CISO助手
完成度
0%(0/1239)
评估报告
SECU

安全控制框架 2024

控制项模式

安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。

版本: 2024覆盖状态: 完整覆盖 (2478/2478)控制项/量表/总计: 1239/1239/2478当前展示: 16 / 123933 个分类
SAT-03.7组织是否确保网络安全和数据隐私人员接受继续专业教育 (CPE) 培训,以保持与分配的角色和职责相关的行业认可的安全实践的最新性和熟练程度?控制项
安全意识和培训 / 继续专业教育 (CPE) - 网络安全和数据隐私人员

现有机制可确保网络安全和数据隐私人员接受继续专业教育 (CPE) 培训,以保持与所分配角色和职责相关的行业认可的安全实践的最新性和熟练程度。

评估
评估状态:
评估备注:
SAT-03.8组织是否确保应用程序开发和运营 (DevOps) 人员接受有关安全软件开发实践 (SSDP) 的继续专业教育 (CPE) 培训,以适当应对不断变化的威胁?控制项
安全意识和培训 / 继续专业教育 (CPE) - DevOps 人员

现有机制可确保应用程序开发和运营 (DevOps) 人员接受有关安全软件开发实践 (SSDP) 的继续专业教育 (CPE) 培训,以适当应对不断变化的威胁。

评估
评估状态:
评估备注:
SAT-03.9组织是否提供专门的反情报意识培训,使人员能够收集、解释和处理可能表明存在敌对行为者的一系列数据源?控制项
安全意识和培训 / 反情报训练

现有机制可提供专门的反情报意识培训,使人员能够收集、解释可能表明敌对行为者存在的一系列数据源并采取行动。

评估
评估状态:
评估备注:
SAT-03.6组织是否提供基于角色的网络安全和数据隐私意识培训,这些培训是最新的且与用户在日常业务运营中可能遇到的网络威胁相关吗?控制项
安全意识和培训 / 网络威胁环境

现有机制可提供基于角色的网络安全和数据隐私意识培训,这些培训是最新的且与用户在日常业务运营中可能遇到的网络威胁相关。

评估
评估状态:
评估备注:
SAT-02组织是否为所有员工和承包商提供与其工作职能相关的适当的意识教育和培训?控制项
安全意识和培训 / 网络安全和数据隐私意识培训

现有机制为所有员工和承包商提供与其工作职能相关的适当意识教育和培训。

评估
评估状态:
评估备注:
SAT-01组织是否促进安全劳动力发展和意识控制的实施?控制项
安全意识和培训 / 具有网络安全和数据隐私意识的员工队伍

现有机制可促进安全劳动力发展和意识控制的实施。

评估
评估状态:
评估备注:
SAT-04组织是否记录、保留和监控个人培训活动,包括基本网络安全和数据隐私意识培训、持续意识培训和特定系统培训?控制项
安全意识和培训 / 网络安全和数据隐私培训记录

存在记录、保留和监控个人培训活动的机制,包括基本网络安全和数据隐私意识培训、持续意识培训和特定系统培训。

评估
评估状态:
评估备注:
SAT-05组织是否改善了安全人员之间的网络安全和数据保护知识共享,以便更快速、更有效地响应事件?控制项
安全意识和培训 / 网络安全知识共享

现有机制可改善安全人员之间的网络安全和数据保护知识共享,从而更快速、更有效地响应事件。

评估
评估状态:
评估备注:
SAT-03.1组织是否包括网络安全和数据隐私培训的实践练习以强化培训目标?控制项
安全意识和培训 / 实践练习

现有机制包括网络安全和数据隐私培训中的实际练习,以强化培训目标。

评估
评估状态:
评估备注:
SAT-03.5组织是否为特权用户提供特定培训,以确保特权用户了解其独特的角色和职责控制项
安全意识和培训 / 特权用户

存在为特权用户提供特定培训的机制,以确保特权用户了解其独特的角色和职责

评估
评估状态:
评估备注:
SAT-03组织是否提供基于角色的网络安全和数据隐私相关培训: (1) 在授权访问系统或履行分配的职责之前; (2) 系统变更需要时; (3) 此后每年一次?控制项
安全意识和培训 / 基于角色的网络安全和数据隐私培训

现有机制可提供基于角色的网络安全和数据隐私相关培训: (1) 在授权访问系统或履行指定职责之前; (2) 系统变更需要时; (3) 此后每年一次。

评估
评估状态:
评估备注:
SAT-03.3组织是否确保每个访问处理、存储或传输敏感信息的系统的用户都接受过数据处理要求的正式培训?控制项
安全意识和培训 / 敏感信息存储、处理和处理

现有机制可确保访问处理、存储或传输敏感信息的系统的每个用户都接受数据处理要求的正式培训。

评估
评估状态:
评估备注:
SAT-02.1组织是否通过与当前威胁场景相符的实际演习来模拟实际的网络攻击?控制项
安全意识和培训 / 模拟网络攻击场景训练

现有机制包括通过与当前威胁场景相符的实际演习来模拟实际网络攻击。

评估
评估状态:
评估备注:
SAT-02.2组织是否包括关于识别和报告社会工程和社会挖掘的潜力和实际实例的意识培训?控制项
安全意识和培训 / 社会工程与采矿

现有机制包括关于识别和报告社会工程和社会挖掘的潜力和实际实例的意识培训。

评估
评估状态:
评估备注:
SAT-03.2组织是否为人员提供有关组织定义的恶意软件指标的培训,以识别可疑通信和异常行为?控制项
安全意识和培训 / 可疑通信和异常系统行为

现有机制可以为人员提供有关组织定义的恶意软件指标的培训,以识别可疑通信和异常行为。

评估
评估状态:
评估备注:
SAT-03.4组织是否纳入特定于供应商的安全培训来支持新技术计划?控制项
安全意识和培训 / 供应商网络安全和数据隐私培训

现有机制可以纳入特定于供应商的安全培训以支持新技术举措。

评估
评估状态:
评估备注: