热门搜索：

云控制矩阵 v4.0（中英版）

信息技术2024-01-10-云安全联盟王***

AI智能总结

《云控制矩阵 4.0》是云安全联盟大中华区针对企业网络安全管理而提出的最新版本的指导框架。本框架旨在帮助企业构建全面的网络安全管理体系，通过一系列详细规定的控制措施和实践流程，提升企业的网络安全防护能力。以下是《云控制矩阵 4.0》的主要内容概览：

审计与保障（Audit & Assurance）

独立评估（A&A-01）：企业应建立、记录、批准、沟通、应用、评估和维护审计和保障策略、规程和标准，并至少每年审查和更新这些策略。
风险基于规划评估（A&A-03）：根据基于风险的计划和策略执行独立审计和保证评估。

应用程序和接口安全（Application & Interface Security - AIS）

策略与规程（AIS-01）：建立、记录、批准、沟通、应用、评估和维护应用程序安全策略和规程。
安全基线需求（AIS-02）：设定并维护保护不同应用程序的基线要求。
安全指标（AIS-03）：定义和实施与业务目标、安全需求和合规义务相一致的技术和操作指标。
设计和开发（AIS-04）：定义并实现应用程序设计、开发、部署和运行的SDLC过程。
自动安全测试（AIS-05）：实施测试策略，自动化测试新信息系统、升级和新版本。
自动安全部署（AIS-06）：建立和实施安全、标准化和合规的应用程序部署策略和能力，尽可能自动化部署。
漏洞修复（AIS-07）：定义并实施修复应用程序安全漏洞的过程，尽可能自动化修复。

业务连续性管理与运营弹性（Business Continuity Management and Operational Resilience - BCR）

管理政策与规程（BCR-01）：建立、记录、批准、沟通、应用、评估和维护业务连续性管理和运营弹性的策略和规程。
风险评估与影响分析（BCR-02）：确定业务中断的风险和影响，以建立开发业务连续性和运营弹性策略的标准。
策略（BCR-03）：建立减少、抵御和恢复业务中断影响的战略。
计划（BCR-04）：建立、记录、批准、沟通、应用、评估和维护基于运营弹性能力结果的业务连续性计划。
文档记录（BCR-05）：开发、识别和获取与业务连续性和运营弹性计划相关的文件，并定期审查。
演习（BCR-06）：至少每年或在重大变更时测试和演习业务连续性和运营弹性计划。
沟通（BCR-07）：与利益相关者建立沟通渠道。
备份（BCR-08）：定期备份云存储数据，确保备份的机密性、完整性和可用性。
灾难响应计划（BCR-09）：建立、记录、批准、沟通、应用、评估和维护灾难响应计划。
响应计划演习（BCR-10）：每年或在重大变化时，对灾难响应计划进行测试和演习。
设备冗余（BCR-11）：为关键业务设备配备独立的冗余设备。

变更控制与配置管理（Change Control and Configuration Management - CCC）

策略与规程（CCC-01）：建立、记录、批准、沟通、应用、评估和维护用于变更管理的策略和规程。
质量测试（CCC-02）：遵循已定义的质量变更控制、审批和测试过程。
技术管理（CCC-03）：通过变更管理技术管理变更相关的风险。
未经授权变更保护（Unauthorized Change Protection - CCC-04）：限制未经授权的变更活动。
变更协议（CCC-05）：在服务级别协议中明确直接影响客户环境或租户环境的变更请求。
变更管理基线（CCC-06）：为所有授权的组织资产变更建立基线。
基线偏差检测（Detection of Baseline Deviation - CCC-07）：在基线偏离时实施检测措施。
例外管理（Exception Management - CCC-08）：建立处理紧急情况和其他异常情况的程序。
变更恢复（Change Restoration - CCC-09）：定义主动回滚错误或安全问题变更的过程。

密码学、加密与密钥管理（Cryptography, Encryption & Key Management）

策略与规程（CEK-01）：制定、记录、

云控制矩阵4.0（中英版）中文翻译版说明本文由云安全联盟大中华区（CSAGCR）CCM4.0翻译专家组对《CloudControlsMatrixv4》进行翻译审校。翻译审校工作专家（以下排名按字母先后排序）陈皓顾伟高轶峰胡友杰苏泰泉沈勇王永霞于新元赵锐 ©2021云安全联盟大中华区–保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。但必须遵守以下条件：（a）本文仅可用作个人、信息获取，非商业用途；（b）不得以任何方式篡改本文内容；（c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 CLOUDCONTROLSMATRIXVERSION4.0云控制矩阵4.0 ControlTitle控制措施 ControlID 控制编号 UpdatedControlSpecification 更新的控制措施规范 Audit&Assurance-A&A审计&保障 AuditandAssurancePolicyandProcedures 审计与保障的策略及规程 A&A-01 Establish,document,approve,communicate,apply,evaluateandmaintainauditandassurancepoliciesandproceduresandstandards.Reviewandupdatethepoliciesandproceduresatleastannually.建立、记录、批准、沟通、应用、评估和维护审计和保障策略、规程和标准。至少每年一次审查和更新公司的策略和规程。 IndependentAssessments独立评估 A&A-02 Conductindependentauditandassuranceassessmentsaccordingtorelevantstandardsatleastannually.每年至少一次，根据相关标准进行独立审计和保障评估 RiskBasedPlanningAssessment基于风险规划评估 A&A-03 Performindependentauditandassuranceassessmentsaccordingtorisk-basedplansandpolicies.根据基于风险的计划和策略执行独立的审计和保证评估 RequirementsCompliance符合性需求 A&A-04 Verifycompliancewithallrelevantstandards,regulations,legal/contractual,andstatutoryrequirementsapplicabletotheaudit.验证符合所有适用于审计的相关标准、法规、法律/合同和法定要求 AuditManagementProcess审计管理过程 A&A-05 DefineandimplementanAuditManagementprocesstosupportauditplanning,riskanalysis,securitycontrolassessment,conclusion,remediationschedules,reportgeneration,andreviewofpastreportsandsupportingevidence.定义和实施审计管理过程，以支持审计计划、风险分析、安全控制评估、结论、补救计划、报告生成，以及对过去报告和相关证据的审查。 Remediation补救 A&A-06 Establish,document,approve,communicate,apply,evaluateandmaintainarisk-basedcorrectiveactionplantoremediateauditfindings,reviewandreportremediationstatustorelevantstakeholders.建立、记录、批准、沟通、应用、评估和维护基于风险的纠正行动计划，以修正审计发现，审查并向相关利益相关者报告修正状况。 Application&InterfaceSecurity-AIS应用程序和接口安全 ApplicationandInterfaceSecurityPolicyandProcedures应用和接口安全策略和规程 AIS-01 Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforapplicationsecuritytoprovideguidancetotheappropriateplanning,deliveryandsupportoftheorganization'sapplicationsecuritycapabilities.Reviewandupdatethepoliciesandproceduresatleastannually.建立、记录、批准、沟通、申请、评估和维护应用程序安全策略和规程，为组织的应用程序安全能力的适当规划、交付和支持提供指导。每年至少一次审查和更新公司的策略和规程。 ApplicationSecurityBaselineRequirements应用程序安全基线需求 AIS-02 Establish,documentandmaintainbaselinerequirementsforsecuringdifferentapplications.建立、记录和维护保护不同应用程序的基线要求。 ApplicationSecurityMetrics 应用程序安全指标 AIS-03 Defineandimplementtechnicalandoperationalmetricsinalignmentwithbusinessobjectives,securityrequirements,andcomplianceobligations.根据业务目标、安全需求和合规义务，定义和实施技术和运行的指标。 SecureApplicationDesignandDevelopment应用程序安全设计和开发 AIS-04 DefineandimplementaSDLCprocessforapplicationdesign,development,deployment,andoperationinaccordancewithsecurityrequirementsdefinedbytheorganization.根据组织定义的安全需求，定义并实现应用程序设计、开发、部署和运行的SDLC过程 AutomatedApplicationSecurityTesting 自动应用程序安全测试 AIS-05 Implementatestingstrategy,includingcriteriaforacceptanceofnewinformationsystems,upgradesandnewversions,whichprovidesapplicationsecurityassuranceandmaintainscompliancewhileenablingorganizationalspeedofdeliverygoals.Automatewhenapplicableandpossible.实现一个测试战略，包括新的信息系统、升级和新版本的接受准则，这提供了应用程序的安全保障，并在实现组织交付速度目标的同时保持遵从性。在适用和可能的情况下，自动化。 AutomatedSecureApplicationDeployment自动应用程序安全部署 AIS-06 Establishandimplementstrategiesandcapabilitiesforsecure,standardized,andcompliantapplicationdeployment.Automatewherepossible.为安全、标准化和兼容的应用程序部署建立和实施战略和能力。尽可能自动化。 ©2021云安全联盟大中华区-版权所有第2页官网：WWW.C-CSA.CN邮箱：INFO@C-CSA.CN公众号：CSAGCR ApplicationVulnerabilityRemediation应用程序漏洞修复 AIS-07 Defineandimplementaprocesstoremediateapplicationsecurityvulnerabilities,automatingremediationwhenpossible.定义并实施修复应用程序安全脆弱性的过程，并在可能时自动修复。 BusinessContinuityManagementandOperationalResilience-BCR业务连续性管理和运营弹性 BusinessContinuityManagementPolicyandProcedures业务连续性管理策略和规程 BCR-01 Establish,document,approve,communicate,apply,evaluateandmaintainbusinesscontinuitymanagementandoperationalresiliencepoliciesandprocedures.Reviewandupdatethepoliciesandproceduresatleastannually.建立、归档、批准、沟通、应用、评估和维护业务连续性管理和运营弹性策略和规程。每年至少审查和更新公司的策略和规程。 RiskAssessmentandImpactAnalysis 风险评估和影响分析 BCR-02 Determinetheimpactofbusinessdisruptionsandriskstoestablishcriteriafordevelopingbusinesscontinuityandoperationalresiliencestrategiesandcapabilities.确定业务中断的风险和影响，为开发业务连续性和运营弹性策略和能力建立标准。 BusinessContinuityStrategy业务连续性策略 BCR-03 Establishstrategiestoreducetheimpactof,withstand,andrecoverfrombusinessdisruptionswithinriskappetite.在风险偏好范围内建立战略，以减少、抵御和恢复业务中断的影响。 BusinessContinuityPlanning业务连续性计划 BCR-04 Establish,document,approve,communicate,apply,evaluateandmaintainabusinesscontinuityplanbasedontheresultsoftheoperationalresiliencestrategiesandcapabilities.建立、记录、批准、沟通、应用、评估和维护基于运营弹性策略和能力结果的业务连续性计划。 Documentation文档记录 BCR-05 Develop,identify,andacquiredocumentationthatisrelevanttosupportthebusinesscontinuityandoperationalresilienceprograms.Makethedocumentationavailabletoauthorizedstakeholdersandreviewperiodically.开发、识别和获取与支持业务连续性和运营弹性计划相关

点击免费查看完整报告