安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
现有机制可解决组织供应链(包括第三方软件和数据)产生的与人工智能 (AI) 和自主技术 (AAT) 相关的风险和收益。
现有机制可进行业务影响分析 (BIA),以识别和评估网络安全和数据保护风险。
存在识别和实施补偿对策以减少风险和威胁暴露的机制。
现有机制可对存储、处理和/或传输个人数据 (PD) 的系统、应用程序和服务进行数据保护影响评估 (DPIA),以识别和补救合理预期的风险。
存在对系统、应用程序和/或服务的影响级别进行优先级排序的机制,以防止潜在的中断。
存在定义组织风险偏好的机制,即组织在预期回报时愿意接受的不确定性程度。
存在对风险进行定期评估的机制,包括对组织系统和数据进行未经授权的访问、使用、披露、破坏、修改或破坏造成损害的可能性和程度。
存在定期更新风险评估并在识别新的安全漏洞后做出相应反应的机制,包括使用外部来源获取安全漏洞信息。
存在根据适用法律、法规和合同义务对系统和数据进行分类的机制: (1) 在系统安全计划中记录安全分类结果(包括支持理由); (2) 确保证券分类决定得到资产所有者的审查和批准。
现有机制用于开发与组织的业务运营和使用的技术相关的适用风险目录并使其保持最新状态。
现有机制可确保团队致力于考虑和传达技术相关风险的文化。
现有机制可识别: (1) 影响风险评估、风险应对和风险监控的假设; (二)影响风险评估、风险应对和风险监测的制约因素; (三)组织的风险承受能力; (4) 组织为管理风险而考虑的优先事项、收益和权衡。
存在识别和记录内部和外部风险的机制。
现有机制可促进战略、运营和战术风险管理控制的实施。
现有机制可以通过为管理技术相关风险所需的能力提供资源来减少潜在影响的程度或可能性。
现有机制可确保风险监控成为持续监控策略的一个组成部分,其中包括监控网络安全和数据隐私控制、合规性和变更管理的有效性。
存在基于行业认可的实践来识别新发现的安全漏洞并为其分配风险排名的机制。
存在维护风险登记册的机制,以促进风险监控和报告。
存在将风险补救至可接受水平的机制。
现有机制可以对网络安全和数据隐私评估、事件和审计的结果做出反应,以确保采取适当的补救措施。
存在定义组织风险阈值的机制,即风险暴露水平,高于该水平的风险可以得到解决,低于该水平的风险可以接受。
存在定义组织风险承受能力、可接受结果的指定范围的机制。
存在定期评估与系统、系统组件和服务相关的供应链风险的机制。
现有机制可制定与系统、系统组件和服务的开发、采购、维护和处置相关的供应链风险管理 (SCRM) 计划,包括记录选定的缓解措施并根据这些计划监控绩效。