服务的系统实现与所服务的系统上实现的能力相当的安全能力。

评估
评估状态:
评估备注:
MNT-05.3是否利用加密机制来保护远程、非本地维护和诊断通信的完整性和机密性?控制项
Maintenance / 远程维护加密保护

加密机制的存在是为了保护远程、非本地维护和诊断通信的完整性和机密性。

评估
评估状态:
评估备注:
MNT-05.4组织是否提供远程断开验证以确保远程、非本地维护和诊断会话正确终止?控制项
Maintenance / 远程维护断开验证

存在提供远程断开验证的机制,以确保正确终止远程、非本地维护和诊断会话。

评估
评估状态:
评估备注:
MNT-05.2当计划进行远程、非本地维护时(例如日期/时间),组织是否要求维护人员通知受影响的利益相关者?控制项
Maintenance / 远程维护通知

现有机制要求维护人员在计划进行远程非本地维护时(例如日期/时间)通知受影响的利益相关者。

评估
评估状态:
评估备注:
MNT-05.5组织是否要求维护人员获得远程、非本地维护会话的预先批准和安排?控制项
Maintenance / 远程维护预审批

现有机制要求维护人员获得远程、非本地维护会话的预先批准和安排。

评估
评估状态:
评估备注:
MNT-04.4组织是否使用自动化机制将维护工具的使用限制为授权维护人员和/或角色?控制项
Maintenance / 限制工具的使用

存在自动化机制来将维护工具的使用限制为授权的维护人员和/或角色。

评估
评估状态:
评估备注:
MNT-05.7组织是否通过在物理或逻辑上与其他网络会话分开的通信路径的抗重放会话来保护维护会话?控制项
Maintenance / 维护会议的分离

存在通过抗重放会话来保护维护会话的机制,这些会话在物理上或逻辑上与其他网络会话分离的通信路径。

评估
评估状态:
评估备注:
MNT-03组织是否在规定的恢复时间目标 (RTO) 内获得系统的维护支持和/或备件?控制项
Maintenance / 及时维护

存在在规定的恢复时间目标 (RTO) 内为系统获取维护支持和/或备件的机制。

评估
评估状态:
评估备注: