ISO 27001:2013 (Azure Government) 法規合規性內建方案的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應 ISO 27001:2013 (Azure Government)的合規性領域與控制項。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
以下是與 ISO 27001:2013 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 接著,尋找並選取 [ISO 27001:2013] 法規合規性內建計畫定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
密碼編譯
使用密碼加密控制的原則
識別碼:ISO 27001:2013 A.10.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 1.0.0 |
應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
金鑰管理
識別碼:ISO 27001:2013 A.10.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
實體和環境安全性
實體安全界限
識別碼:ISO 27001:2013 A.11.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
實體進入控制措施
識別碼:ISO 27001:2013 A.11.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
保護辦公室、會議室和設施
識別碼:ISO 27001:2013 A.11.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
防範外部和環境威脅
識別碼:ISO 27001:2013 A.11.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
在安全區域工作
識別碼:ISO 27001:2013 A.11.1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
傳遞和載入區域
識別碼:ISO 27001:2013 A.11.1.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
設備就位和保護
識別碼:ISO 27001:2013 A.11.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
支援公用程式
識別碼:ISO 27001:2013 A.11.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用自動緊急照明 | CMA_0209 - 採用自動緊急照明 | 手動、已停用 | 1.1.0 |
建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
纜線安全性
識別碼:ISO 27001:2013 A.11.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
設備維護
識別碼:ISO 27001:2013 A.11.2.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
自動化遠端維護活動 | CMA_C1402 - 自動化遠端維護活動 | 手動、已停用 | 1.1.0 |
控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
產生完整的遠端維護活動記錄 | CMA_C1403 - 產生完整的遠端維護活動記錄 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
提供及時維護支援 | CMA_C1425 - 提供及時維護支援 | 手動、已停用 | 1.1.0 |
移除資產
識別碼:ISO 27001:2013 A.11.2.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
設備與資產在內部部署的安全性
識別碼:ISO 27001:2013 A.11.2.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
安全處置或重新使用設備
識別碼:ISO 27001:2013 A.11.2.7 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
自動使用者設備
識別碼:ISO 27001:2013 A.11.2.8 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
清理桌面和清除螢幕原則
識別碼:ISO 27001:2013 A.11.2.9 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
作業安全性
已記錄的運作程序
識別碼:ISO 27001:2013 A.12.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
散發資訊系統文件 | CMA_C1584 - 散發資訊系統文件 | 手動、已停用 | 1.1.0 |
記錄客戶定義的動作 | CMA_C1582 - 記錄客戶定義的動作 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
取得系統管理文件 | CMA_C1580 - 取得系統管理文件 | 手動、已停用 | 1.1.0 |
取得使用者安全性功能文件 | CMA_C1581 - 取得使用者安全性功能文件 | 手動、已停用 | 1.1.0 |
保護系統管理員和使用者文件 | CMA_C1583 - 保護系統管理員和使用者文件 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
變更管理
識別碼:ISO 27001:2013 A.12.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
產能管理
識別碼:ISO 27001:2013 A.12.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行容量規劃 | CMA_C1252 - 執行容量規劃 | 手動、已停用 | 1.1.0 |
控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
區隔開發、測試和作業環境
識別碼:ISO 27001:2013 A.12.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
實作控制項以保護 PII | CMA_C1839 - 實作控制項以保護 PII | 手動、已停用 | 1.1.0 |
結合研究處理中的安全性和資料隱私權做法 | CMA_0331 - 結合研究處理中的安全性和資料隱私權做法 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
惡意程式碼的控制措施
識別碼:ISO 27001:2013 A.12.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
提供更新的安全性認知訓練 | CMA_C1090 - 提供更新的安全性認知訓練 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
資訊備份
識別碼:ISO 27001:2013 A.12.3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
事件記錄
識別碼:ISO 27001:2013 A.12.4.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
授權、監視及控制 VoIP | CMA_0025 - 授權、監視及控制 VoIP | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
針對記錄的特權命令進行全文檢索分析 | CMA_0056 - 針對記錄的特權命令進行全文檢索分析 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
記錄處理個人資訊的法律基礎 | CMA_0206 - 記錄處理個人資訊的法律基礎 | 手動、已停用 | 1.1.0 |
強制執行並稽核存取限制 | CMA_C1203 - 強制執行並稽核存取限制 | 手動、已停用 | 1.1.0 |
建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
為消費者要求實作方法 | CMA_0319 - 為消費者要求實作方法 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
監視帳戶活動 | CMA_0377 - 監視帳戶活動 | 手動、已停用 | 1.1.0 |
稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
取得監視系統活動的法律意見 | CMA_C1688 - 取得監視系統活動的法律意見 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
視需要提供監視資訊 | CMA_C1689 - 視需要提供監視資訊 | 手動、已停用 | 1.1.0 |
發佈 SORN 中的存取程序 | CMA_C1848 - 發佈 SORN 中的存取程序 | 手動、已停用 | 1.1.0 |
發佈存取隱私權法記錄的規則與法規 | CMA_C1847 - 發佈存取隱私權法記錄的規則與法規 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
檢閱及更新 AU-02 中定義的事件 | CMA_C1106 - 檢閱及更新 AU-02 中定義的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
檢閱變更中是否有任何未經授權的變更 | CMA_C1204 - 檢閱變更中是否有任何未經授權的變更 | 手動、已停用 | 1.1.0 |
檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
保護記錄資訊
識別碼:ISO 27001:2013 A.12.4.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
定義處理者的職責 | CMA_0127 - 定義處理者的職責 | 手動、已停用 | 1.1.0 |
啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
記錄向第三方洩漏 PII 的情況 | CMA_0422 - 記錄向第三方洩漏 PII 的情況 | 手動、已停用 | 1.1.0 |
訓練員工在 PII 分享及其結果 | CMA_C1871 - 訓練員工在 PII 分享及其結果 | 手動、已停用 | 1.1.0 |
在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
系統管理員與操作員的記錄
識別碼:ISO 27001:2013 A.12.4.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
授權、監視及控制 VoIP | CMA_0025 - 授權、監視及控制 VoIP | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
針對記錄的特權命令進行全文檢索分析 | CMA_0056 - 針對記錄的特權命令進行全文檢索分析 | 手動、已停用 | 1.1.0 |
應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
監視帳戶活動 | CMA_0377 - 監視帳戶活動 | 手動、已停用 | 1.1.0 |
稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
取得監視系統活動的法律意見 | CMA_C1688 - 取得監視系統活動的法律意見 | 手動、已停用 | 1.1.0 |
保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
視需要提供監視資訊 | CMA_C1689 - 視需要提供監視資訊 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
時鐘同步處理
識別碼:ISO 27001:2013 A.12.4.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
將稽核記錄編譯為全系統稽核 | CMA_C1140 - 將稽核記錄編譯為全系統稽核 | 手動、已停用 | 1.1.0 |
應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
在稽核記錄上使用系統時鐘 | CMA_0535 - 在稽核記錄上使用系統時鐘 | 手動、已停用 | 1.1.0 |
在作業系統上安裝軟體
識別碼:ISO 27001:2013 A.12.5.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
管理技術弱點
識別碼:ISO 27001:2013 A.12.6.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
進行風險評量並散發其結果 | CMA_C1544 - 進行風險評量並散發其結果 | 手動、已停用 | 1.1.0 |
進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
選取安全性控制評量的其他測試 | CMA_C1149 - 選取安全性控制評量的其他測試 | 手動、已停用 | 1.1.0 |
SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
軟體安裝的限制
識別碼:ISO 27001:2013 A.12.6.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
資訊系統稽核控制
識別碼:ISO 27001:2013 A.12.7.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
通訊安全性
網路控制
識別碼:ISO 27001:2013 A.13.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
網路服務的安全性
識別碼:ISO 27001:2013 A.13.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
網路隔離
識別碼:ISO 27001:2013 A.13.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
資訊傳輸原則與程序
識別碼:ISO 27001:2013 A.13.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
明確通知使用共同作業運算裝置 | CMA_C1649 - 明確通知使用共同作業運算裝置 | 手動、已停用 | 1.1.1 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
禁止遠端啟用共同作業運算裝置 | CMA_C1648 - 禁止遠端啟用共同作業運算裝置 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
資訊傳輸的協定
識別碼:ISO 27001:2013 A.13.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
電子傳訊
識別碼:ISO 27001:2013 A.13.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
機密性或保密協定
識別碼:ISO 27001:2013 A.13.2.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
系統取得、開發與維護
資訊安全性需求分析和規格
識別碼:ISO 27001:2013 A.14.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定操作概念文件 (CONOPS) | CMA_0141 - 制定操作概念文件 (CONOPS) | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
檢閱並更新資訊安全性架構 | CMA_C1504 - 檢閱並更新資訊安全性架構 | 手動、已停用 | 1.1.0 |
檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
保護公用網路的應用程式服務
識別碼:ISO 27001:2013 A.14.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
保護應用程式服務交易
識別碼:ISO 27001:2013 A.14.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
安全開發原則
識別碼:ISO 27001:2013 A.14.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
系統變更控制程序
識別碼:ISO 27001:2013 A.14.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
作業系統平台變更後的應用程式技術檢閱
識別碼:ISO 27001:2013 A.14.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
軟體套件變更的限制
識別碼:ISO 27001:2013 A.14.2.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
安全的系統工程原則
識別碼:ISO 27001:2013 A.14.2.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
保護開發環境
識別碼:ISO 27001:2013 A.14.2.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
外包開發
識別碼:ISO 27001:2013 A.14.2.7 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
系統安全性測試
識別碼:ISO 27001:2013 A.14.2.8 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
系統接受度測試
識別碼:ISO 27001:2013 A.14.2.9 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派授權正式 (AO) | CMA_C1158 - 指派授權正式 (AO) | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
確認資源已獲授權 | CMA_C1159 - 確認資源已獲授權 | 手動、已停用 | 1.1.0 |
確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
保護測試資料
識別碼:ISO 27001:2013 A.14.3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
供應商關係
供應商關係的資訊安全性原則
識別碼:ISO 27001:2013 A.15.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
解決供應商協定內的安全性
識別碼:ISO 27001:2013 A.15.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
資訊與通訊技術供應鏈
識別碼:ISO 27001:2013 A.15.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
監控和檢閱供應商服務
識別碼:ISO 27001:2013 A.15.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
管理供應商服務的變更
識別碼:ISO 27001:2013 A.15.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
資訊安全性事件管理
責任和程序
識別碼:ISO 27001:2013 A.16.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
維護資料外洩記錄 | CMA_0351 - 維護資料外洩記錄 | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
保護事件回應計劃 | CMA_0405 - 保護事件回應計劃 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
報告資訊安全性事件
識別碼:ISO 27001:2013 A.16.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
報告資訊安全性弱點
識別碼:ISO 27001:2013 A.16.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
資訊安全性事件的評量和決策
識別碼:ISO 27001:2013 A.16.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
回應資訊安全性事件
識別碼:ISO 27001:2013 A.16.1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
從資訊安全性事件學習
識別碼:ISO 27001:2013 A.16.1.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
證據集合
識別碼:ISO 27001:2013 A.16.1.7 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
商務持續性管理的資訊安全性層面
規劃資訊安全性持續性
識別碼:ISO 27001:2013 A.17.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
實施資訊安全性持續性
識別碼:ISO 27001:2013 A.17.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
在任何中斷後復原並重新組成資源 | CMA_C1295 - 在任何中斷後復原並重新組成資源 | 手動、已停用 | 1.1.1 |
繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
驗證、檢閱及評估資訊安全性持續性
識別碼:ISO 27001:2013 A.17.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
測試商務持續性和災害復原計劃 | CMA_0509 - 測試商務持續性和災害復原計劃 | 手動、已停用 | 1.1.0 |
資訊處理設備的可用性
識別碼:ISO 27001:2013 A.17.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
法規遵循
識別適用的法律與合約需求
識別碼:ISO 27001:2013 A.18.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
智慧財產權
識別碼:ISO 27001:2013 A.18.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
要求遵守智慧財產權 | CMA_0432 - 要求遵守智慧財產權 | 手動、已停用 | 1.1.0 |
追蹤軟體授權使用量 | CMA_C1235 - 追蹤軟體授權使用量 | 手動、已停用 | 1.1.0 |
記錄保護
識別碼:ISO 27001:2013 A.18.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
個人識別資訊的隱私權與保護
識別碼:ISO 27001:2013 A.18.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
密碼編譯控制管理
識別碼:ISO 27001:2013 A.18.1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
資訊安全性的獨立檢閱
識別碼:ISO 27001:2013 A.18.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
安全性原則和標準的合規性
識別碼:ISO 27001:2013 A.18.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
技術合規性審核
識別碼:ISO 27001:2013 A.18.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
資訊安全原則
資訊安全性原則
識別碼:ISO 27001:2013 A.5.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
檢閱資訊安全原則
識別碼:ISO 27001:2013 A.5.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
資訊安全性的組織
資訊安全性角色與責任
識別碼:ISO 27001:2013 A.6.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
建立設定計劃保護 | CMA_C1233 - 建立設定計劃保護 | 手動、已停用 | 1.1.0 |
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
指定個人以履行特定角色和責任 | CMA_C1747 - 指定個人以履行特定角色和責任 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
開發設定項目識別計畫 | CMA_C1231 - 開發設定項目識別計畫 | 手動、已停用 | 1.1.0 |
開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄並實作隱私權合規程序 | CMA_0189 - 記錄並實作隱私權合規程序 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
執行資訊系統的安全性狀態 | CMA_C1746 - 執行資訊系統的安全性狀態 | 手動、已停用 | 1.1.0 |
監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
權責區分
識別碼:ISO 27001:2013 A.6.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
定義存取授權以支援職能分工 | CMA_0116 - 定義存取授權以支援職能分工 | 手動、已停用 | 1.1.0 |
記錄職責區分 | CMA_0204 - 記錄職責區分 | 手動、已停用 | 1.1.0 |
個人職責劃分 | CMA_0492 - 個人職責劃分 | 手動、已停用 | 1.1.0 |
應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
與授權單位連絡
識別碼:ISO 27001:2013 A.6.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理授權機構和特殊利益團體的連絡人 | 手動、已停用 | 1.1.0 |
與特殊興趣群組聯繫
識別碼:ISO 27001:2013 A.6.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
向人員發出安全性警示 | CMA_C1705 - 向人員發出安全性警示 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立威脅情報計畫 | CMA_0260 - 建立威脅情報計畫 | 手動、已停用 | 1.1.0 |
產生內部安全性警示 | CMA_C1704 - 產生內部安全性警示 | 手動、已停用 | 1.1.0 |
實作安全性指示詞 | CMA_C1706 - 實作安全性指示詞 | 手動、已停用 | 1.1.0 |
管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理授權機構和特殊利益團體的連絡人 | 手動、已停用 | 1.1.0 |
專案管理的資訊安全性
識別碼:ISO 27001:2013 A.6.1.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
行動裝置原則
識別碼:ISO 27001:2013 A.6.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
遠距工作
識別碼:ISO 27001:2013 A.6.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
人力資源安全性
篩選
識別碼:ISO 27001:2013 A.7.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
清除具有機密資訊存取權的人員 | CMA_0054 - 清除具有機密資訊存取權的人員 | 手動、已停用 | 1.1.0 |
實作人員篩選 | CMA_0322 - 實作人員篩選 | 手動、已停用 | 1.1.0 |
以定義的頻率重新篩選個人 | CMA_C1512 - 以定義的頻率重新篩選個人 | 手動、已停用 | 1.1.0 |
雇用條款及條件
識別碼:ISO 27001:2013 A.7.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
管理責任
識別碼:ISO 27001:2013 A.7.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
資訊安全性認知、教育與訓練
識別碼:ISO 27001:2013 A.7.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
提供更新的安全性認知訓練 | CMA_C1090 - 提供更新的安全性認知訓練 | 手動、已停用 | 1.1.0 |
保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
紀律程序
識別碼:ISO 27001:2013 A.7.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作正式制裁流程 | CMA_0317 - 實作正式制裁流程 | 手動、已停用 | 1.1.0 |
制裁時通知人員 | CMA_0380 - 制裁時通知人員 | 手動、已停用 | 1.1.0 |
雇用職責終止或變更
識別碼:ISO 27001:2013 A.7.3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
資產管理
資產詳細目錄
識別碼:ISO 27001:2013 A.8.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
資產擁有權
識別碼:ISO 27001:2013 A.8.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
可接受的資產使用
識別碼:ISO 27001:2013 A.8.1.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
資產退回
識別碼:ISO 27001:2013 A.8.1.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
資訊分類
識別碼:ISO 27001:2013 A.8.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
確認安全性分類已核准 | CMA_C1540 - 確認安全性分類已核准 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
資訊標籤
識別碼:ISO 27001:2013 A.8.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
資產處理
識別碼:ISO 27001:2013 A.8.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
卸載式媒體的管理
識別碼:ISO 27001:2013 A.8.3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
媒體處置
識別碼:ISO 27001:2013 A.8.3.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實體媒體傳輸
識別碼:ISO 27001:2013 A.8.3.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
存取控制
存取控制原則
識別碼:ISO 27001:2013 A.9.1.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
存取網路與網路服務
識別碼:ISO 27001:2013 A.9.1.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
使用者註冊和取消註冊
識別碼:ISO 27001:2013 A.9.2.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
指派系統識別碼 | CMA_0018 - 指派系統識別碼 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
防止在定義的時間週期重複使用識別碼 | CMA_C1314 - 防止在定義的時間週期重複使用識別碼 | 手動、已停用 | 1.1.0 |
重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
使用者存取佈建
識別碼:ISO 27001:2013 A.9.2.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
特殊存取權限管理
識別碼:ISO 27001:2013 A.9.2.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
管理使用者的秘密驗證資訊
識別碼:ISO 27001:2013 A.9.2.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
檢閱使用者存取權限
識別碼:ISO 27001:2013 A.9.2.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
移除或調整存取權限
識別碼:ISO 27001:2013 A.9.2.6 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
使用秘密驗證資訊
識別碼:ISO 27001:2013 A.9.3.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
資訊存取限制
識別碼:ISO 27001:2013 A.9.4.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
安全的登入程序
識別碼:ISO 27001:2013 A.9.4.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
強制限制連續失敗的登入嘗試 | CMA_C1044 - 強制限制連續失敗的登入嘗試 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
在驗證程式期間模糊意見反應資訊 | CMA_C1344 - 在驗證程式期間模糊意見反應資訊 | 手動、已停用 | 1.1.0 |
顯示錯誤訊息 | CMA_C1725 - 顯示錯誤訊息 | 手動、已停用 | 1.1.0 |
透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
密碼管理系統
識別碼:ISO 27001:2013 A.9.4.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 1.1.0 |
稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 1.1.0 |
稽核未將密碼最短有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 1.1.0 |
稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 1.0.0 |
稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 1.1.0 |
在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
使用特殊權限公用程式
識別碼:ISO 27001:2013 A.9.4.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
程式原始程式碼的存取控制
識別碼:ISO 27001:2013 A.9.4.5 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
改進
不相符性和矯正措施
識別碼:ISO 27001:2013 C.10.1.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
識別碼:ISO 27001:2013 C.10.1.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
識別碼:ISO 27001:2013 C.10.1.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
識別碼:ISO 27001:2013 C.10.1.g 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
組織的內容
判斷資訊安全性管理系統的範圍
識別碼:ISO 27001:2013 C.4.3.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
判斷資訊安全性管理系統的範圍
識別碼:ISO 27001:2013 C.4.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
判斷資訊安全性管理系統的範圍
識別碼:ISO 27001:2013 C.4.3.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商業案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確認資本規劃與投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
資訊安全性管理系統
識別碼:ISO 27001:2013 C.4.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
領導階層
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商業案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確認資本規劃與投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商業案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確認資本規劃與投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.g 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
領導力與承諾
識別碼:ISO 27001:2013 C.5.1.h 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
原則
識別碼:ISO 27001:2013 C.5.2.g 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
組織角色、責任與授權單位
識別碼:ISO 27001:2013 C.5.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
規劃
一般
識別碼:ISO 27001:2013 C.6.1.1.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
識別碼:ISO 27001:2013 C.6.1.1.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
識別碼:ISO 27001:2013 C.6.1.1.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
識別碼:ISO 27001:2013 C.6.1.1.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
識別碼:ISO 27001:2013 C.6.1.1.e.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
識別碼:ISO 27001:2013 C.6.1.1.e.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.a.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.a.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.c.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.c.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.d.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.d.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.d.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.e.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.6.1.2.e.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.6.1.3.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性目標和計畫達成目標
識別碼:ISO 27001:2013 C.6.2.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
支援
資源
識別碼:ISO 27001:2013 C.7.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商業案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確認資本規劃與投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
能力
識別碼:ISO 27001:2013 C.7.2.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
能力
識別碼:ISO 27001:2013 C.7.2.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
能力
識別碼:ISO 27001:2013 C.7.2.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
能力
識別碼:ISO 27001:2013 C.7.2.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
注意
識別碼:ISO 27001:2013 C.7.3.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
注意
識別碼:ISO 27001:2013 C.7.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
注意
識別碼:ISO 27001:2013 C.7.3.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
通訊
識別碼:ISO 27001:2013 C.7.4.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
識別碼:ISO 27001:2013 C.7.4.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
識別碼:ISO 27001:2013 C.7.4.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
識別碼:ISO 27001:2013 C.7.4.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
識別碼:ISO 27001:2013 C.7.4.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
建立和更新
識別碼:ISO 27001:2013 C.7.5.2.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
識別碼:ISO 27001:2013 C.7.5.3.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
作業
作業規劃與控制
識別碼:ISO 27001:2013 C.8.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
識別碼:ISO 27001:2013 C.8.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
識別碼:ISO 27001:2013 C.8.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
效能評估
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
識別碼:ISO 27001:2013 C.9.1.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.a.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.a.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.c 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
調整稽核檢閱、分析及報告的層級 | CMA_C1123 - 調整稽核檢閱、分析及報告的層級 | 手動、已停用 | 1.1.0 |
制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
採用獨立評量器以進行安全性控制評量 | CMA_C1148 - 採用獨立評量器以進行安全性控制評量 | 手動、已停用 | 1.1.0 |
更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
內部稽核
識別碼:ISO 27001:2013 C.9.2.g 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.a 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
實作安全性計畫程式的動作計畫與里程碑 | CMA_C1737 - 實作安全性計畫程式的動作計畫與里程碑 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.b 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.c.1 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.c.2 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.c.3 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.c.4 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.d 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.e 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
識別碼:ISO 27001:2013 C.9.3.f 擁有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。