云控制矩阵4.0(中英版) 中文翻译版说明 本文由云安全联盟大中华区(CSAGCR)CCM4.0翻译专家组对《CloudControlsMatrixv4》进行翻译审校。 翻译审校工作专家(以下排名按字母先后排序) 陈皓顾伟高轶峰胡友杰苏泰泉沈勇王永霞于新元赵锐 ©2021云安全联盟大中华区–保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。但必须遵守以下条件:(a)本文仅可用作个人、信息获取,非商业用途; (b)不得以任何方式篡改本文内容;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 CLOUDCONTROLSMATRIXVERSION4.0云控制矩阵4.0 ControlTitle控制措施 ControlID 控制编号 UpdatedControlSpecification 更新的控制措施规范 Audit&Assurance-A&A审计&保障 AuditandAssurancePolicyandProcedures 审计与保障的策略及规程 A&A-01 Establish,document,approve,communicate,apply,evaluateandmaintainauditandassurancepoliciesandproceduresandstandards.Reviewandupdatethepoliciesandproceduresatleastannually.建立、记录、批准、沟通、应用、评估和维护审计和保障策略、规程和标准。至少每年一次审查和更新公司的策略和规程。 IndependentAssessments独立评估 A&A-02 Conductindependentauditandassuranceassessmentsaccordingtorelevantstandardsatleastannually.每年至少一次,根据相关标准进行独立审计和保障评估 RiskBasedPlanningAssessment基于风险规划评估 A&A-03 Performindependentauditandassuranceassessmentsaccordingtorisk-basedplansandpolicies.根据基于风险的计划和策略执行独立的审计和保证评估 RequirementsCompliance符合性需求 A&A-04 Verifycompliancewithallrelevantstandards,regulations,legal/contractual,andstatutoryrequirementsapplicabletotheaudit.验证符合所有适用于审计的相关标准、法规、法律/合同和法定要求 AuditManagementProcess审计管理过程 A&A-05 DefineandimplementanAuditManagementprocesstosupportauditplanning,riskanalysis,securitycontrolassessment,conclusion,remediationschedules,reportgeneration,andreviewofpastreportsandsupportingevidence.定义和实施审计管理过程,以支持审计计划、风险分析、安全控制评估、结论、补救计划、报告生成,以及对过去报告和相关证据的审查。 Remediation补救 A&A-06 Establish,document,approve,communicate,apply,evaluateandmaintainarisk-basedcorrectiveactionplantoremediateauditfindings,reviewandreportremediationstatustorelevantstakeholders.建立、记录、批准、沟通、应用、评估和维护基于风险的纠正行动计划,以修正审计发现,审查并向相关利益相关者报告修正状况。 Application&InterfaceSecurity-AIS应用程序和接口安全 ApplicationandInterfaceSecurityPolicyandProcedures应用和接口安全策略和规程 AIS-01 Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforapplicationsecuritytoprovideguidancetotheappropriateplanning,deliveryandsupportoftheorganization'sapplicationsecuritycapabilities.Reviewandupdatethepoliciesandproceduresatleastannually.建立、记录、批准、沟通、申请、评估和维护应用程序安全策略和规程,为组织的应用程序安全能力的适当规划、交付和支持提供指导。每年至少一次审查和更新公司的策略和规程。 ApplicationSecurityBaselineRequirements应用程序安全基线需求 AIS-02 Establish,documentandmaintainbaselinerequirementsforsecuringdifferentapplications.建立、记录和维护保护不同应用程序的基线要求。 ApplicationSecurityMetrics 应用程序安全指标 AIS-03 Defineandimplementtechnicalandoperationalmetricsinalignmentwithbusinessobjectives,securityrequirements,andcomplianceobligations.根据业务目标、安全需求和合规义务,定义和实施技术和运行的指标。 SecureApplicationDesignandDevelopment应用程序安全设计和开发 AIS-04 DefineandimplementaSDLCprocessforapplicationdesign,development,deployment,andoperationinaccordancewithsecurityrequirementsdefinedbytheorganization.根据组织定义的安全需求,定义并实现应用程序设计、开发、部署和运行的SDLC过程 AutomatedApplicationSecurityTesting 自动应用程序安全测试 AIS-05 Implementatestingstrategy,includingcriteriaforacceptanceofnewinformationsystems,upgradesandnewversions,whichprovidesapplicationsecurityassuranceandmaintainscompliancewhileenablingorganizationalspeedofdeliverygoals.Automatewhenapplicableandpossible.实现一个测试战略,包括新的信息系统、升级和新版本的接受准则,这提供了应用程序的安全保障,并在实现组织交付速度目标的同时保持遵从性。在适用和可能的情况下,自动化。 AutomatedSecureApplicationDeployment自动应用程序安全部署 AIS-06 Establishandimplementstrategiesandcapabilitiesforsecure,standardized,andcompliantapplicationdeployment.Automatewherepossible.为安全、标准化和兼容的应用程序部署建立和实施战略和能力。尽可能自动化。 ©2021云安全联盟大中华区-版权所有第2页官网:WWW.C-CSA.CN邮箱:INFO@C-CSA.CN公众号:CSAGCR ApplicationVulnerabilityRemediation应用程序漏洞修复 AIS-07 Defineandimplementaprocesstoremediateapplicationsecurityvulnerabilities,automatingremediationwhenpossible.定义并实施修复应用程序安全脆弱性的过程,并在可能时自动修复。 BusinessContinuityManagementandOperationalResilience-BCR业务连续性管理和运营弹性 BusinessContinuityManagementPolicyandProcedures业务连续性管理策略和规程 BCR-01 Establish,document,approve,communicate,apply,evaluateandmaintainbusinesscontinuitymanagementandoperationalresiliencepoliciesandprocedures.Reviewandupdatethepoliciesandproceduresatleastannually.建立、归档、批准、沟通、应用、评估和维护业务连续性管理和运营弹性策略和规程。每年至少审查和更新公司的策略和规程。 RiskAssessmentandImpactAnalysis 风险评估和影响分析 BCR-02 Determinetheimpactofbusinessdisruptionsandriskstoestablishcriteriafordevelopingbusinesscontinuityandoperationalresiliencestrategiesandcapabilities.确定业务中断的风险和影响,为开发业务连续性和运营弹性策略和能力建立标准。 BusinessContinuityStrategy业务连续性策略 BCR-03 Establishstrategiestoreducetheimpactof,withstand,andrecoverfrombusinessdisruptionswithinriskappetite.在风险偏好范围内建立战略,以减少、抵御和恢复业务中断的影响。 BusinessContinuityPlanning业务连续性计划 BCR-04 Establish,document,approve,communicate,apply,evaluateandmaintainabusinesscontinuityplanbasedontheresultsoftheoperationalresiliencestrategiesandcapabilities.建立、记录、批准、沟通、应用、评估和维护基于运营弹性策略和能力结果的业务连续性计划。 Documentation文档记录 BCR-05 Develop,identify,andacquiredocumentationthatisrelevanttosupportthebusinesscontinuityandoperationalresilienceprograms.Makethedocumentationavailabletoauthorizedstakeholdersandreviewperiodically.开发、识别和获取与支持业务连续性和运营弹性计划相关