Compliance Manager 框架

本文档提供了合规性管理工具中包含的内置云框架的参考内容。

Google Recommended AI Essentials - Vertex AI

支持的云服务提供商: Google Cloud

此框架概述了 Google 针对 Vertex AI 工作负载推荐的安全最佳实践,提供了一组规范性的基本预防性政策和检测性政策。在 Security Command Center 中激活 AI Protection 后,系统会自动在 AI Security 信息中心内显示针对此框架的详细安全合规性评估。

此框架包含以下云控制措施:

CIS GKE 1.7

支持的云服务提供商: Google Cloud

CIS GKE 基准是一组专门为 Google Kubernetes Engine (GKE) 集群量身定制的安全建议和最佳实践。该基准旨在增强 GKE 环境的安全状况。

此框架包含以下云控制措施:

CIS Critical Security Controls v8

支持的云服务提供商: Google Cloud

一组优先的保护措施,可防范普遍存在的网络威胁。它提供了一种实用的网络防御方法,分为实施组 (IG1、IG2、IG3),以适应不同成熟度的组织。

此框架包含以下部分中的云控制组和云控制措施。

cis-controls-1-1

建立并维护一份准确、详细且最新的企业资产清单,其中包含所有可能存储或处理数据的资产,包括:最终用户设备(包括便携式设备和移动设备)、网络设备、非计算/IoT 设备和服务器。确保库存记录中包含以下信息:每个资产的网络地址(如果是静态的)、硬件地址、机器名称、企业资产所有者、部门,以及资产是否已获准连接到网络。对于移动最终用户设备,MDM 类型工具可在适当情况下支持此流程。此清单包括以物理方式、虚拟方式、远程方式连接到基础架构的资产,以及云环境中的资产。此外,它还包括定期连接到企业网络基础设施的资产,即使这些资产不受企业控制。每半年或更频繁地查看并更新所有企业资产的清单。

cis-controls-10-2

为所有企业资产上的反恶意软件签名文件配置自动更新。

cis-controls-10-3

针对可移动媒体停用自动运行和自动播放自动执行功能。

cis-controls-10-6

集中管理反恶意软件。

cis-controls-11-1

建立并维护包含详细备份程序的数据恢复流程,并将其记录在案。在此过程中,请确定数据恢复活动的范围、恢复优先级和备份数据的安全性。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-11-2

自动备份纳入范围的企业资产。每周运行一次备份,或根据数据的敏感程度更频繁地运行备份。

cis-controls-11-3

使用与原始数据同等的控制措施来保护恢复数据。根据要求,参考加密或数据分离。

cis-controls-11-4

建立并维护隔离的恢复数据实例。例如,通过离线、云端或异地系统或服务对备份目标进行版本控制。

cis-controls-11-5

每季度或更频繁地测试备份恢复,以抽样检查纳入范围的企业资产。

cis-controls-12-2

设计并维护安全网络架构。安全的网络架构必须至少解决分段、最小权限和可用性问题。示例实现可能包括文档、政策和设计组件。

cis-controls-12-3

安全地管理网络基础架构。实现示例包括版本控制的基础设施即代码 (IaC) 以及使用安全的网络协议(例如 SSH 和 HTTPS)。

cis-controls-12-5

集中式网络 AAA。

cis-controls-12-6

采用安全的网络管理协议(例如,802.1X)和安全通信协议(例如,Wi-Fi Protected Access 2 (WPA2) Enterprise 或更安全的替代方案)。

cis-controls-12-7

要求用户在最终用户设备上访问企业资源之前,先对企业管理的 VPN 和身份验证服务进行身份验证。

cis-controls-13-1

集中化企业资产的安全事件提醒,以便进行日志关联和分析。最佳实践实现需要使用 SIEM,其中包括供应商定义的事件关联提醒。配置了与安全相关的关联提醒的日志分析平台也符合此保障措施的要求。

cis-controls-13-2

在企业资产上部署基于主机的入侵检测解决方案(如果适用和/或受支持)。

cis-controls-13-3

在企业资产上部署网络入侵检测解决方案(如适用)。实现示例包括使用网络入侵检测系统 (NIDS) 或等效的云服务提供商 (CSP) 服务。

cis-controls-13-4

在适当情况下,执行网络段之间的流量过滤。

cis-controls-13-5

远程连接到企业资源的资产的管理访问权限控制。根据以下条件确定对企业资源的访问权限:是否安装了最新的反恶意软件、配置是否符合企业的安全配置流程,以及操作系统和应用是否为最新版本。

cis-controls-13-6

收集网络流量日志和/或网络流量,以便查看和接收来自网络设备的提醒。

cis-controls-13-7

在企业资产上部署基于主机的入侵防御解决方案(如果合适且/或受支持)。实现示例包括使用端点检测和响应 (EDR) 客户端或基于主机的 IPS 代理。

cis-controls-13-8

在适当情况下部署网络入侵防御解决方案。示例实现包括使用网络入侵防御系统 (NIPS) 或等效的 CSP 服务。

cis-controls-13-9

部署端口级访问权限控制。端口级访问权限控制利用 802.1x 或类似的证书等网络访问权限控制协议,并且可能包含用户和/或设备身份验证。

cis-controls-14-1

制定并维护安全意识计划。安全意识计划旨在教育企业员工如何以安全的方式与企业资产和数据互动。在聘用时以及至少每年进行一次培训。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新内容。

cis-controls-14-3

针对身份验证最佳实践对员工进行培训。主题示例包括 MFA、密码组成和凭据管理。

cis-controls-14-5

培训员工,让他们了解意外数据泄露的原因。例如,敏感数据误投递、便携式最终用户设备丢失,或数据发布给非预期受众群体。

cis-controls-16-1

建立并维护安全的应用程序开发流程。在此过程中,请解决以下问题:安全应用设计标准、安全编码实践、开发者培训、漏洞管理、第三方代码的安全性以及应用安全测试程序。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-16-11

利用经过审核的模块或服务来构建应用安全组件,例如身份管理、加密、审核和日志记录。在关键安全功能中使用平台功能可减少开发者的工作量,并最大限度地降低设计或实现错误的几率。现代操作系统提供了有效的身份识别、身份验证和授权机制,并使这些机制可供应用使用。仅使用标准化、当前已获接受且经过广泛审核的加密算法。操作系统还提供用于创建和维护安全审核日志的机制。

cis-controls-16-12

在应用生命周期内应用静态和动态分析工具,以验证是否遵循了安全编码实践。

cis-controls-16-13

执行应用渗透测试。对于关键应用,经过身份验证的渗透测试比代码扫描和自动化安全测试更适合查找业务逻辑漏洞。渗透测试依赖于测试人员的技能,他们需要以经过身份验证和未经身份验证的用户的身份手动操纵应用。

cis-controls-16-2

建立并维护一个流程,用于接受和处理软件漏洞报告,包括为外部实体提供报告方式。该流程应包含以下内容:漏洞处理政策(其中应明确报告流程、负责处理漏洞报告的当事方,以及接收、分配、修复和修复测试流程)。在此过程中,请使用漏洞跟踪系统,该系统应包含严重程度评级和指标,用于衡量漏洞识别、分析和补救的时间。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。第三方应用开发者需要将此政策视为面向外部的政策,有助于让外部利益相关方了解预期。

cis-controls-16-3

对安全漏洞执行根本原因分析。在查看漏洞时,根本原因分析的任务是评估代码中导致漏洞的潜在问题,从而使开发团队能够超越仅仅修复出现的个别漏洞。

cis-controls-16-7

为应用基础架构组件使用行业推荐的标准强化配置模板。这包括底层服务器、数据库和 Web 服务器,适用于云容器、平台即服务 (PaaS) 组件和 SaaS 组件。不允许内部开发的软件削弱配置强化。

cis-controls-17-2

建立并维护需要了解安全事件的各方的联系信息。联系人可能包括内部员工、服务提供商、执法机构、网络保险提供商、相关政府机构、信息共享与分析中心 (ISAC) 合作伙伴或其他利益相关者。每年验证一次联系人,以确保信息是最新的。

cis-controls-17-4

建立并维护有据可查的突发事件响应流程,其中应包含角色和职责、合规性要求以及沟通计划。每年审核一次,或者在发生可能影响此保障措施的重大企业变更时审核。

cis-controls-17-9

建立并维护安全事件阈值,至少要区分事件和突发事件。示例包括:异常活动、安全漏洞、安全弱点、数据泄露、隐私权事件等。每年审核一次,或者在发生可能影响此保障措施的重大企业变更时进行审核。

cis-controls-18-1

根据企业的规模、复杂程度、行业和成熟度,建立并维护适当的渗透测试计划。渗透测试计划的特征包括范围(例如网络、Web 应用、应用编程接口 [API]、托管服务和实体场所控制措施);频率;限制(例如可接受的时间和排除的攻击类型);联系信息;补救措施(例如如何将发现的问题在内部传递);以及回顾性要求。

cis-controls-18-2

根据计划要求,定期(至少每年一次)执行外部渗透测试。外部渗透测试必须包括企业和环境侦察,以检测可利用的信息。渗透测试需要专业的技能和经验,并且必须由合格的第三方进行。测试可以是透明盒子或不透明盒子。

cis-controls-18-5

根据计划要求,定期执行内部渗透测试,至少每年一次。测试可以是透明盒子或不透明盒子。

cis-controls-2-7

使用数字签名和版本控制等技术控制措施,确保仅允许执行授权脚本,例如特定的 .ps1 和 .py 文件。阻止执行未经授权的脚本。每半年或更频繁地重新评估一次。

cis-controls-3-1

建立并维护有据可查的数据管理流程。在此过程中,根据企业的数据敏感度和保留标准,确定数据敏感度、数据所有者、数据处理方式、数据保留期限和处置要求。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-3-11

对服务器、应用和数据库中的静态敏感数据进行加密。存储层加密(也称为服务器端加密)符合此保障措施的最低要求。其他加密方法可能包括应用层加密(也称为客户端加密功能),在这种加密方法中,即使有权访问数据存储设备,也无法访问明文数据。

cis-controls-3-14

记录敏感数据访问情况,包括修改和处置。

cis-controls-3-2

根据企业的数据管理流程,建立并维护数据清单。至少清点敏感数据。每年至少审核并更新一次数据清单,优先处理敏感数据。

cis-controls-3-3

根据用户的“知情权”配置数据访问权限控制列表。将数据访问权限控制列表(也称为访问权限)应用于本地和远程文件系统、数据库和应用。

cis-controls-3-4

根据企业已记录的数据管理流程保留数据。数据保留期限必须包含最短期限和最长期限。

cis-controls-3-5

按照企业已记录的数据管理流程安全处置数据。确保处置流程和方法与数据敏感度相称。

cis-controls-3-6

加密包含敏感数据的最终用户设备上的数据。实现示例包括:Windows BitLocker®、Apple FileVault®、Linux® dm-crypt。

cis-controls-3-7

为企业建立并维护总体数据分类方案。企业可以使用“敏感”“机密”和“公开”等标签,并根据这些标签对数据进行分类。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新分类方案。

cis-controls-3-8

文档数据流。数据流文档包括服务提供商数据流,应基于企业的数据管理流程。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-3-9

加密可移动介质上的数据。

cis-controls-4-1

为企业资产(最终用户设备,包括便携式设备和移动设备、非计算/IoT 设备和服务器)和软件(操作系统和应用)建立并维护有据可查的安全配置流程。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-4-2

为网络设备建立并维护有据可查的安全配置流程。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-4-3

配置在企业资产处于非活跃状态一段时间后自动锁定会话。对于通用操作系统,该周期不得超过 15 分钟。对于移动最终用户设备,该时间段不得超过 2 分钟。

cis-controls-4-4

在支持的服务器上实现和管理防火墙。实现示例包括虚拟防火墙、操作系统防火墙或第三方防火墙代理。

cis-controls-4-5

在最终用户设备上实现并管理基于主机的防火墙或端口过滤工具,并使用默认拒绝规则来丢弃除明确允许的服务和端口之外的所有流量。

cis-controls-4-6

安全地管理企业资产和软件。实现示例包括通过受版本控制的基础设施即代码 (IaC) 管理配置,以及通过安全网络协议(例如 Secure Shell (SSH) 和超文本传输安全协议 (HTTPS))访问管理界面。除非在操作上必不可少,否则请勿使用不安全的管理协议,例如 Telnet(电传打字机网络)和 HTTP。

cis-controls-4-7

管理企业资产和软件上的默认账号,例如根账号、管理员账号和其他预配置的供应商账号。实现示例包括:停用默认账号或使其无法使用。

cis-controls-4-8

卸载或停用企业资产和软件上不必要的服务,例如未使用的文件共享服务、Web 应用模块或服务功能。

cis-controls-5-1

建立并维护企业中管理的所有账号的清单。清单必须至少包含用户账号、管理员账号和服务账号。清单至少应包含人员姓名、用户名、开始/结束日期和部门。验证所有有效账号是否都已获得授权,并且授权频率至少为每季度一次,或更频繁。

cis-controls-5-2

为所有企业资产使用独一无二的密码。最佳实践实现方案至少包括:对于使用多重身份验证 (MFA) 的账号,密码至少包含 8 个字符;对于未使用 MFA 的账号,密码至少包含 14 个字符。

cis-controls-5-4

将企业资产上的管理员权限限制为仅限专用管理员账号。使用用户的主要非特权账号执行常规计算活动,例如浏览互联网、收发电子邮件和使用办公套件。

cis-controls-5-5

建立并维护服务账号清单。清单至少必须包含部门负责人、审核日期和用途。定期(至少每季度一次或更频繁)执行服务账号审核,以验证所有有效账号是否都已获得授权。

cis-controls-5-6

通过目录或身份服务集中管理账号。

cis-controls-6-1

建立并遵循有据可查的流程(最好是自动化流程),以便在新员工入职或用户角色发生变化时授予对企业资产的访问权限。

cis-controls-6-2

建立并遵循相关流程(最好是自动化流程),以便在用户离职、权限被撤消或角色发生变化时,立即停用其账号,从而撤消其对企业资产的访问权限。为保留审核轨迹,您可能需要停用账号,而不是删除账号。

cis-controls-6-3

要求所有面向外部的企业或第三方应用强制执行 MFA(如果支持)。通过目录服务或 SSO 提供商强制执行 MFA 是此保障措施的令人满意的实现方式。

cis-controls-6-5

在所有企业资产(无论是在本地管理还是通过服务提供商管理)上,为所有管理员权限账号(如果支持)启用 MFA。

cis-controls-6-6

建立并维护企业身份验证和授权系统的清单,包括在本地或远程服务提供商处托管的系统。至少每年审核并更新一次商品目录,也可以提高审核和更新频率。

cis-controls-6-7

通过目录服务或 SSO 提供商(如果支持)集中控制对所有企业资产的访问权限。

cis-controls-6-8

通过确定和记录企业内每个角色成功履行其分配的职责所需的访问权限,定义并维护基于角色的访问权限控制。对企业资产执行访问权限控制审核,以验证所有权限是否都已获得授权,审核频率至少为每年一次,或更频繁。

cis-controls-7-2

制定并维护基于风险的补救策略,并将其记录在补救流程中,每月或更频繁地进行审核。

cis-controls-7-7

根据补救流程,每月或更频繁地通过流程和工具来补救软件中检测到的漏洞。

cis-controls-8-1

建立并维护记录在案的审核日志管理流程,其中定义了企业的日志记录要求。至少应解决企业资产的审核日志的收集、审核和保留问题。每年或在发生可能影响此保障措施的重大企业变更时,审核并更新文档。

cis-controls-8-11

查看审核日志,以检测可能表明存在潜在威胁的异常情况或异常事件。每周或更频繁地进行审核。

cis-controls-8-2

收集审核日志。确保已根据企业的审核日志管理流程在企业资产中启用日志记录。

cis-controls-8-3

确保日志记录目标位置保持足够的存储空间,以符合企业的审核日志管理流程。

cis-controls-8-4

标准化时间同步。在支持的企业资产中,配置至少两个同步时间源。

cis-controls-8-5

为包含敏感数据的企业资产配置详细的审核日志记录。包括事件来源、日期、用户名、时间戳、来源地址、目标地址以及其他可能有助于取证调查的有用元素。

cis-controls-8-6

在企业资产上收集 DNS 查询审核日志(如果适用且受支持)。

cis-controls-8-7

在企业资产上收集网址请求审核日志(如果适用且受支持)。

cis-controls-8-8

收集命令行审核日志。实现示例包括从 PowerShell®、BASH™ 和远程管理终端收集审核日志。

cis-controls-8-9

尽可能集中化地收集和保留企业资产的审核日志,并遵循已记录的审核日志管理流程。实现示例主要包括利用 SIEM 工具集中处理多个日志来源。

cis-controls-9-1

确保企业中仅允许执行完全受支持的浏览器和电子邮件客户端,并且仅使用供应商提供的最新版浏览器和电子邮件客户端。

cis-controls-9-2

在所有最终用户设备(包括远程和本地资产)上使用 DNS 过滤服务,以阻止对已知恶意网域的访问。

cis-controls-9-3

强制执行并更新基于网络的网址过滤条件,以限制企业资产连接到可能具有恶意性质或未经批准的网站。示例实现包括基于类别的过滤、基于声誉的过滤或使用屏蔽列表。强制为所有企业资产应用过滤条件。

cis-controls-9-4

通过卸载或停用任何未经授权或不必要的浏览器或电子邮件客户端插件、扩展程序和附加应用来限制其使用。

CSA Cloud Controls Matrix v4.0.11

支持的云服务提供商: Google Cloud

专门为云计算环境设计的网络安全控制框架。它在各个关键领域提供了一整套控制措施,可帮助您评估云服务的安全状况。

此框架包含以下部分中的云控制组和云控制措施。

ccm-aa-01

制定、记录、批准、传达、应用、评估和维护审计与保证政策、程序和标准。至少每年审核并更新一次政策和程序。

ccm-aa-02

至少每年根据相关标准进行一次独立审核和保证评估。

ccm-ais-01

制定、记录、批准、传达、应用、评估和维护应用安全政策和程序,为组织应用安全功能的适当规划、交付和支持提供指导。至少每年审核并更新一次政策和程序。

ccm-ais-02

针对不同的应用建立、记录和维护基准安全要求。

ccm-ais-03

根据业务目标、安全要求和合规义务,定义并实现技术和运营指标。

ccm-ais-04

根据组织定义的安全要求,为应用设计、开发、部署和运营定义并实施 SDLC 流程。

ccm-ais-05

实施测试策略,包括新信息系统、升级和新版本的验收标准,以提供应用安全保障并保持合规性,同时实现组织交付速度目标。在适用且可能的情况下,实现自动化。

ccm-bcr-03

制定策略,在风险承受范围内减少业务中断的影响、抵御业务中断并从业务中断中恢复。

ccm-bcr-07

在业务连续性和恢复力程序中,与利益相关者和参与者建立沟通。

ccm-bcr-08

定期备份存储在云端的数据。确保备份的机密性、完整性和可用性,并验证从备份恢复的数据是否具有恢复能力。

ccm-bcr-09

制定、记录、批准、传达、应用、评估和维护灾难应对计划,以便从自然灾害和人为灾难中恢复。至少每年更新一次方案,或在发生重大变化时更新方案。

ccm-bcr-10

每年或在发生重大变化时执行灾难应对计划,包括尽可能与当地紧急情况管理部门合作。

ccm-bcr-11

根据适用的行业标准,在合理的最短距离处单独放置冗余设备,以补充业务关键型设备。

ccm-ccc-01

制定、记录、审批、传达、应用、评估和维护用于管理与组织资产(包括应用、系统、基础设施、配置等)变更相关的风险的政策和程序。无论资产是内部管理还是外部管理,都必须对这些政策和程序进行管理。至少每年审核并更新一次政策和程序。

ccm-ccc-02

遵循已确定的质量变更控制、审批和测试流程,并遵守已确定的基准、测试和发布标准。

ccm-ccc-07

实施检测措施,以便在出现偏离既定基准的变化时主动通知您。

ccm-cek-01

制定、记录、审批、传达、应用、评估和维护加密、加密和密钥管理方面的政策和程序。至少每年审核并更新一次政策和程序。

ccm-cek-02

定义并实施加密、加密和密钥管理角色与责任。

ccm-cek-03

使用经过认证的加密库,为静态数据和传输中的数据提供加密保护。

ccm-cek-04

使用适合数据保护的加密算法,同时考虑数据的分类、相关风险和加密技术的可用性。

ccm-cek-05

建立标准变更管理程序,以适应来自内部和外部来源的变更,用于审核、批准、实施和传达加密、加密和密钥管理技术变更。

ccm-cek-08

CSP 必须提供让 CSC 管理其自有数据加密密钥的功能。

ccm-cek-10

使用行业认可的加密库生成加密密钥,并指定算法强度和所用的随机数生成器。

ccm-cek-11

管理为特定用途预配的加密 Secret 和私钥。

ccm-cek-18

定义、实施和评估相关流程、程序和技术措施,以在需要最小权限访问的安全代码库中管理归档密钥,其中包括针对法律法规要求的规定。

ccm-cek-21

定义、实施和评估相关流程、程序和技术措施,以便密钥管理系统跟踪和报告所有加密材料和状态变化,其中包括法律法规要求。

ccm-dcs-07

实施物理安全边界,以保护人员、数据和信息系统。在管理和业务区域与数据存储和处理设施区域之间建立物理安全边界。

ccm-dcs-09

仅允许授权人员进入安全区域,所有出入口均受到实体访问权限控制机制的限制、记录和监控。根据组织的需要,定期保留访问权限控制记录。

ccm-dsp-01

根据所有适用的法律法规、标准和风险级别,制定、记录、批准、传达、应用、评估和维护数据在整个生命周期内的分类、保护和处理政策及程序。至少每年审核并更新一次政策和程序。

ccm-dsp-02

采用行业认可的方法安全处置存储介质中的数据,确保无法通过任何取证手段恢复数据。

ccm-dsp-07

根据“安全至上”原则和行业最佳实践来开发系统、产品和业务实践。

ccm-dsp-08

根据“隐私权保护设计”原则和行业最佳实践,开发系统、产品和业务实践。确保系统隐私权设置默认根据所有适用的法律法规进行配置。

ccm-dsp-10

定义、实施和评估相关流程、程序和技术措施,确保任何个人数据或敏感数据转移均受到保护,免遭未经授权的访问,并且仅在相应法律法规允许的范围内进行处理。

ccm-dsp-16

数据保留、归档和删除均根据业务需求以及适用的法律法规进行管理。

ccm-dsp-17

定义并实施流程、程序和技术措施,以在敏感数据的整个生命周期内保护这些数据。

ccm-grc-01

制定、记录、批准、传达、应用、评估和维护信息治理计划的政策和程序,该计划由组织领导层赞助。至少每年审核并更新一次政策和程序。

ccm-grc-03

每年至少审核一次所有相关的组织政策和相关程序,或者在组织内发生重大变化时进行审核。

ccm-grc-07

确定并记录适用于您组织的所有相关标准、法规、法律、合同和法定要求。

ccm-iam-01

制定、记录、批准、传达、实施、应用、评估和维护身份和访问权限管理政策及程序。至少每年审核并更新一次政策和程序。

ccm-iam-03

管理、存储和查看系统身份信息以及访问权限级别。

ccm-iam-04

在实施信息系统访问权限时,应遵循职责分离原则。

ccm-iam-05

在实现信息系统访问权限时,请遵循最小权限原则。

ccm-iam-07

及时取消或修改迁移者、离职者或系统身份变更者的访问权限,以便有效采用并传达身份和访问管理政策。

ccm-iam-09

定义、实施和评估特权访问角色分离的流程、程序和技术措施,确保对数据、加密和密钥管理功能以及日志记录功能的管理员权限是不同的且相互分离。

ccm-iam-10

定义并实施访问流程,以确保特权访问角色和权限仅在有限的时间内授予,并实施相关程序来防止隔离的特权访问权限累积。

ccm-iam-11

定义、实施和评估流程及程序,以便客户(如适用)参与授予组织风险评估所确定的已达成一致的高风险特权访问角色。

ccm-iam-12

定义、实施和评估流程、程序和技术措施,以确保日志记录基础设施对所有具有写入权限的用户(包括具有特权访问权限的角色)都是只读的,并且确保通过以下程序来控制停用日志记录基础设施的功能:确保职责分离和紧急情况处理程序。

ccm-iam-13

定义、实施和评估相关流程、程序和技术措施,以确保用户可通过唯一 ID 识别,或可将个人与用户 ID 的使用情况相关联。

ccm-iam-14

定义、实施和评估用于验证对系统、应用和数据资产的访问权限的流程、程序和技术措施,包括至少针对特权用户和敏感数据访问的多重身份验证。采用数字证书或可实现同等系统身份安全级别的替代方案。

ccm-iam-16

定义、实施和评估流程、程序和技术措施,以验证对数据和系统功能的访问是否已获得授权。

ccm-ivs-01

制定、记录、批准、传达、应用、评估和维护基础架构和虚拟化安全政策及规程。至少每年审核并更新一次政策和程序。

ccm-ivs-03

监控、加密和限制环境之间的通信,仅允许经过身份验证和授权的连接,具体视业务需求而定。每年至少审核一次这些配置,并提供一份记录在案的证明,说明所有允许的服务、协议、端口和补偿性控制措施。

ccm-ivs-04

根据各自的最佳实践强化宿主和客户操作系统、虚拟机监控程序或基础设施控制平面,并由技术控制措施提供支持,作为安全基准的一部分。

ccm-ivs-06

设计、开发、部署和配置应用和基础设施,以便 CSP 和 CSC(租户)用户访问权限和租户内访问权限得到适当的细分和隔离,并受到监控和限制,以免受到其他租户的影响。

ccm-ivs-07

将服务器、服务、应用或数据迁移到云环境时,请使用安全且加密的通信渠道。此类渠道必须仅包含最新且已获批准的协议。

ccm-ivs-09

定义、实施和评估流程、程序和纵深防御技术,以保护、检测和及时响应基于网络的攻击。

ccm-log-01

制定、记录、批准、传达、应用、评估和维护日志记录和监控政策及流程。至少每年审核并更新一次政策和程序。

ccm-log-02

定义、实施和评估流程、程序和技术措施,以确保审核日志的安全性和保留。

ccm-log-03

识别并监控应用和底层基础架构中的安全相关事件。定义并实现一个系统,用于根据此类事件和相应指标向负责的利益相关方生成提醒。

ccm-log-04

仅允许授权人员访问审核日志,并维护可提供唯一访问责任记录的记录。

ccm-log-05

监控安全审核日志,以检测超出典型或预期模式的活动。建立并遵循明确的流程,以便及时查看检测到的异常并采取适当的措施。

ccm-log-07

确定、记录并实施应记录哪些信息元数据和数据系统事件。至少每年审核并更新一次范围,或者在威胁环境发生变化时进行审核和更新。

ccm-log-08

生成包含相关安全信息的审核记录。

ccm-log-12

使用可审核的访问权限控制系统监控和记录物理访问权限。

ccm-sef-01

制定、记录、批准、传达、应用、评估和维护安全事件管理、电子取证和云取证方面的政策和程序。至少每年审核并更新一次政策和程序。

ccm-sef-02

制定、记录、批准、传达、应用、评估并维护用于及时管理安全事件的政策和程序。至少每年审核并更新一次政策和程序。

ccm-sef-08

维护与适用法规机构、国家和地方执法机构以及其他法律管辖权机构的联系点。

ccm-sta-04

根据云服务产品的 SSRM,明确所有 CSA CCM 控制措施的共同所有权和适用性。

ccm-sta-08

CSP 会定期审查其供应链中所有组织的关联风险因素。

ccm-sta-09

CSP 与 CSC(租户)之间的服务协议必须至少包含双方商定的条款和条件,包括业务关系和所提供服务的范围、特征和位置、信息安全要求(包括 SSRM)、变更管理流程、日志记录和监控功能、突发事件管理和通信程序、审计和第三方评估的权利、服务终止、互操作性和可移植性要求以及数据隐私权。

ccm-tvm-01

制定、记录、批准、传达、应用、评估和维护相关政策和程序,以识别、报告漏洞并确定漏洞修复的优先级,从而保护系统免遭漏洞利用。至少每年审核并更新一次政策和程序。

ccm-tvm-02

制定、记录、批准、传达、应用、评估和维护政策及程序,以防范受管资产上的恶意软件。至少每年审核并更新一次政策和程序。

ccm-tvm-03

根据识别出的风险,定义、实施和评估流程、程序和技术措施,以便能够针对漏洞识别结果进行预定响应和紧急响应。

ccm-tvm-06

定义、实施和评估相关流程、程序和技术措施,以便由独立的第三方定期执行渗透测试。

ccm-uem-04

维护一份用于存储和访问公司数据的所有端点的清单。

ccm-uem-07

通过公司的变更管理流程,管理端点操作系统、补丁级别和应用的变更。

ccm-uem-10

配置具有正确配置的软件防火墙的受管端点。

ccm-uem-11

根据风险评估结果,使用数据泄露防护 (DLP) 技术和规则配置受管理的端点。

Data Security and Privacy Essentials

支持的云服务提供商: Google Cloud

Google 针对数据安全和隐私权推荐的云控制措施

此框架包含以下云控制措施:

Data Security Framework Template

支持的云服务提供商: Google Cloud

Google 内置框架,用于部署高级 DSPM 云控制措施。

此框架包含以下云控制措施:

FedRAMP Low 20x

支持的云服务提供商: Google Cloud

一项政府级计划,针对处理各机构所用的未分类信息的云计算产品和服务提供标准化且可重复使用的安全评估和授权方法。对于机密性、完整性和可用性损失只会对机构的运营、资产或个人产生有限负面影响的 CSO,FedRAMP 低影响级别最为合适。

此框架包含以下部分中的云控制组和云控制措施。

ksi-cmt-1

记录和监控系统修改。确保所有系统变更都已记录在案,并且配置基准已更新。

ksi-cna-1

配置所有信息资源,以限制入站和出站流量。

ksi-cna-2

设计系统以帮助缩小攻击面,并在系统遭到入侵时最大限度地减少横向移动。

ksi-cna-4

使用具有严格定义的功能和权限的不可变基础架构。

ksi-cna-6

设计具有高可用性和快速恢复功能的信息系统,以帮助防止数据丢失。

ksi-cna-7

实施基于宿主提供商的最佳实践和文档化指南的云优先信息资源。

ksi-iam-3

为 Google Cloud 中的所有非用户账号和服务强制执行安全身份验证方法,以帮助保护数据和资源免遭未经授权的访问。

ksi-iam-4

实现最小权限、基于角色和属性且适时授予的安全授权模型。请针对所有用户账号、非用户账号和服务使用此模型,以帮助降低未经授权的访问或滥用风险。

ksi-mla-2

定期查看应用和服务的审核日志。

ksi-mla-3

检测漏洞并及时修复或缓解漏洞,以帮助降低风险对应用和服务的影响。

ksi-piy-1

维护一个包含所有已部署资产、软件和服务的信息资源清单或代码。

ksi-piy-4

将安全考虑因素纳入软件开发生命周期 (SDLC),并与网络安全和基础设施安全局 (CISA) 的“设计即安全”原则保持一致。

ksi-svc-1

定期检查并加强网络和系统配置,以确保安全基准。

ksi-svc-2

加密连接到 Google Cloud 的机器之间交换的所有核心内容数据,或者保护所有网络流量以帮助保护数据。

ksi-svc-6

使用自动化密钥管理系统来帮助保护、管理和定期轮换数字密钥和证书。

ksi-svc-7

实施一致的风险知情方法,以便为应用和服务应用安全补丁。

ISO 27001:2022

支持的云服务提供商: Google Cloud

信息安全管理系统 (ISMS) 的国际标准。它通过指定建立和改进安全控制措施的要求,提供了一种基于风险的系统性方法来管理敏感信息。

此框架包含以下部分中的云控制组和云控制措施。

iso-27001-2022-a-5-1

信息安全政策和特定主题政策应由管理层定义并批准,发布后传达给相关人员和相关利益相关方并获得其确认,并按计划的时间间隔进行审核,如果发生重大变更,也应进行审核。

iso-27001-2022-a-5-10

应确定、记录并实施有关信息和其他相关资产的合理使用规则和处理程序。

iso-27001-2022-a-5-12

应根据组织的保密性、完整性、可用性和相关利益相关方的要求,按照信息安全需求对信息进行分类。

iso-27001-2022-a-5-14

组织内部以及组织与其他方之间所有类型的信息转移设施都应制定信息转移规则、程序或协议。

iso-27001-2022-a-5-15

应根据业务和信息安全要求,制定并实施用于控制对信息和其他相关资产的物理访问和逻辑访问的规则。

iso-27001-2022-a-5-17

身份验证信息的分配和管理应由管理流程控制,包括就如何妥善处理身份验证信息向人员提供建议。

iso-27001-2022-a-5-18

应根据组织关于访问权限控制的主题特定政策和规则,配置、审核、修改和移除信息及其他相关资产的访问权限。

iso-27001-2022-a-5-19

应制定并实施流程和程序,以管理与使用供应商产品或服务相关的信息安全风险。

iso-27001-2022-a-5-20

应根据供应商关系的类型,与每个供应商确定并达成一致意见相关的信息安全要求。

iso-27001-2022-a-5-23

应根据组织的信息安全要求,制定云服务的获取、使用、管理和退出流程。

iso-27001-2022-a-5-24

组织应通过定义、建立和传达信息安全事件管理流程、角色和职责,规划和准备信息安全事件管理。

iso-27001-2022-a-5-25

组织应评估信息安全事件,并决定是否将其归类为信息安全事件。

iso-27001-2022-a-5-28

组织应建立并实施相关程序,以识别、收集、获取和保存与信息安全事件相关的证据。

iso-27001-2022-a-5-30

应根据业务连续性目标和 ICT 连续性要求,规划、实施、维护和测试 ICT 准备情况。

iso-27001-2022-a-5-33

记录应受到保护,以免丢失、损毁、伪造、未经授权的访问和未经授权的发布。

iso-27001-2022-a-5-5

组织应与相关主管机关建立并保持联系。

iso-27001-2022-a-5-6

组织应与特殊兴趣群体或其他专业安全论坛和专业协会建立并保持联系。

iso-27001-2022-a-5-9

应制定并维护信息和其他相关资产(包括所有者)的清单。

iso-27001-2022-a-6-7

当人员远程办公时,应实施安全措施,以保护在组织场所外访问、处理或存储的信息。

iso-27001-2022-a-8-1

存储在用户端点设备上、由用户端点设备处理或可使用用户端点设备访问的信息应受到保护。

iso-27001-2022-a-8-10

当不再需要信息系统、设备或任何其他存储介质中存储的信息时,应将其删除。

iso-27001-2022-a-8-13

应根据商定的备份主题特定政策,维护信息、软件和系统的备份副本并定期进行测试。

iso-27001-2022-a-8-14

信息处理设施应实施足够的冗余,以满足可用性要求。

iso-27001-2022-a-8-15

应生成、存储、保护和分析记录活动、异常、故障和其他相关事件的日志。

iso-27001-2022-a-8-16

应监控网络、系统和应用是否存在异常行为,并采取适当措施来评估潜在的信息安全突发事件。

iso-27001-2022-a-8-17

组织使用的信息处理系统的时钟应与经批准的时间源同步。

iso-27001-2022-a-8-2

应限制和管理特权访问权限的分配和使用。

iso-27001-2022-a-8-20

应保护、管理和控制网络及网络设备,以保护系统和应用中的信息。

iso-27001-2022-a-8-21

应确定、实施和监控网络服务的安全机制、服务等级和服务要求。

iso-27001-2022-a-8-22

组织的网络中应隔离信息服务、用户和信息系统的群组。

iso-27001-2022-a-8-23

应管理对外部网站的访问权限,以减少接触恶意内容的风险。

iso-27001-2022-a-8-24

应定义并实施有效使用加密技术的规则,包括加密密钥管理。

iso-27001-2022-a-8-25

应制定并应用软件和系统安全开发规则。

iso-27001-2022-a-8-26

在开发或获取应用时,应确定、指定并批准信息安全要求。

iso-27001-2022-a-8-27

应制定、记录、维护和应用工程安全系统原则,以指导任何信息系统开发活动。

iso-27001-2022-a-8-28

安全编码原则应应用于软件开发。

iso-27001-2022-a-8-29

应在开发生命周期中定义并实施安全测试流程。

iso-27001-2022-a-8-3

对信息和其他相关资产的访问权限应根据已确立的特定主题访问权限控制政策进行限制。

iso-27001-2022-a-8-30

组织应指导、监控和审查与外包系统开发相关的活动。

iso-27001-2022-a-8-4

对源代码、开发工具和软件库的读写权限应得到妥善管理。

iso-27001-2022-a-8-5

应根据信息访问限制和有关访问权限控制的主题特定政策,实施安全身份验证技术和程序。

iso-27001-2022-a-8-6

应根据当前和预期的容量需求监控和调整资源使用情况。

iso-27001-2022-a-8-7

应通过适当的用户意识来实施和支持恶意软件防护。

iso-27001-2022-a-8-8

应获取有关所用信息系统技术漏洞的信息,评估组织在此类漏洞面前的风险,并采取适当措施。

iso-27001-2022-a-8-9

应建立、记录、实施、监控和审查硬件、软件、服务和网络(包括安全配置)的配置。

Qatar National Information Assurance Standard v2.1

支持的云服务提供商: Google Cloud

卡塔尔 NIAS 旨在为卡塔尔境内的组织提供必要的基础和相关工具,以便在组织内实施完善的信息安全管理系统。

此框架包含以下部分中的云控制组和云控制措施。

qa-nias-2-1-am-1

我们会根据“最小权限”原则为用户提供访问权限,并遵循“有必要知道”或“有必要拥有”的原则。

qa-nias-2-1-am-11

集中式身份验证存储库(例如 LDAP 和身份验证数据库)可防范拒绝服务攻击,并使用安全且经过身份验证的渠道来检索身份验证数据。此类存储库应记录以下事件:未经授权的更新或访问;活动的开始和结束日期及时间(以及系统标识符);用户标识(用于非法登录);登录和退出活动(用于非法登录);以及会话、终端或远程连接。

qa-nias-2-1-am-12

组织必须根据《国家数据分类政策》(IAP-NAT-DCLS) 制定并维护一套政策、计划和程序,涵盖系统用户的身份识别、身份验证和授权。

qa-nias-2-1-am-14

所有系统用户都具有唯一的可识别性,并且每次授予系统访问权限时都会进行身份验证。

qa-nias-2-1-am-17

不受保护的身份验证信息位于或随附于系统或设备,该信息可授予系统访问权限或解密加密设备,但不受保护。

qa-nias-2-1-am-18

使用中的系统身份验证数据不易受到攻击,包括但不限于重放攻击、中间人攻击和会话劫持。

qa-nias-2-1-am-2

根据信息的敏感程度,通过系统访问权限控制、身份识别和身份验证以及审核跟踪来管理和控制访问权限。此类访问权限请求应由员工的主管或经理授权。

qa-nias-2-1-am-20

密码至少每 90 天更改一次。

qa-nias-2-1-am-23

屏幕和会话锁定功能按以下方式配置:在系统用户闲置最多 15 分钟后激活;由系统用户按标准方式激活(如果需要);锁定以完全隐藏屏幕上的所有信息;确保屏幕在锁定状态下不会显示为关闭;要求系统用户重新进行身份验证才能解锁系统;禁止系统用户停用锁定机制。

qa-nias-2-1-am-24

在登录尝试失败次数达到指定次数后,或在员工因角色变更或离职而不再需要访问权限后,立即暂停对系统的访问权限。

qa-nias-2-1-am-3

用户或实体创建、读取、更新、删除或传输组织信息资产的访问权限应基于由信息所有者制定的业务规则所定义的权限矩阵(分层)模型。

qa-nias-2-1-am-31

特权账号的使用有据可查、受到控制、可追究责任,并保持在最低限度。特权账号只能用于管理工作。

qa-nias-2-1-am-32

系统管理员会获分配一个个人账号,用于执行管理任务。

qa-nias-2-1-am-34

系统管理日志会更新,以记录以下信息:清理活动;系统启动和关闭;组件或系统故障;维护活动;备份和归档活动;系统恢复活动;以及特殊活动或非工作时间活动。

qa-nias-2-1-am-35

除非部门主管明确授权,否则不得提供远程访问权限;只有在业务需求有充分理由支持的情况下,并且在经过尽职调查分析相关风险并实施适当的控制措施来缓解已识别的风险后,才能提供远程访问权限。

qa-nias-2-1-am-36

在访问处理分类为 C3 或更高级别的数据的系统时,使用双重身份验证(使用硬件令牌、生物识别控制或类似方法)。

qa-nias-2-1-am-37

远程访问会话通过使用合适的端到端加密技术来确保安全,如第 C-10 节“加密安全性 (CY)”中所述。

qa-nias-2-1-am-6

任何未经授权试图规避组织访问权限控制的行为都应视为安全事件,并应根据既定的事件处理程序以及相应的人力资源政策和程序进行处理。

qa-nias-2-1-am-7

应启用并维护审核日志,以便根据政府政策监控合规性,并协助进行突发事件管理。

qa-nias-2-1-am-8

对组织网络的逻辑访问受到技术控制。这可以通过使用网络准入控制 (NAC) 服务和设备来实现。

qa-nias-2-1-cy-1

加密算法、加密硬件或软件、密钥管理系统和数字签名应符合 2010 年第 (16) 号法律(关于颁布《电子商务和交易法》)中主管机关规定的已批准的加密/密码算法和系统。

qa-nias-2-1-cy-2

密钥的生命周期主要由应用及其所使用的信息基础设施决定。如果密钥已遭破解或疑似已遭破解,应立即撤消并替换。

qa-nias-2-1-cy-3

分类为 C3 (IAP-NAT-DCLS) 的信息资产在存储和传输过程中会进行加密,并受到保护,以防未经授权的披露,无论存储格式或介质如何。组织可以根据风险评估结果,在机密性要求较低的资产上应用这些加密控制措施。

qa-nias-2-1-cy-4

分类为 I3 (IAP-NAT-DCLS) 的信息资产使用加密哈希确保完整性。如果组织通过风险评估确定有必要,则可将这些加密控制措施应用于完整性要求较低的资产。

qa-nias-2-1-cy-5

以下协议或更高级别的协议(采用卡塔尔国家密码标准 - 英语版 v1.0 [或更高版本] 中概述的经批准的算法)用于保护传输中的 C3 级数据:用于保护网络流量:TLS (+128 位) (RFC4346);用于保护文件传输:SFTP (SFTP);用于安全远程访问:SSH v2 (RFC4253) 或 IPSEC (RFC 4301);仅使用 S/MIME v3 (RFC3851) 或更高级别的协议来保护电子邮件。如需了解相关要求,请参阅 CY11。

qa-nias-2-1-cy-6

密码在存储或传输时必须始终经过加密或哈希处理,并受到保护,以免未经授权的披露,无论存储格式或媒体如何。每次更改密码时,特权密码都应加密并与备份文件一起异地存储,以确保完全恢复。

qa-nias-2-1-cy-7

如果使用硬件安全模块 (HSM),则这些模块至少通过了 FIPS 2-140 2 级 (FIPS2-140) 或通用准则 (CC3.1) EAL4 认证。

qa-nias-2-1-cy-9

根据 (ISO1-11770) 定义了合适的密钥管理流程,并用于管理加密密钥的生命周期,涵盖以下功能:密钥保管人角色和职责、密钥生成、双重控制和知识分离、安全密钥存储、密钥使用、安全密钥分发和传输、密钥备份和恢复、定期密钥状态检查、密钥泄露、密钥撤消和销毁,以及审核轨迹和文档。

qa-nias-2-1-gs-1

网络通过网关受到其他网络的保护,并且数据流得到妥善控制。

qa-nias-2-1-gs-13

通过至少检查分类标签来过滤数据,从而限制将数据导出到分类较低的系统。

qa-nias-2-1-gs-2

将组织网络连接到其他组织网络或不受控制的公共网络的网关按以下方式实现:使用适当的网络设备来控制数据流,适当控制所有数据流,并将网关组件实际放置在适当安全的服务器机房内。

qa-nias-2-1-gs-6

非军事区 (DMZ) 用于通过使用防火墙和其他具有网络安全功能的设备将可从外部访问的系统与不受控制的公共网络和内部网络隔离开来。

qa-nias-2-1-gs-7

网关必须:是内部网络的唯一通信路径;默认情况下,拒绝所有进出网络的连接;仅允许明确授权的连接;使用与所有连接的网络隔离的安全路径进行管理;提供足够的审核功能来检测网关安全漏洞和尝试的网络入侵;并提供实时警报。

qa-nias-2-1-gs-8

在生产现场实施任何网关之前,都会对其进行强化,以防范以下风险:恶意代码和漏洞、错误或不良配置、账号盗用和权限升级、恶意网络监控、拒绝服务 (DoS) 攻击以及信息或数据泄露。

qa-nias-2-1-gs-9

我们对网关进行监控和监督,包括威胁防范机制、日志记录、提醒和设备监控。请参阅 B-10 部分“日志记录和安全监控 (SM)”。

qa-nias-2-1-ie-12

确保系统之间交换的信息免遭滥用、未经授权的访问或数据损坏。对于传输分类为 C2、I2 或更高级别的信息,应使用经过身份验证的加密通道,如 CY5 第 C-10 部分“加密安全性 (CY)”中所述。

qa-nias-2-1-ie-3

在交换信息之前,请确保信息交换实体之间已签订必要的协议(尤其是保密协议)。协议应提供有关责任、信息交换通知程序、传输技术标准、快递公司身份、责任、所有权和控制权的信息。对于供应商和第三方,应使用正式的保密协议 (NDA)。附录 D 提供了一份 NDA 模板。

qa-nias-2-1-ie-4

组织必须确保用于交换信息的介质在组织环境内或外部受到保护,以免遭到未经授权的访问、操纵或滥用。

qa-nias-2-1-ie-8

保护通过电子消息传递交换的信息,防止未经授权的访问、更改或服务中断。

qa-nias-2-1-ms-20

在处置之前,我们会尽可能清理包含机密信息的媒体(包括有故障的媒体)。

qa-nias-2-1-ns-1

内部网络和系统配置、员工或设备相关的目录服务以及其他敏感技术的详细信息不会公开披露,也不会被未经授权的人员列举。

qa-nias-2-1-ns-17

设置一个单独的内部 DNS 服务器,并将其放置在内部网络中,以存储不会向互联网公开的内部网域信息。

qa-nias-2-1-ns-2

组织移除或停用所有默认账号(例如 root 或管理员),或按照第 C-6 条“软件安全 (SS)”中的规定更改密码。

qa-nias-2-1-ns-20

区域文件经过数字签名,并提供区域转移和动态更新的加密相互身份验证和数据完整性。

qa-nias-2-1-ns-21

提供 DNS 数据的加密来源身份验证和完整性保证。

qa-nias-2-1-ns-22

DNS 服务(包括区域传送)仅向已获授权的用户提供。

qa-nias-2-1-ns-25

除非明确启用,否则互联网网关会拒绝所有互联网服务。

qa-nias-2-1-ns-27

组织具备监控流量、推断流量模式、使用情况等所需的能力。如需了解详情,请参阅 B-10 部分“日志记录和安全监控 (SM)”。

qa-nias-2-1-ns-29

TLS 保护功能与 SMTP 邮件服务器搭配使用,符合第 C-10 部分“加密安全性”(CY) 的要求。

qa-nias-2-1-ns-3

网络配置由网络管理员或类似人员控制,对配置的所有更改均需:通过第 B-5 节“变更管理 (CM)”中定义的正式变更控制流程获得批准;记录在案;符合第 B-12 节“文档 (DC)”中定义的网络安全政策和安全计划;并定期接受审核。根据组织程序的要求,旧配置会作为更改修订的一部分进行维护。审核配置的频率应取决于组织的风险和流程。

qa-nias-2-1-ns-5

网络经过精心设计和配置,可最大限度地减少未经授权访问网络基础设施中传输的信息的机会。组织应使用以下技术来满足此要求:使用交换机而非集线器;在交换机上使用端口安全功能来限制访问权限并停用所有未使用的端口;使用路由器和防火墙根据“需要知道”的原则隔离部分网络;使用 IPsec 或 IP 版本 6;使用应用级加密;使用可将网络设备的运行配置与记录的配置进行比较的自动化工具;使用网络边缘身份验证;通过 MAC 地址过滤等技术来限制和管理与组织网络通信的最终用户设备;使用 IPS 或 IDS 来检测和阻止网络中的恶意活动;以及使用时间和日期限制。

qa-nias-2-1-ns-53

语音和数据是不同的网络。分离应为物理分离,但允许使用虚拟局域网。语音网关与 PSTN 接口,将 H.323、SIP 或其他 VoIP 协议与数据网络分离。

qa-nias-2-1-ns-6

管理网络采用以下保护措施:通过实现单独的管理 VLAN 或物理上分离的基础设施,为管理设备使用专用网络;并使用安全通道,例如使用 VPN 或 SSH。

qa-nias-2-1-ns-7

VLAN 用于在业务关键型网络中分离 IP 电话流量。

qa-nias-2-1-ns-8

仅允许从最高机密 VLAN 访问相同或更低机密级别的 VLAN。

qa-nias-2-1-pr-5

产品安全评估是在专用评估配置上完成的,包括功能测试、安全测试和修补,以防范潜在的威胁和漏洞。

qa-nias-2-1-pr-6

产品交付符合组织的安全交付安全实践。

qa-nias-2-1-pr-7

安全交付程序应包括检测篡改或伪装的措施。

qa-nias-2-1-pr-8

产品已从承诺持续维护其产品保证的开发者处购买。

qa-nias-2-1-pr-9

产品修补和更新流程已到位。产品更新应遵循第 B-5 部分“变更管理 (CM)”中指定的变更管理政策。

qa-nias-2-1-ss-13

工作站使用强化型标准操作环境 (SOE),涵盖以下方面:移除不需要的软件;停用已安装软件和操作系统中未使用或不需要的功能;对相关对象实施访问权限控制,以将系统用户和程序的访问权限限制为执行其职责所需的最低限度;安装基于软件的防火墙,以限制入站和出站网络连接;以及配置远程日志记录或将本地事件日志传输到中央服务器。

qa-nias-2-1-ss-14

通过以下方式减少 SOE 和系统中的潜在漏洞:移除不必要的文件共享;确保补丁是最新的;停用对所有不必要输入和输出功能的访问权限;移除不使用的账号;重命名默认账号;以及替换默认密码。

qa-nias-2-1-ss-15

如果高风险服务器(例如 Web 服务器、电子邮件服务器、文件服务器和网际协议电话服务器)与不受控制的公共网络相连,则应遵循以下准则:在服务器之间保持有效的功能分离,以便它们能够独立运行;尽可能减少服务器在网络和文件系统级别的通信;将系统用户和程序的访问权限限制为执行其职责所需的最低限度。

qa-nias-2-1-ss-16

检查对组织至关重要的所有服务器以及被确定为存在高风险的服务器的功能完整性。应尽可能从受信任的环境(而非系统本身)执行这些检查。

qa-nias-2-1-ss-17

以保持完整性的方式将完整性信息安全地存储在服务器外部。

qa-nias-2-1-ss-19

根据组织正在进行的审核计划,将存储的完整性信息与当前的完整性信息进行比较,以确定是否发生了入侵或合法但未正确完成的系统修改。

qa-nias-2-1-ss-2

所有应用(包括新应用和已开发的应用)均会根据《国家数据分类政策》(IAP-NAT-DCLS) 进行分类,并根据其保密性、完整性和可用性评级获得相应的安全保护。

qa-nias-2-1-ss-20

组织必须根据其信息和通信技术 (ICT) 安全突发事件管理程序来解决检测到的任何更改。

qa-nias-2-1-ss-21

我们会审核所有软件应用,以确定它们是否尝试建立任何外部连接。如果包含自动出站连接功能,组织应根据业务需求决定是否允许或拒绝这些连接,包括评估这样做所涉及的风险。

qa-nias-2-1-ss-23

每个 Web 应用组件之间的连接和访问权限都尽可能减少。

qa-nias-2-1-ss-24

在存储和传输个人信息及敏感数据时,我们会使用适当的加密控制措施来保护这些信息和数据。

qa-nias-2-1-ss-29

数据库文件受到保护,可防止绕过数据库的正常访问权限控制的访问。

qa-nias-2-1-ss-3

安全性要求(包括功能性、技术性和保证性要求)作为系统要求的一部分进行制定和实施。

qa-nias-2-1-ss-30

数据库提供相应功能,以便审核系统用户的操作。

qa-nias-2-1-ss-31

如果系统用户没有足够的权限来查看数据库内容,则无法在搜索引擎查询的结果列表中看到关联的元数据。如果无法适当过滤数据库查询结果,组织必须确保对所有查询结果进行适当的清理,以满足系统用户的最低安全权限。

qa-nias-2-1-ss-4

专用测试和开发基础架构(包括系统和数据)可用,并且与生产系统分开。此外,环境之间的信息流应根据已定义并记录在案的政策受到严格限制,只有具有明确业务需求且对软件的权威来源具有写入权限的系统用户才能获得访问权限,并且应停用对软件的权威来源的写入权限。

qa-nias-2-1-ss-5

所有应用(无论是购买的还是自行开发的)只有在通过适当的质量和安全保证测试和检查后,才能用于生产,以确保系统确认并符合预期的安全要求。

qa-nias-2-1-ss-6

软件开发者在编写代码时会采用安全的编程实践,包括:遵循最佳实践,例如 Mitre 最危险的 25 个编程错误 (Mitre);设计软件以使用完成任务所需的最低权限级别;默认拒绝访问;检查所有系统调用的返回值;以及验证所有输入。

qa-nias-2-1-ss-7

在生产环境中使用软件之前,应先检查和/或测试软件是否存在漏洞。软件应由独立方(而非开发者)审核和/或测试。

qa-nias-2-1-vl-1

所有 MD 和笔记本电脑均已设置紧急销毁、锁定方案、远程清除或自动销毁功能。

qa-nias-2-1-vl-2

根据行业公认的最佳实践和安全指南以及供应商建议,强化 Hypervisor、管理层、虚拟机和相关组件。

qa-nias-2-1-vl-3

强制执行最小权限和职责分离,以管理虚拟环境,具体如下:在中央虚拟化管理软件中为每位管理员定义特定角色和精细权限;尽可能限制对 Hypervisor 的直接管理员权限权限;根据风险和所处理信息的分类,组织应考虑使用多重身份验证或在多位管理员之间对管理密码进行双重或拆分控制。如需了解详情,请参阅 C9 访问权限管理部分。

qa-nias-2-1-vl-5

虚拟化技术环境应通过第三方安全技术进行增强,以提供分层安全控制措施(例如纵深防御方法),从而补充供应商和技术本身提供的控制措施。

qa-nias-2-1-vl-6

根据虚拟机处理或存储的数据的分类来隔离虚拟机。

qa-nias-2-1-vl-7

变更管理流程涵盖虚拟技术环境。其中包括:确保虚拟机配置文件已更新,并始终保持虚拟机映像的完整性;应注意维护和更新处于非活动状态(休眠或不再使用)的虚拟机。如需了解详情,请参阅 B6 部分 - 变更管理。

qa-nias-2-1-vl-8

虚拟技术环境的日志应与其他 IT 基础设施一起记录和监控。请参阅第 B10 部分“日志记录和安全监控”。

NIST 800-53 Revision 5

支持的云服务提供商: Google Cloud

一个全面的安全和隐私控制措施目录,可用于构建强大的安全计划。该框架最初是美国联邦系统的强制性要求,现在已成为各行各业的组织使用的最佳实践框架。

此框架包含以下部分中的云控制组和云控制措施。

nist-r5-ac-02

A. 定义并记录允许和明确禁止在系统内使用的账号类型。B. 分配客户经理。C. 要求群组和角色成员满足组织定义的前提条件和标准。D. 指定:a. 系统的授权用户。b. 群组和角色成员资格。c. 每个账号的访问授权或权限以及组织定义的属性。E. 要求组织指定的人员或角色批准账号创建请求。F.根据组织定义的政策、程序、前提条件和标准创建、启用、修改、停用和移除账号。G. 监控账号的使用情况。H.通知以下人员或角色:a. 客户经理;b. 组织内定义的人员或角色。组织定义的不再需要账号的时间段。b. 组织定义的用户终止或调任的时间段。 c. 组织定义的时间段,在此期间,个人的系统使用情况或需要了解的信息会发生变化。I. 根据以下条件授权对系统的访问权限:a. 有效的访问授权。b. 预期系统使用情况。 c. 组织定义的属性。J.按照组织定义的频率,检查账号是否符合账号管理要求。K. 建立并实施相应流程,以便在从群组中移除个人时更改共享账号或群组账号的身份验证器。L. 使账号管理流程与人员离职和调动流程保持一致。

nist-r5-ac-03

根据适用的访问权限控制政策,针对对信息和系统资源的逻辑访问强制执行已获批准的授权。

nist-r5-ac-04

根据组织定义的信息流控制政策,强制执行经批准的授权,以控制系统内和连接的系统之间的信息流。

nist-r5-ac-05

确定并记录需要分离的个人组织定义的职责。定义系统访问授权,以支持职责分离。

nist-r5-ac-06

采用最小权限原则,仅允许用户或代表用户执行操作的进程进行授权访问,以完成分配的组织任务。

nist-r5-ac-06-05

将系统中的特权账号限制为组织定义的人员或角色。

nist-r5-ac-07

强制执行以下限制:在组织定义的时间段内,用户连续尝试登录失败的次数不得超过组织定义的次数。当不成功的尝试次数超过上限时,自动锁定账号或节点一段时间(由组织定义);锁定账号或节点,直到管理员将其解锁;根据组织定义的延迟算法延迟下一次登录提示;通知系统管理员;采取其他组织定义的操作。

nist-r5-ac-12

在满足组织定义的条件或触发需要断开会话的事件后,自动终止用户会话。

nist-r5-ac-17

针对允许的每种远程访问类型,制定并记录使用限制、配置和连接要求以及实施指南。在允许此类连接之前,请先授权每种类型的系统远程访问。

nist-r5-ac-17-03

通过授权且受管理的网络访问权限控制点路由远程访问。

nist-r5-ac-17-04

仅以可提供可评估证据的格式,并根据组织定义的需求,授权通过远程访问执行特权命令和访问安全相关信息。在系统安全计划中记录远程访问的理由。

nist-r5-ac-18

针对每种类型的无线接入,确定配置要求、连接要求和实现指南。在允许此类连接之前,请先授权每种类型的无线系统访问权限。

nist-r5-ac-19

为组织控制的移动设备制定配置要求、连接要求和实施指南,包括此类设备在受控区域之外的使用情况。授权移动设备连接到组织系统。

nist-r5-au-01

制定、记录并传播合规的审计和责任政策以及实施程序,确保该政策涵盖其目的、范围、角色和责任。指定一位特定官员来管理此文档,并根据既定时间表或在发生特定事件时定期审核和更新政策及程序。

nist-r5-au-02

A. 确定系统能够记录哪些类型的事件以支持审核功能:B. 与其他需要审核相关信息的组织实体协调事件日志记录功能,以指导和告知要记录的事件的选择标准。C. 指定组织定义的事件类型(属于 AU-02a 中定义的事件类型的子集),以及每种已识别的事件类型的记录频率或需要记录的情况。D. 说明所选的日志记录事件类型为何被认为足以支持事后调查事件。E. 根据组织定义的频率,查看并更新为日志记录选择的事件类型。

nist-r5-au-03

确保审核记录包含可确定以下方面的信息:A. 发生的事件的类型。B. 事件发生的时间。C. 事件发生的位置。D. 相应事件的来源。D. 相应事件的结果。F.与活动相关的任何个人、主题、对象和实体的身份。

nist-r5-au-03-01

生成包含组织定义的额外信息的审核记录。

nist-r5-au-04

分配审核日志存储容量,以满足组织定义的审核日志保留要求。

nist-r5-au-05

在审核日志记录流程失败时,在组织定义的时间段内提醒组织定义的人员或角色。执行组织定义的其他操作。

nist-r5-au-05-02

在组织定义的实时时间段内,当发生需要实时提醒的组织定义的审核日志记录失败事件时,向组织定义的人员、角色或位置提供提醒。

nist-r5-au-06

按照组织定义的频率查看和分析系统审核记录,以查找组织定义的不当或异常活动以及不当或异常活动的潜在影响。向组织定义的人员或角色报告发现结果。根据执法信息、情报信息或其他可信信息来源,当风险发生变化时,调整系统内审核记录的查看、分析和报告级别。

nist-r5-au-07

提供并实现审核记录缩减和报告生成功能,以支持按需审核记录查看、分析和报告要求,以及事后突发事件调查。该功能不得更改审核记录的原始内容或时间顺序。

nist-r5-au-11

根据记录保留政策,将审核记录保留组织定义的时间段,以便为事后调查突发事件提供支持,并满足监管和组织信息保留要求。

nist-r5-au-12

A. 为系统能够审核的事件类型提供审核记录生成功能,如组织定义的系统组件上的 AU-2a 中所定义。B. 允许组织定义的人员或角色选择要由系统的特定组件记录的事件类型。C. 针对 AU-2c 中定义的事件类型生成审核记录,这些记录包含 AU-3 中定义的审核记录内容。

nist-r5-ca-2-2

作为控制评估的一部分,按照组织定义的频率(已公布或未公布)进行以下评估:深度监控;安全检测;自动化安全测试用例;漏洞扫描;恶意用户测试;内部威胁评估;性能和负载测试;数据泄露或数据丢失评估;或组织定义的其他形式的评估。

nist-r5-ca-7

制定系统级持续监控策略,并根据组织级持续监控策略实施持续监控,该策略应包括:A. 确定组织定义的系统级指标。B. 确定组织定义的监控和评估控制措施有效性的频率。C. 根据持续监控策略进行持续的控制评估。D. 根据持续监控策略,持续监控系统和组织定义的指标。E. 对控制评估和监控生成的信息进行关联和分析。F.用于处理控制评估和监控信息分析结果的响应操作。G. 按照组织定义的频率,向组织定义的人员或角色报告系统的安全和隐私状态。

nist-r5-ca-9

A. 授权组织定义的系统组件或组件类与系统建立内部连接。B. 针对每个内部连接,记录接口特征、安全和隐私要求以及所通信信息的性质。C. 在满足组织定义的条件后终止内部系统连接。D. 按照组织定义的频率,审核每项内部连接的持续需求。

nist-r5-cm-01

A. 制定、记录并向组织指定的人员或角色分发: a. 在组织级、任务或业务流程级或系统级定义的配置管理政策。该政策必须涵盖目的、范围、角色、责任、管理承诺、组织实体之间的协调以及合规性。该政策必须符合适用的法律、行政命令、指令、法规、政策、标准和指南。 b. 有助于实施配置管理政策和相关配置管理控制措施的程序。B. 指定组织定义的官方人员来管理配置管理政策和程序的制定、文档编制和传播。C. 根据组织定义的频率和事件,检查并更新当前的配置管理政策和程序。

nist-r5-cm-02

A. 在配置控制下开发、记录和维护系统的当前基准配置。B. 检查并更新系统的基准配置:a. 根据组织定义的频次。b. 当因组织定义的情况而需要时。c. 安装或升级系统组件时。

nist-r5-cm-06

A. 使用组织定义的通用安全配置,为系统中使用的组件建立并记录配置设置,这些设置应反映与运营要求一致的最严格模式。B. 实现配置设置。C. 根据组织定义的操作要求,识别、记录和批准组织定义的系统组件的任何偏离既定配置设置的情况。D. 根据组织政策和程序,监控和控制配置设置的更改。

nist-r5-cm-07

将系统配置为仅提供组织定义的关键任务功能。禁止或限制使用组织定义的功能、端口、协议、软件或服务。

nist-r5-cm-09

针对系统制定、记录和实施配置管理计划,该计划:A. 介绍了角色、职责以及配置管理流程和程序。B. 建立一个流程,用于在整个系统开发生命周期中识别配置项,并管理配置项的配置。C. 定义系统的配置项,并将配置项置于配置管理之下。D. 由组织定义的人员或角色审核并批准。E. 保护配置管理计划免遭未经授权的披露和修改。

nist-r5-cp-06

建立备用存储站点,包括允许存储和检索系统备份信息的必要协议。确保备用存储站点提供的控制措施与主存储站点相当。

nist-r5-cp-07

A. 建立备用处理站点,包括必要的协议,以便在主要处理能力不可用时,在组织定义的时间段内(符合恢复时间和恢复点目标)转移和恢复组织定义的关键任务和业务功能系统操作。B. 在备用处理站点提供转移和恢复运营所需的设备和用品,或签订合同以支持在组织定义的转移和恢复时间段内将设备和用品交付到该站点。C. 在备用处理站点提供与主要站点同等的控制措施。

nist-r5-ia-04

通过以下方式管理系统标识符:A. 从组织定义的人员或角色处获得授权,以分配个人、群组、角色、服务或设备标识符。B. 选择用于标识个人、群组、角色、服务或设备的标识符。C. 将标识符分配给预期的个人、群组、角色、服务或设备。D. 防止在组织定义的时间段内重复使用标识符。

nist-r5-ia-05

通过以下方式管理系统身份验证器:a. 在初始身份验证器分发过程中,验证接收身份验证器的个人、群组、角色、服务或设备的身份。b. 为组织颁发的任何验证器建立初始验证器内容。c. 确保身份验证器具有足够的机制强度,以满足其预期用途。d. 针对以下情况制定并实施管理程序:初始身份验证器分发、身份验证器丢失或遭盗用或损坏,以及撤消身份验证器。e. 在首次使用之前更改默认身份验证器。f. 根据组织定义的身份验证器类型或在组织定义的事件发生时,更改或刷新身份验证器。例如,保护身份验证器内容,防止未经授权的披露和修改。h. 要求个人采取特定控制措施来保护身份验证器,并要求设备实现这些控制措施。i. 在群组账号或角色账号的成员资格发生变化时,更改这些账号的身份验证器。

nist-r5-ia-08

唯一标识并验证非组织用户或代表非组织用户执行操作的进程的身份。

nist-r5-ma-04

A. 批准并监控非本地维护和诊断活动。B. 仅在符合组织政策且在系统安全计划中记录的情况下,允许使用非本地维护和诊断工具。C. 在建立非本地维护和诊断会话时采用强身份验证。D. 维护非本地维护和诊断活动的记录。E. 在完成非本地维护时终止会话和网络连接。

nist-r5-mp-02

将对组织定义的数字或非数字媒体类型的访问权限限制为组织定义的人员或角色。

nist-r5-pe-01

A. 制定、记录并向组织指定的人员或角色分发: a. 在组织级、任务或业务流程级或系统级定义的物理与环境保护政策。该政策必须涵盖目的、范围、角色、责任、管理承诺、组织实体之间的协调以及合规性。该政策必须符合适用的法律、行政命令、指令、法规、政策、标准和指南。 b. 有助于实施物理与环境保护政策以及相关物理与环境保护控制措施的程序。B. 指定组织定义的官方人员来管理物理和环境保护政策及流程的制定、记录和传播。C. 根据组织定义的频率和事件,检查并更新当前的物理与环境保护政策和程序。

nist-r5-pl-08

A. 为系统开发安全和隐私权架构:a. 说明保护组织信息机密性、完整性和可用性的要求和方法。b. 说明处理个人身份信息的要求和方法,以最大限度地降低个人隐私风险。c. 说明架构如何集成到企业架构中并为企业架构提供支持。d. 描述对外部系统和服务的任何假设和依赖关系。B. 以组织定义的频率查看和更新架构,以反映企业架构的变化。C. 在安全和隐私权计划、运行概念 (CONOPS)、严重程度分析、组织程序以及采购和收购中反映计划的架构变更。

nist-r5-ra-03

A. 进行风险评估,包括:a. 识别系统中的威胁和漏洞。b. 确定未经授权访问、使用、披露、中断、修改或销毁系统、系统处理、存储或传输的信息以及任何相关信息所造成的损害的可能性和程度。c. 确定处理个人身份信息对个人产生不利影响的可能性和程度。B. 将组织和任务或业务流程角度的风险评估结果和风险管理决策与系统级风险评估相整合;C. 在安全和隐私权计划、风险评估报告和组织定义文档中记录风险评估结果。D. 以组织定义的频率查看风险评估结果。E. 向组织定义的人员或角色传播风险评估结果。F 以组织定义的频率或在系统、其运行环境或其他可能会影响系统安全性或隐私权状态的条件发生重大变化时,更新风险评估。

nist-r5-ra-05

A. 按照组织定义的频率或根据组织定义的过程随机监控和扫描系统及托管应用中的漏洞;B. 采用漏洞监控工具和技术,以促进工具之间的互操作性,并使用以下标准自动执行部分漏洞管理流程:a. 枚举平台、软件缺陷和不当配置。b. 格式设置核对清单和测试程序。 c. 衡量漏洞影响。C. 分析漏洞扫描报告和漏洞监控结果。D. 根据组织风险评估结果,在组织定义的响应时间内修复合法漏洞。E. 与组织指定的人员或角色分享从漏洞监控流程和控制评估中获得的信息,以帮助消除其他系统中的类似漏洞。F.使用漏洞监控工具,该工具应具备可随时更新待扫描漏洞的功能。

nist-r5-sa-03

使用纳入信息安全和隐私权考虑因素的组织定义的系统开发生命周期来获取、开发和管理系统。在整个系统开发生命周期中,定义并记录信息安全和隐私保护角色及职责。确定在信息安全和隐私方面承担角色和责任的个人。将组织的信息安全和隐私风险管理流程集成到系统开发生命周期活动中。

nist-r5-sa-08

在系统和系统组件的规范、设计、开发、实现和修改过程中,应用组织定义的安全和隐私工程原则。

nist-r5-sa-10

要求系统、系统组件或系统服务的开发者:A. 在系统、组件或服务的设计、开发、实现、运行或处置期间执行配置管理。B. 记录、管理和控制配置管理下组织定义的配置项的变更完整性。C. 仅实施组织批准的系统、组件或服务更改。D. 记录对系统、组件或服务的已批准更改,以及此类更改可能带来的安全和隐私影响。E. 跟踪系统、组件或服务中的安全缺陷和缺陷解决情况,并向组织指定的人员报告发现结果。

nist-r5-sa-11

要求系统、系统组件或系统服务的开发者在系统开发生命周期的所有设计后阶段执行以下操作:A. 制定并实施一项计划,以持续评估安全性和隐私保护情况;B. 按照组织定义的频率以及组织定义的深度和覆盖率执行单元测试、集成测试、系统测试、回归测试。C. 提供评估计划的执行证据以及测试和评估结果。D. 实施可验证的缺陷修复流程。E. 修正测试和评估期间发现的缺陷。

nist-r5-sa-15

要求系统、系统组件或系统服务的开发者遵循有据可查的开发流程,该流程应:明确解决安全和隐私要求;确定开发流程中使用的标准和工具;记录开发流程中使用的特定工具选项和工具配置;记录、管理并确保开发中使用的流程和工具的变更完整性。按照组织定义的频率,审核开发流程、标准、工具、工具选项和工具配置,以确定所选和所用的流程、标准、工具、工具选项和工具配置是否能满足组织定义的安全和隐私保护要求。

nist-r5-sa-21

要求组织定义的系统、系统组件或系统服务的开发者拥有适当的访问授权,具体取决于分配的组织定义的官方政府职责。开发者必须满足组织定义的其他人员筛查标准。

nist-r5-sc-03

将安全功能与非安全功能隔离开。

nist-r5-sc-05

防范组织定义的拒绝服务事件的影响。根据拒绝服务事件的类型采用组织定义的控制措施。

nist-r5-sc-07

监控和控制系统外部受管理接口以及系统内部关键受管理接口的通信。为可公开访问的系统组件实现子网,这些子网在物理上和逻辑上与组织内部网络分离。仅通过受管理的接口连接到外部网络或系统,这些接口由根据组织安全和隐私架构安排的边界保护设备组成。

nist-r5-sc-07-05

默认情况下拒绝网络通信流量,但对于组织定义的系统,允许通过受管理的接口进行通信。

nist-r5-sc-08

保护传输信息的机密性和完整性。

nist-r5-sc-10

在通信会话结束时或在组织定义的不活动时间段过后,终止与通信会话关联的网络连接。

nist-r5-sc-12

在系统内采用加密技术时,根据密钥管理要求(例如组织定义的密钥生成、分发、存储、访问和销毁要求)建立和管理加密密钥。

nist-r5-sc-13

确定所需的加密用途,并针对每种已定义的用途实现所需的特定加密类型。

nist-r5-sc-23

保护通信会话的真实性。

nist-r5-sc-28

保护组织定义的静态信息的机密性和完整性。

nist-r5-sc-28-01

实施加密机制,以防止未经授权披露和修改组织定义的信息(静态信息),这些信息位于组织定义的系统组件上。

nist-r5-si-01

A. 制定、记录并向组织指定的人员或角色分发: a. 在组织级、任务或业务流程级或系统级定义的系统和信息完整性政策。该政策必须涵盖目的、范围、角色、责任、管理承诺、组织实体之间的协调以及合规性。该政策必须符合适用的法律、行政命令、指令、法规、政策、标准和指南。 b. 有助于实施系统和信息完整性政策以及相关系统和信息完整性控制措施的程序。B. 指定一名组织定义的官员来管理系统和信息完整性政策与程序的制定、记录和传播。C. 根据组织定义的频率和事件,检查并更新当前的系统和信息完整性政策及程序。

nist-r5-si-02

识别、报告和修正系统缺陷。在安装之前,测试与缺陷修复相关的软件和固件更新,以评估其有效性和潜在的副作用。在发布安全相关软件和固件更新后,在组织定义的时间段内安装这些更新。将缺陷修复纳入组织配置管理流程。

nist-r5-si-02-02

以组织定义的频率,使用组织定义的自动化机制,确定系统组件是否已安装适用的安全相关软件和固件更新。

nist-r5-si-03

A. 在系统入口点和出口点实现基于签名或非签名的恶意代码保护机制,以检测和清除恶意代码。B. 根据组织配置管理政策和程序,在新版本发布时自动更新恶意代码防护机制。C. 配置恶意代码防护机制,以: a. 按照组织定义的频率定期扫描系统,并根据组织政策在端点、网络入口和出口点实时扫描来自外部来源的文件(在下载、打开或执行文件时)。 b. 阻止恶意代码;隔离恶意代码;根据组织定义的措施采取行动,并在检测到恶意代码时向组织定义的人员或角色发送提醒。D. 解决恶意代码检测和清除期间收到误报的问题,以及由此可能对系统可用性造成的影响。

nist-r5-si-04

A. 监控系统以检测: a. 根据组织定义的监控目标,检测攻击和潜在攻击的迹象。 b. 未经授权的本地、网络和远程连接。B. 通过组织定义的技术和方法识别未经授权的系统使用情况。C. 调用内部监控功能或部署监控设备: a. 在系统中战略性地收集组织确定的必要信息。 b. 在系统内的临时位置,用于跟踪组织感兴趣的特定类型的交易。D. 分析检测到的事件和异常情况。E. 当组织运营和资产、个人、其他组织或国家面临的风险发生变化时,调整系统监控活动的级别。F.就系统监控活动获取法律意见。G. 根据需要或按照组织定义的频率,向组织定义的人员或角色提供组织定义的系统监控信息。

nist-r5-si-04-02

采用自动化工具和机制来支持近乎实时的事件分析。

nist-r5-si-04-04

确定入站和出站通信流量的异常或未经授权的活动或情况的标准。以组织定义的频率监控入站和出站通信流量,以发现组织定义的异常或未经授权的活动或情况。

nist-r5-si-07

a. 使用完整性验证工具来检测对组织定义的软件、固件和信息的未经授权的更改。b. 检测到对软件、固件和信息的未经授权的更改时,采取组织定义的操作。

nist-r5-si-07-01

在启动时以及组织定义的过渡状态或安全相关事件发生时,以组织定义的频率对组织定义的软件、固件和信息执行完整性检查。

nist-r5-si-07-02

采用自动化工具,在完整性验证期间发现差异时,向组织定义的人员或角色发送通知。

nist-r5-si-12

根据适用的法律、行政命令、指令、法规、政策、标准、准则和运营要求,管理和保留系统内的信息以及系统输出的信息。

NIST AI 600-1 Privacy Controls

支持的云服务提供商: Google Cloud

基于 NIST AI 600-1 的隐私控制措施,用于采用生成式 AI

此框架包含以下部分中的云控制组和云控制措施。

nist-600-1-gv-6.1-001

对不同类型的生成式 AI (GAI) 内容及其相关的第三方权利进行分类。例如,类别版权、知识产权和数据隐私权。

nist-600-1-mg-2.2-002

记录训练数据来源,以便追溯 AI 生成内容的来源和出处。

nist-600-1-mg-2.2-007

使用实时审核工具,这些工具可用于帮助跟踪和验证 AI 生成的数据的沿袭和真实性。

nist-600-1-mg-2.2-009

考虑在 GAI 开发中负责任地使用合成数据和其他隐私保护增强技术,在适当且适用的情况下,匹配真实世界数据的统计属性,同时不泄露个人身份信息或导致同质化。

nist-600-1-mg-3.2-003

文档来源和训练数据类型及其来源、与 GAI 应用及其内容来源相关的数据中存在的潜在偏差、预训练模型的架构、训练过程(包括有关超参数、训练时长和所应用的任何微调过程的信息)。

nist-600-1-mp-2.1-002

针对 GAI 系统内的数据和内容流建立测试和评估机制,包括但不限于原始数据源、数据转换和决策标准。

nist-600-1-mp-4.1-001

定期监控 AI 生成的内容是否存在隐私风险;解决任何可能泄露 PII 或敏感数据的情况。

nist-600-1-mp-4.1-004

尽可能根据适用的法律和政策记录训练数据整理政策。

nist-600-1-mp-4.1-005

制定数据收集、保留和最低质量方面的政策,同时考虑以下风险:不当 CBRN 信息的披露;非法或危险内容的使用;冒犯性网络能力;可能产生有害偏见的训练数据不平衡;个人身份信息(包括个人面部相似信息)的泄露。

nist-600-1-mp-4.1-009

利用各种方法检测生成的文本、图片、视频或音频输出中是否存在 PII 或敏感数据。

nist-600-1-mp-4.1-010

对训练数据的使用情况进行适当的尽职调查,以评估知识产权和隐私权风险,包括检查专有或敏感训练数据的使用是否符合适用法律。

nist-600-1-ms-1.1-002

集成旨在分析内容来源和检测数据异常情况、验证数字签名的真实性以及识别与虚假信息或操纵行为相关的模式的工具。

nist-600-1-ms-2.2-004

使用匿名化、差分隐私或其他隐私保护增强技术,以帮助最大限度地降低将 AI 生成的内容与个人人类正文相关联的风险。

nist-600-1-ms-2.5-005

验证生成式人工智能 (GAI) 系统训练数据和测试、评估、验证和确认 (TEVV) 数据来源,以及微调或检索增强生成数据是否可靠。

nist-600-1-ms-2.6-002

评估系统训练数据中是否存在有害偏见、知识产权侵权、数据隐私违规、淫秽内容、极端主义、暴力内容或 CBRN 信息,以及这些内容达到何种程度。

nist-600-1-ms-2.9-002

记录 GAI 模型详细信息,包括:预期用途和组织价值;假设和限制;数据收集方法;数据来源;数据质量;模型架构(例如,卷积神经网络和 Transformer);优化目标;训练算法;RLHF 方法;微调或检索增强生成方法;评估数据;伦理考量;法律和法规要求。

NIST Cybersecurity Framework 1.1

支持的云服务提供商: Google Cloud

一个战略框架,可帮助组织管理网络安全风险。该框架将活动分为五个核心功能:识别、保护、检测、响应和恢复,从而提供安全状况的高级视图。

此框架包含以下部分中的云控制组和云控制措施。

nist-csf-de-ae

异常和事件 (DE.AE):检测到异常活动,并了解事件的潜在影响。

nist-csf-de-ae-1

建立并管理用户和系统的网络运营和预期数据流的基准。

nist-csf-de-ae-2

分析检测到的事件,以了解攻击目标和方法。

nist-csf-de-ae-3

从多个来源和传感器收集并关联事件数据。

nist-csf-de-ae-4

确定事件的影响。

nist-csf-de-ae-5

已确定突发事件提醒阈值。

nist-csf-de-cm

安全持续监控 (DE.CM):监控信息系统和资产,以识别网络安全事件并验证保护措施的有效性。

nist-csf-de-cm-1

监控网络以检测潜在的网络安全事件。

nist-csf-de-cm-2

监控物理环境,以检测潜在的网络安全事件。

nist-csf-de-cm-3

监控人员活动,以检测潜在的网络安全事件。

nist-csf-de-cm-4

检测到恶意代码。

nist-csf-de-cm-5

检测到未经授权的移动代码。

nist-csf-de-cm-6

监控外部服务提供商的活动,以检测潜在的网络安全事件。

nist-csf-de-cm-7

监控未经授权的人员、连接、设备和软件。

nist-csf-de-cm-8

执行漏洞扫描。

nist-csf-de-dp-1

检测方面的角色和职责已明确定义,以确保问责制。

nist-csf-de-dp-4

系统会传达事件检测信息。

nist-csf-id-am

资产管理:识别并管理可帮助组织实现业务目标的数据、人员、设备、系统和设施,使其与组织目标和组织风险策略的相对重要性保持一致。

nist-csf-id-am-1

组织内的实体设备和系统已纳入资产清单。

nist-csf-id-am-4

外部信息系统已编入目录。

nist-csf-id-am-6

为全体员工和第三方利益相关方(例如供应商、客户、合作伙伴)确定网络安全角色和责任。

nist-csf-id-gv-1

组织网络安全政策已制定并传达。

nist-csf-id-gv-3

了解并管理与网络安全相关的法律法规要求,包括隐私权和公民自由义务。

nist-csf-id-gv-4

治理和风险管理流程可应对网络安全风险。

nist-csf-id-ra-1

识别并记录资产漏洞。

nist-csf-id-ra-2

网络威胁情报来自信息共享论坛和来源。

nist-csf-id-ra-3

识别并记录内部和外部威胁。

nist-csf-id-sc-3

与供应商和第三方合作伙伴签订合同,以实施适当的措施,确保实现组织的网络安全计划和网络供应链风险管理计划的目标。

nist-csf-pr-ac

身份管理、身份验证和访问权限控制 (PR.AC):对实体资产、逻辑资产和相关设施的访问权限仅限于已获授权的用户、进程和设备,并且以与评估的未经授权访问风险相一致的方式进行管理,以确保授权活动和交易的安全性。

nist-csf-pr-ac-1

针对授权的设备、用户和进程,我们提供身份和凭据的签发、管理、验证、撤消和审核服务。

nist-csf-pr-ac-2

对资产的物理访问受到管理和保护。

nist-csf-pr-ac-3

远程访问权限已受管理。

nist-csf-pr-ac-4

访问权限和授权均经过管理,并遵循最小权限原则和职责分离原则。

nist-csf-pr-ac-5

网络完整性受到保护(例如,网络隔离、网络分段)。

nist-csf-pr-ac-6

身份经过验证并绑定到凭据,并在互动中进行断言。

nist-csf-pr-ac-7

用户、设备和其他资产的身份验证(例如单重身份验证、多重身份验证)与交易风险(例如个人安全和隐私风险以及其他组织风险)相称。

nist-csf-pr-ds-1

静态数据受到保护。

nist-csf-pr-ds-2

传输中的数据受到保护。

nist-csf-pr-ds-3

在移除、转移和处置过程中,资产会受到正式管理。

nist-csf-pr-ds-4

充足的容量,以确保可用性。

nist-csf-pr-ds-5

已实施防范数据泄露的保护措施。

nist-csf-pr-ip

信息保护流程和规程 (PR.IP):维护和使用安全政策(涵盖目的、范围、角色、责任、管理承诺以及组织实体之间的协调)、流程和规程,以管理信息系统和资产的保护。

nist-csf-pr-ip-1

创建并维护信息技术或工业控制系统的基准配置,其中包含安全原则(例如最小功能概念)。

nist-csf-pr-ip-10

响应和恢复计划已通过测试。

nist-csf-pr-ip-12

制定并实施漏洞管理计划。

nist-csf-pr-ip-2

实施了用于管理系统的系统开发生命周期。

nist-csf-pr-ip-3

已制定配置变更控制流程。

nist-csf-pr-ip-4

对信息进行备份、维护和测试。

nist-csf-pr-ip-6

数据会根据政策销毁。

nist-csf-pr-ip-9

已制定并管理响应计划(突发事件响应和业务连续性)和恢复计划(突发事件恢复和灾难恢复)。

nist-csf-pr-ma-1

使用经批准且受控的工具对组织资产进行维护和维修,并记录相关信息。

nist-csf-pr-pt

保护技术 (PR.PT):管理技术安全解决方案,以确保系统和资产的安全性及恢复能力,并符合相关政策、程序和协议。

nist-csf-pr-pt-1

根据政策确定、记录、实施和审核审核与日志记录。

nist-csf-pr-pt-3

通过配置系统以仅提供基本功能,可实现最小功能原则。

nist-csf-pr-pt-4

通信和控制网络受到保护。

nist-csf-pr-pt-5

实施了多种机制(例如,故障保护、负载均衡、热插拔),以在正常和不利情况下实现恢复能力要求。

nist-csf-rc-im

改进 (RC.IM):通过将经验教训纳入未来的活动,改进恢复规划和流程。

nist-csf-rc-rp-1

恢复计划在网络安全突发事件发生期间或之后执行。

nist-csf-rs-an

分析 (RS.AN):进行分析以确保有效响应并支持恢复活动。

nist-csf-rs-an-1

调查检测系统发出的通知。

nist-csf-rs-an-5

已建立相关流程,用于接收、分析和响应组织从内部和外部来源(例如内部测试、安全公告或安全研究人员)收到的漏洞披露信息。

nist-csf-rs-co-1

人员知道在需要响应时自己的角色和操作顺序。

nist-csf-rs-co-4

与利益相关方的协调工作会根据响应计划进行。

nist-csf-rs-im-2

响应策略已更新。

nist-csf-rs-mi-2

突发事件得到缓解。

nist-csf-rs-rp-1

在突发事件发生期间或之后执行响应方案。

PCI DSS v4.0.1

支持的云服务提供商: Google Cloud

一种监管框架,为处理、存储或传输持卡人数据的企业定义了强制性 PCI 数据安全标准 (DSS)。PCI DSS 规定了具体的技术和运营要求,以帮助保护持卡人数据(无论是在处理、存储还是传输过程中)。PCI DSS 提供了一组规范性的技术和运营要求,以帮助防范欺诈。该框架符合 PCI DSS v4.0.1。

此框架包含以下部分中的云控制组和云控制措施。

pci-dss-v4-1-2-1

必须定义、实施和维护 NSC 规则集的配置标准。

pci-dss-v4-1-2-6

必须为所有正在使用且被认为不安全的服务、协议和端口定义并实现安全功能,以降低风险。

pci-dss-v4-1-3-1

必须将 CDE 的入站流量限制为仅允许必要的流量,并且必须明确拒绝所有其他流量。

pci-dss-v4-1-3-2

必须将来自 CDE 的出站流量限制为仅允许必要的流量,并且必须明确拒绝所有其他流量。

pci-dss-v4-1-4-1

NSC 在可信网络和不可信网络之间实现。

pci-dss-v4-1-4-2

来自不受信任的网络到受信任网络的入站流量必须限制为以下类型:与经授权可提供公开访问服务的系统组件进行的通信、协议和端口;对受信任网络中系统组件发起的通信的有状态响应;所有其他流量都必须拒绝。

pci-dss-v4-1-4-3

必须实施反欺骗措施,以检测假冒来源 IP 地址并阻止其进入可信网络。

pci-dss-v4-1-4-4

存储持卡人数据的系统组件不得直接从不受信任的网络访问。

pci-dss-v4-10-1-1

要求 10 中确定的所有安全政策和操作规程均已记录在案、保持最新状态、正在使用中,并且所有受影响方均已知晓。

pci-dss-v4-10-2-1

审核日志已针对所有系统组件和持卡人数据启用并处于活动状态。

pci-dss-v4-10-2-1-1

审核日志会记录所有用户对持卡人数据的访问情况。

pci-dss-v4-10-2-1-2

审核日志会捕获具有管理员权限的任何个人采取的所有操作,包括对应用或系统账号的任何互动式使用。

pci-dss-v4-10-2-1-4

审核日志会捕获所有无效的逻辑访问尝试。

pci-dss-v4-10-3-3

审核日志文件(包括面向外部的技术的审核日志文件)会立即备份到安全的中央内部日志服务器或其他难以修改的媒体。

pci-dss-v4-10-4-1-1

使用自动化机制执行审核日志检查。

pci-dss-v4-10-5-1

将审核日志历史记录保留至少 12 个月,其中至少最近 3 个月的记录可立即用于分析。

pci-dss-v4-11-5-1

使用入侵检测和入侵防御技术来检测和/或防止网络入侵,具体如下:监控 CDE 边界的所有流量;监控 CDE 中关键点的所有流量;警示相关人员注意可疑的威胁;确保所有入侵检测和防御引擎、基准和签名均为最新。

pci-dss-v4-12-10-5

安全突发事件响应计划包括监控和响应安全监控系统发出的提醒,包括但不限于:入侵检测和入侵防御系统;网络安全控制措施;关键文件的更改检测机制;付款页面的更改和篡改检测机制;检测未经授权的无线接入点。

pci-dss-v4-12-5-1

维护并及时更新属于 PCI DSS 范围的系统组件清单,包括功能和用途说明。

pci-dss-v4-2-2-1

必须制定、实施和维护配置标准,以确保这些标准涵盖所有系统组件,解决所有已知的安全漏洞,与行业认可的系统安全强化标准或供应商安全强化建议保持一致,在新漏洞问题被发现时及时更新(如要求 6.3.1 中所定义),并在配置新系统时应用,并在系统组件连接到生产环境之前或之后立即验证是否已到位。

pci-dss-v4-2-2-3

需要不同安全级别的主要功能必须进行管理,以确保:系统组件上仅存在一个主要功能;或者,同一系统组件上存在具有不同安全级别的主要功能,但这些功能彼此隔离;或者,同一系统组件上具有不同安全级别的主要功能都已安全加固到具有最高安全需求的功能所需的级别。

pci-dss-v4-2-2-4

仅启用必需的服务、协议、守护程序和功能,并移除或停用所有不必要的功能。

pci-dss-v4-2-2-5

如果存在任何不安全的服务、协议或守护程序,请确保业务理由已记录在案,并记录和实现可降低使用不安全的服务、协议或守护程序风险的其他安全功能。

pci-dss-v4-2-2-6

必须配置系统安全参数,以防滥用。

pci-dss-v4-2-2-7

所有非控制台管理员权限都必须使用高强度加密技术进行加密。

pci-dss-v4-3-2-1

必须通过实施数据保留和处置政策、程序和流程,将账号数据存储量保持在最低限度,这些政策、程序和流程必须至少包括以下内容:涵盖所有存储账号数据的位置;涵盖授权完成之前存储的所有敏感身份验证数据 (SAD);将数据存储量和保留时间限制在法律或法规要求以及业务需求所需的范围内;针对存储的账号数据的具体保留要求,其中定义了保留期限并包含记录在案的业务理由;根据保留政策不再需要账号数据时,安全删除或使账号数据无法恢复的流程;以及至少每三个月验证一次的流程,以确保已安全删除或使超出规定保留期限的存储账号数据无法恢复。

pci-dss-v4-3-3-2

在授权完成之前以电子方式存储的 SAD 必须使用强加密技术进行加密。

pci-dss-v4-3-3-3

发卡机构和支持发卡服务并存储敏感身份验证数据的公司必须确保,敏感身份验证数据的任何存储都仅限于合法发卡业务所需的范围,并且使用强加密技术进行保护和加密。

pci-dss-v4-3-5-1

使用以下任意一种方法,使所有位置中存储的 PAN 均不可读:基于整个 PAN 的强加密的单向哈希;截断法(哈希法不能用于替换 PAN 中被截断的部分);如果环境中存在同一 PAN 的哈希版本和截断版本,或者同一 PAN 的不同截断格式,则会实施额外的控制措施,以确保无法通过关联不同的版本来重建原始 PAN;索引令牌;以及具有关联的密钥管理流程和程序的强加密。

pci-dss-v4-3-5-1-3

如果使用磁盘级或分区级加密(而非文件级、列级或字段级数据库加密)来使 PAN 无法读取,请确保:逻辑访问权限的控制与原生操作系统身份验证和访问权限控制机制分开且独立;解密密钥不与用户账号相关联;以及允许访问未加密数据的身份验证因素(例如密码、口令或加密密钥)得到安全存储。

pci-dss-v4-3-6-1

必须制定并实施相关程序,以保护用于防止存储的账号数据被泄露和滥用的加密密钥,包括将密钥访问权限限制为最少数量的必要保管人。

pci-dss-v4-3-6-1-2

用于保护存储的账号数据的密钥(包括密钥和私钥)必须始终以以下一种(或多种)形式存储:使用至少与数据加密密钥一样强大的密钥加密密钥进行加密,并且与数据加密密钥分开存储;存储在安全加密设备 (SCD)(例如硬件安全模块 (HSM) 或 PTS 批准的交互点设备)中;以及根据行业认可的方法,以至少两个完整长度的密钥组件或密钥共享的形式存储。

pci-dss-v4-3-7-1

必须实施密钥管理政策和程序,包括生成用于保护存储的账号数据的强加密密钥。

pci-dss-v4-3-7-2

必须实施密钥管理政策和程序,以确保用于保护存储的账户数据的加密密钥的安全分发。

pci-dss-v4-3-7-3

必须实施密钥管理政策和程序,以确保用于保护存储的账号数据的加密密钥的安全存储。

pci-dss-v4-3-7-5

必须实施密钥管理政策和程序,以包括用于保护存储的账号数据的密钥的停用、替换或销毁,具体视以下情况而定:密钥已达到其定义的密码使用期限;密钥的完整性已减弱(包括了解明文密钥组件的人员离开公司,或密钥组件所对应的角色发生变化);密钥被怀疑或已知已被破解;以及停用或替换的密钥未用于加密操作。

pci-dss-v4-4-2-1

必须实施强效加密法和安全协议,以保护经由开放式公共网络传输的 PAN,确保:仅接受可信的密钥和证书;用于保护经由开放式公共网络传输的 PAN 的证书已确认为有效,且未过期或被撤消;所用协议仅支持安全版本或配置,不支持回退到或使用不安全的版本、算法、密钥大小或实现;加密强度适合所用加密方法。

pci-dss-v4-5-2-1

必须在所有系统组件上部署反恶意软件解决方案,但定期评估(根据要求 5.2.3)确定系统组件不受恶意软件威胁的除外。

pci-dss-v4-5-2-2

部署的反恶意软件解决方案必须能够检测所有已知类型的恶意软件,并移除、屏蔽或遏制所有已知类型的恶意软件。

pci-dss-v4-6-2-3

在将定制软件发布到生产环境或提供给客户之前,必须对其进行审核,以发现并纠正潜在的编码漏洞,具体如下:代码审核可确保代码是根据安全编码指南开发的;代码审核可查找现有和新兴的软件漏洞;在发布之前实施适当的更正。

pci-dss-v4-6-3-1

必须识别和管理安全漏洞,以确保:使用业界认可的安全漏洞信息来源(包括来自国际和国家计算机应急响应团队 [CERT] 的提醒)来识别新的安全漏洞;根据行业最佳实践并考虑潜在影响,为漏洞指定风险等级;风险等级至少要识别出所有被视为对环境具有高风险或严重风险的漏洞;以及涵盖定制和自定义软件以及第三方软件(例如操作系统和数据库)的漏洞。

pci-dss-v4-6-3-3

必须通过安装适用的安全补丁或更新来保护所有系统组件免受已知漏洞的侵害,以确保:在发布后一个月内安装关键漏洞(根据要求 6.3.1 中的风险等级评定流程确定)的补丁或更新;以及在适当的时间范围内安装所有其他适用的安全补丁或更新,具体时间范围由实体根据要求 6.3.1 中的风险等级评定流程确定的环境风险严重程度来确定。

pci-dss-v4-6-4-1

对于面向公众的 Web 应用,必须持续应对新威胁和漏洞,并使用以下两种方法之一来保护这些应用免遭已知攻击:使用人工或自动应用漏洞安全评估工具或方法审核面向公众的 Web 应用,具体如下:至少每 12 个月一次,并在进行重大更改后进行;由专门从事应用安全的实体进行;至少包括要求 6.2.4 中的所有常见软件攻击;所有漏洞均按照要求 6.3.1 进行排名;所有漏洞均已得到修正;并且在修正后重新评估应用。 或者,安装可不断检测和防范基于 Web 的攻击的自动化技术解决方案,具体如下:安装在面向公众的 Web 应用之前,用于检测和防范基于 Web 的攻击;根据需要主动运行并保持最新状态;生成审核日志;配置为阻止基于 Web 的攻击或生成立即进行调查的提醒。

pci-dss-v4-6-4-2

对于面向公众的 Web 应用,必须部署一种自动化技术解决方案,以持续检测和防范基于 Web 的攻击,并进行以下最低限度的检查:安装在面向公众的 Web 应用之前,并配置为检测和防范基于 Web 的攻击;根据需要主动运行并保持最新状态;生成审核日志;配置为阻止基于 Web 的攻击或生成立即进行调查的提醒。

pci-dss-v4-7-2-1

必须定义访问权限控制模型,并包括以下访问权限授予方式:根据实体的业务和访问需求授予适当的访问权限;根据用户的工作分类和职能授予对系统组件和数据资源的访问权限;以及授予执行工作职能所需的最低权限(例如,用户、管理员)。

pci-dss-v4-7-2-2

必须根据用户(包括特权用户)的工作分类和职能,以及执行工作职责所需的最小权限来分配访问权限。

pci-dss-v4-7-2-5

必须根据系统或应用的可操作性所需的最低权限来分配和管理所有应用和系统账号及相关访问权限,并确保访问权限仅限于明确需要使用这些权限的系统、应用或进程。

pci-dss-v4-7-3-1

必须建立访问权限控制系统,根据用户的“按需知密”原则限制访问权限,并涵盖所有系统组件。

pci-dss-v4-7-3-2

必须配置访问权限控制系统,以根据职位分类和职能强制执行分配给个人、应用和系统的权限。

pci-dss-v4-7-3-3

访问权限控制系统必须设置为默认拒绝所有访问。

pci-dss-v4-8-2-1

必须先为所有用户分配唯一 ID,然后才能允许其访问系统组件或持卡人数据。

pci-dss-v4-8-2-3

可远程访问客户场所的服务提供商必须为每个客户场所使用唯一的身份验证因素。

pci-dss-v4-8-2-5

必须立即撤消被终止用户的访问权限。

pci-dss-v4-8-2-8

如果用户会话处于空闲状态的时间超过 15 分钟,用户必须重新进行身份验证才能重新激活终端或会话。

pci-dss-v4-8-3-1

用户和管理员对系统组件的所有用户访问都必须使用以下至少一种身份验证因素进行身份验证:您所知道的内容(例如密码或口令);您所拥有的内容(例如令牌设备或智能卡);以及您自身(例如生物识别元素)。

pci-dss-v4-8-3-2

必须使用强加密技术,以确保在所有系统组件上进行传输和存储期间,所有身份验证因素都无法被读取。

pci-dss-v4-8-3-9

如果密码或口令是用户访问的唯一身份验证因素(在任何单因素身份验证实现中),则必须至少每 90 天更改一次,或者必须动态分析账号的安全状况,并相应地自动确定对资源的实时访问权限。

pci-dss-v4-8-6-2

任何可用于交互式登录的应用和系统账号的密码或口令不得在脚本、配置文件或属性文件以及定制和自定义源代码中进行硬编码。

pci-dss-v4-8-6-3

必须采取以下措施来保护任何应用和系统账号的密码或口令,以免遭到滥用:定期更改密码或口令(按照实体目标风险分析中定义的频率进行更改,该分析根据要求 12.3.1 中指定的所有要素进行);在怀疑或确认密码或口令遭到泄露时更改密码或口令;密码或口令的复杂程度足以应对实体更改密码或口令的频率。

Security Essentials

支持的云服务提供商: Google Cloud

Google Cloud Security Essentials 为 Google Cloud 客户提供基本的安全性和合规性基准。该框架基于 Google 广泛的威胁情报和最佳实践构建,可让您了解自己的安全状况,并帮助您从一开始就满足常见的合规性要求。

此框架包含以下云控制措施:

SOC2 2017

支持的云服务提供商: Google Cloud

一种监管框架,独立审核员可使用该框架来评估和报告贵组织与 AICPA 的信任服务标准(例如安全性和可用性)相关的控制措施。生成的审核报告会评估您组织的系统及其处理的数据。该框架符合 SOC 2 2017(重点修订版 - 2022 年)。

此框架包含以下部分中的云控制组和云控制措施。

soc2-2017-a-1-2-11

管理层会识别可能损害系统和相关数据可用性的数据恢复能力威胁(例如,勒索软件攻击),并实施缓解程序。

soc2-2017-a-1-2-8

我们制定了相关程序,用于备份数据、监控以检测备份失败情况,并在发生此类失败时启动纠正措施。

soc2-2017-c-1-1-2

除非法律或法规另有明确规定,否则机密信息的保留期限不会超过实现既定目的所需的时间。

soc2-2017-c-1-1-3

已制定政策和程序,以在指定的信息保留期限内保护机密信息免遭擦除或销毁。

soc2-2017-c-1-2-2

我们制定了相关政策和程序,用于自动或手动擦除或以其他方式销毁已确定需要销毁的机密信息。

soc2-2017-cc-1-3-3

管理层和董事会会委派权限、明确责任,并使用适当的流程和技术在组织的各个层级分配责任和分离职责(如必要)。

soc2-2017-cc-2-1-2

信息系统可捕获内部和外部数据源。

soc2-2017-cc-2-1-6

实体应识别、记录并维护系统组件(例如基础设施、软件和其他信息资产)的记录。信息资产包括物理端点设备和系统、虚拟系统、数据和数据流、外部信息系统以及组织角色。

soc2-2017-cc-2-2-1

组织已制定流程来传达必要的信息,以便所有人员了解并履行其内部控制职责。

soc2-2017-cc-3-2-5

风险评估包括考虑如何管理风险,以及是否接受、避免、降低或分担风险。

soc2-2017-cc-3-2-7

实体识别系统组件的漏洞,包括系统进程、基础设施、软件、

soc2-2017-cc-4-1-1

管理包括持续评估和单独评估的平衡。

soc2-2017-cc-4-1-5

持续评估已纳入业务流程,并会根据不断变化的情况进行调整。

soc2-2017-cc-4-1-8

管理层会使用各种持续性评估和单独的风险与控制评估来确定内部控制措施是否存在且是否有效。根据实体的目标,此类风险和控制评估可能包括一线和二线监控与控制测试、内部审核评估、合规性评估、恢复能力评估、漏洞扫描、安全评估、渗透测试和第三方评估。

soc2-2017-cc-4-2-2

缺陷会传达给负责采取纠正措施的各方,并酌情传达给高级管理层和董事会。

soc2-2017-cc-5-2-2

管理层选择并制定针对技术基础设施的控制活动,这些活动旨在帮助确保技术处理的完整性、准确性和可用性。

soc2-2017-cc-5-2-3

管理层会选择并制定控制活动,这些活动旨在限制授权用户的技术访问权限(与其工作职责相称),并保护实体的资产免受外部威胁。

soc2-2017-cc-5-3-1

管理层通过制定政策(确定预期目标)和相关程序(指定具体行动)来建立控制活动,将这些活动纳入业务流程和员工的日常活动中。

soc2-2017-cc-6-1-10

实体使用加密技术来保护静态数据、处理中的数据或传输中的数据,前提是根据实体的风险缓解策略,认为此类保护措施是适当的。

soc2-2017-cc-6-1-11

实体在生成、存储、使用和销毁加密密钥期间保护加密密钥。加密模块、算法、密钥长度和架构应根据实体的风险缓解策略进行选择。

soc2-2017-cc-6-1-12

对机密信息的逻辑访问和使用仅限于已确定的用途。

soc2-2017-cc-6-1-3

实体通过使用访问权限控制软件、规则集和标准配置强化流程,限制对信息资产(包括基础设施,例如服务器、存储、网络元素、API 和端点设备;软件;以及静态数据、处理中的数据或传输中的数据)的逻辑访问。

soc2-2017-cc-6-1-4

实体在本地或远程访问信息资产之前,会先识别并验证人员、基础设施和软件的身份。如果根据实体自身的风险缓解策略认为此类保护措施合适,则该实体会使用更复杂或更高级的用户身份验证技术,例如多重身份验证。

soc2-2017-cc-6-1-5

该实体根据其风险缓解策略,使用网络分段、零信任架构和其他技术来隔离实体信息技术中不相关的部分。

soc2-2017-cc-6-1-7

通过数据分类、单独的数据结构、端口限制、访问协议限制、用户身份识别和数字证书的组合,为信息资产建立访问权限控制规则和配置标准。

soc2-2017-cc-6-1-9

新的内部和外部基础设施及软件在获得访问凭据并部署到网络或接入点之前,会先进行注册、授权和记录。如果不再需要访问权限,或者不再使用相应的基础设施和软件,系统会移除凭据并停用访问权限。

soc2-2017-cc-6-2-3

我们已制定流程,在访问凭据不再有效时停用、销毁或以其他方式阻止其使用。

soc2-2017-cc-6-3-2

我们制定了相关流程,以便在不再需要受保护的信息资产时移除对这些资产的访问权限。

soc2-2017-cc-6-3-3

实体使用基于角色的访问权限控制等访问权限控制结构来限制对受保护信息资产的访问权限、限制权限,并支持分离不兼容的功能。

soc2-2017-cc-6-5-1

制定了相关程序,以便在实体、其供应商和员工拥有的实体资产和其他设备不再需要数据和软件时,移除、删除或以其他方式使数据和软件无法从这些资产和设备中访问。

soc2-2017-cc-6-6

实体实施逻辑访问安全措施,以防范来自其系统边界之外的威胁。

soc2-2017-cc-6-6-1

通过通信渠道(例如 FTP 网站、路由器端口)可以进行的活动类型受到限制。

soc2-2017-cc-6-6-4

边界保护系统(例如防火墙、非军事区、入侵检测或防御系统,以及端点检测和响应系统)经过配置、实施和维护,可保护外部接入点。

soc2-2017-cc-6-7-1

数据泄露防护流程和技术用于限制授权和执行信息传输、移动和移除的能力。

soc2-2017-cc-6-7-2

加密技术或安全通信渠道用于保护连接接入点以外的数据传输和其他通信。

soc2-2017-cc-6-8-1

只有获得授权的个人才能安装和修改应用及软件。能够绕过正常操作或安全程序的实用程序软件仅限授权人员使用,并会定期受到监控。

soc2-2017-cc-6-8-2

我们已制定流程来检测软件和配置参数的变化,这些变化可能表明存在未经授权或恶意的软件。

soc2-2017-cc-7-1-1

该实体已定义用于强化系统的配置标准。

soc2-2017-cc-7-1-3

IT 系统包含变更检测机制(例如文件完整性监控工具),以便在关键系统文件、配置文件或内容文件遭到未经授权的修改时向人员发出提醒。

soc2-2017-cc-7-1-5

实体定期或在环境发生重大变化后,执行旨在识别潜在漏洞或配置错误的基建设施和软件漏洞扫描。及时采取措施来弥补已发现的缺陷,以支持实现实体的目标。

soc2-2017-cc-7-2-1

在基础设施和软件上定义并实施检测政策、程序和工具,以识别潜在的入侵、不当访问以及系统运行中的异常情况或系统上的异常活动。程序可能包括针对安全事件检测和管理的明确治理流程、使用情报来源来识别新发现的威胁和漏洞,以及记录异常的系统活动。

soc2-2017-cc-7-2-2

检测措施旨在识别可能因以下情况而导致的异常情况:实际或试图破坏物理屏障、授权人员的未经授权的操作、使用遭入侵的身份识别和身份验证凭据、从系统边界之外未经授权的访问、授权外部方的入侵,以及未经授权的硬件和软件的实施或连接。

soc2-2017-cc-7-3-2

检测到的安全事件会传达给负责管理安全计划的个人并由其进行审核,必要时还会采取相应措施。

soc2-2017-cc-8-1-1

在系统及其组件(基础设施、数据、软件以及手动和自动化程序)的整个生命周期内管理系统变更的流程用于支持实现实体目标。

soc2-2017-cc-8-1-14

我们制定了相关流程,以便及时识别、评估、测试、批准和实施基础架构和软件补丁。

soc2-2017-cc-8-1-5

我们已制定流程来跟踪实施前的系统变更。

soc2-2017-p-4-2-1

除非法律或法规另有明确规定,否则个人信息的保留期限不会超过实现所述目的所需的期限。

soc2-2017-p-4-2-2

我们已实施相关政策和程序,以保护个人信息在指定保留期限内免遭清除或销毁。

soc2-2017-pi-1-2-3

及时创建并完整准确地维护系统输入活动的记录。

soc2-2017-pi-1-3-4

及时、完整、准确地记录系统处理活动。

soc2-2017-pi-1-5

实体根据系统规范实施政策和程序,以完全、准确且及时地存储输入、处理中的项目和输出,从而实现实体目标。

soc2-2017-pi-1-5-1

存储的物品会受到保护,以防止被盗、损坏、毁坏或变质,从而确保输出符合规范。

soc2-2017-pi-1-5-2

系统记录会进行归档,并且归档文件会受到保护,以免被盗、损坏、销毁或劣化,从而无法使用。

后续步骤