ISO 27001:2013(Azure Government) 규정 준수 기본 제공 이니셔티브의 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 ISO 27001:2013(Azure Government).에서 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 규정 준수 표준에 대한 자세한 내용은 ISO 27001:2013을 참조하세요. 소유권을 이해하려면 Azure Policy 정책 정의 및 클라우드의 공동 책임을 참조하세요.
다음은 ISO 27001:2013 컨트롤에 대한 매핑입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, ISO 27001:2013 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
기본 제공 이니셔티브는 ISO 27001:2013 청사진 샘플의 일부로 배포됩니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
암호화
암호화 제어 사용에 대한 정책
ID: ISO 27001:2013 A.10.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
| 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 개인정보처리방침 문서화 및 배포 | CMA_0188 - 개인정보처리방침 문서화 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
| 개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
| Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
| 통신 제한 | CMA_0449 - 통신 제한 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
키 관리
ID: ISO 27001:2013 A.10.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증 없이 허용되는 작업 식별 | CMA_0295 - 인증 없이 허용되는 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
| 대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정 자격 증명 종료 | CMA_C1022 - 고객 제어 계정 자격 증명 종료 | 수동, 사용 안 함 | 1.1.0 |
물리적 및 환경 보안
물리적 보안 경계
ID: ISO 27001:2013 A.11.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 자산 인벤토리 설정 및 유지 관리 | CMA_0266 - 자산 인벤토리 설정 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
| 보안 감시 카메라 시스템 관리 | CMA_0354 - 보안 감시 카메라 시스템 관리 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
물리적 입력 제어
ID: ISO 27001:2013 A.11.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 권한이 없는 유지 관리 활동을 감독할 직원 지정 | CMA_C1422 - 권한이 없는 유지 관리 활동을 감독할 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 자산 인벤토리 설정 및 유지 관리 | CMA_0266 - 자산 인벤토리 설정 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 원격 유지 관리 직원 목록 유지 | CMA_C1420 - 승인된 원격 유지 관리 직원 목록 유지 | 수동, 사용 안 함 | 1.1.0 |
| 유지 관리 직원 관리 | CMA_C1421 - 유지 관리 직원 관리 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
사무실, 회의실 및 시설 보안
ID: ISO 27001:2013 A.11.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 자산 인벤토리 설정 및 유지 관리 | CMA_0266 - 자산 인벤토리 설정 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
외부 및 환경 위협으로부터 보호
ID: ISO 27001:2013 A.11.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 별도의 대체 및 기본 스토리지 사이트 만들기 | CMA_C1269 - 별도의 대체 및 기본 스토리지 사이트 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | CMA_C1268 - 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 알려진 상태에서 실패하는지 확인 | CMA_C1662 - 정보 시스템이 알려진 상태에서 실패하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | CMA_C1267 - 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | CMA_C1271 - 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
보안 영역에서 작업
ID: ISO 27001:2013 A.11.1.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
영역 제공 및 로드
ID: ISO 27001:2013 A.11.1.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 자산 관리를 위한 요구 사항 정의 | CMA_0125 - 자산 관리를 위한 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
| 보안 감시 카메라 시스템 관리 | CMA_0354 - 보안 감시 카메라 시스템 관리 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
장비 배치 및 보호
ID: ISO 27001:2013 A.11.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
지원 유틸리티
ID: ISO 27001:2013 A.11.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 자동 비상 조명 사용 | CMA_0209 - 자동 비상 조명 사용 | 수동, 사용 안 함 | 1.1.0 |
| 인터넷 서비스 공급자에 대한 요구 사항 설정 | CMA_0278 - 인터넷 서비스 공급자에 대한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
케이블 보안
ID: ISO 27001:2013 A.11.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
장비 유지 관리
ID: ISO 27001:2013 A.11.2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 원격 유지 관리 작업 자동화 | CMA_C1402 - 원격 유지 관리 작업 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 유지 관리 및 복구 작업 제어 | CMA_0080 - 유지 관리 및 복구 작업 제어 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 비로컬 유지 관리 및 진단 활동 관리 | CMA_0364 - 비로컬 유지 관리 및 진단 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 원격 유지 관리 작업의 전체 레코드 생성 | CMA_C1403 - 원격 유지 관리 작업의 전체 레코드 생성 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 적시에 유지 관리 지원 제공 | CMA_C1425 - 적시에 유지 관리 지원 제공 | 수동, 사용 안 함 | 1.1.0 |
자산 제거
ID: ISO 27001:2013 A.11.2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 유지 관리 및 복구 작업 제어 | CMA_0080 - 유지 관리 및 복구 작업 제어 | 수동, 사용 안 함 | 1.1.0 |
| 자산 관리를 위한 요구 사항 정의 | CMA_0125 - 자산 관리를 위한 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 비로컬 유지 관리 및 진단 활동 관리 | CMA_0364 - 비로컬 유지 관리 및 진단 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
오프-프레미스 장비 및 자산 보안
ID: ISO 27001:2013 A.11.2.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 모바일 디바이스 요구 사항 정의 | CMA_0122 - 모바일 디바이스 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 개인이 반환할 때 보안 보호 장치가 필요하지 않은지 확인 | CMA_C1183 - 개인이 반환할 때 보안 보호 장치가 필요하지 않은지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 리소스에 액세스하기 위한 사용 약관 설정 | CMA_C1076 - 리소스에 액세스하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스를 처리하기 위한 사용 약관 설정 | CMA_C1077 - 리소스를 처리하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 개인과 함께 사용할 수 없음 | CMA_C1182 - 정보 시스템이 개인과 함께 사용할 수 없음 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 외부 정보 시스템에 대한 보안 제어 확인 | CMA_0541 - 외부 정보 시스템에 대한 보안 제어 확인 | 수동, 사용 안 함 | 1.1.0 |
장비 보안 삭제 또는 재사용
ID: ISO 27001:2013 A.11.2.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 처리 검토 수행 | CMA_0391 - 처리 검토 수행 | 수동, 사용 안 함 | 1.1.0 |
| 처리가 끝나면 개인 데이터가 삭제되었는지 확인 | CMA_0540 - 처리가 끝날 때 개인 데이터가 삭제되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
무인 사용자 장비
ID: ISO 27001:2013 A.11.2.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 세션을 자동으로 종료 | CMA_C1054 - 사용자 세션을 자동으로 종료 | 수동, 사용 안 함 | 1.1.0 |
책상 정리 및 화면 정리 정책
ID: ISO 27001:2013 A.11.2.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
운영 보안
문서화된 운영 절차
ID: ISO 27001:2013 A.12.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 설명서 배포 | CMA_C1584 - 정보 시스템 설명서 배포 | 수동, 사용 안 함 | 1.1.0 |
| 고객 정의 작업 문서화 | CMA_C1582 - 고객 정의 작업 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 관리자 설명서 가져오기 | CMA_C1580 - 관리자 설명서 가져오기 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 보안 기능 설명서 가져오기 | CMA_C1581 - 사용자 보안 기능 설명서 가져오기 | 수동, 사용 안 함 | 1.1.0 |
| 관리자 및 사용자 설명서 보호 | CMA_C1583 - 관리자 및 사용자 설명서 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
변경 관리
ID: ISO 27001:2013 A.12.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 코딩 취약성 해결 | CMA_0003 - 코딩 취약성 해결 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 애플리케이션 보안 요구 사항 개발 및 문서화 | CMA_0148 - 애플리케이션 보안 요구 사항 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 보안 소프트웨어 개발 프로그램 설정 | CMA_0259 - 보안 소프트웨어 개발 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
| 비로컬 유지 관리 및 진단 활동 관리 | CMA_0364 - 비로컬 유지 관리 및 진단 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
용량 관리
ID: ISO 27001:2013 A.12.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 용량 계획 수행 | CMA_C1252 - 용량 계획 수행 | 수동, 사용 안 함 | 1.1.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
개발, 테스트 및 운영 환경 분리
ID: ISO 27001:2013 A.12.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 암호화되지 않은 정적 인증자가 없는지 확인 | CMA_C1340 - 암호화되지 않은 정적 인증자가 없는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| PII를 보호하기 위한 제어 구현 | CMA_C1839 - PII를 보호하기 위한 제어 구현 | 수동, 사용 안 함 | 1.1.0 |
| 연구 처리에 보안 및 데이터 프라이버시 관행 통합 | CMA_0331 - 연구 처리에 보안 및 데이터 프라이버시 관행 통합 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
맬웨어 제어
ID: ISO 27001:2013 A.12.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 유지 관리 및 복구 작업 제어 | CMA_0080 - 유지 관리 및 복구 작업 제어 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 비로컬 유지 관리 및 진단 활동 관리 | CMA_0364 - 비로컬 유지 관리 및 진단 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정기적으로 보안 인식 교육 제공 | CMA_C1091 - 정기적으로 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 새 사용자를 위한 보안 교육 제공 | CMA_0419 - 새 사용자를 위한 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 업데이트된 보안 인식 교육 제공 | CMA_C1090 - 업데이트된 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 위협 방지 상태 검토 | CMA_0479 - 매주 위협 방지 상태 검토 | 수동, 사용 안 함 | 1.1.0 |
| 바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 백업
ID: ISO 27001:2013 A.12.3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 별도의 대체 및 기본 스토리지 사이트 만들기 | CMA_C1269 - 별도의 대체 및 기본 스토리지 사이트 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 알려진 상태에서 실패하는지 확인 | CMA_C1662 - 정보 시스템이 알려진 상태에서 실패하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 트랜잭션 기반 복구 구현 | CMA_C1296 - 트랜잭션 기반 복구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 처리 검토 수행 | CMA_0391 - 처리 검토 수행 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 별도로 저장 | CMA_C1293 - 백업 정보를 별도로 저장 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 대체 스토리지 사이트로 전송 | CMA_C1294 - 백업 정보를 대체 스토리지 사이트로 전송 | 수동, 사용 안 함 | 1.1.0 |
| 처리가 끝나면 개인 데이터가 삭제되었는지 확인 | CMA_0540 - 처리가 끝날 때 개인 데이터가 삭제되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
이벤트 로깅
ID: ISO 27001:2013 A.12.4.1 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1-preview |
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 선택한 리소스 종류에 대한 진단 설정 감사 | 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. | AuditIfNotExists | 2.0.1 |
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| voip 권한 부여, 모니터링 및 제어 | CMA_0025 - voip 권한 부여, 모니터링 및 제어 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 로그된 권한 있는 명령에 대한 전체 텍스트 분석 수행 | CMA_0056 - 로그된 권한 있는 명령에 대한 전체 텍스트 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| Azure 감사 기능 구성 | CMA_C1108 - Azure 감사 기능 구성 | 수동, 사용 안 함 | 1.1.1 |
| 감사 레코드 상관 관계 지정 | CMA_0087 - 감사 레코드 상관 관계 지정 | 수동, 사용 안 함 | 1.1.0 |
| 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 손상 지표 검색 | CMA_C1702 - 손상 지표 검색 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 처리를 위한 법적 근거 문서화 | CMA_0206 - 개인 정보 처리를 위한 법적 근거 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제한 적용 및 감사 | CMA_C1203 - 액세스 제한 적용 및 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토 및 보고를 위한 요구 사항 설정 | CMA_0277 - 감사 검토 및 보고를 위한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 소비자 요청에 대한 메서드 구현 | CMA_0319 - 소비자 요청에 대한 메서드 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토, 분석, 보고 통합 | CMA_0339 - 감사 검토, 분석, 보고 통합 | 수동, 사용 안 함 | 1.1.0 |
| Siem과 클라우드 앱 보안 통합 | CMA_0340 - Siem과 클라우드 앱 보안 통합 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정 활동 모니터링 | CMA_0377 - 계정 활동 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 활동 모니터링에 대한 법적 의견 얻기 | CMA_C1688 - 시스템 활동 모니터링에 대한 법적 의견 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 모니터링 정보 제공 | CMA_C1689 - 필요에 따라 모니터링 정보 제공 | 수동, 사용 안 함 | 1.1.0 |
| SORN에서 액세스 절차 게시 | CMA_C1848 - SORN에 액세스 절차 게시 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 보호법 기록 접근에 관한 규칙 및 규정 게시 | CMA_C1847 - 개인 정보 보호법 기록 접근에 관한 규칙 및 규정 게시 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 관리자 할당 검토 | CMA_0461 - 매주 관리자 할당 검토 | 수동, 사용 안 함 | 1.1.0 |
| AU-02에 정의된 이벤트 검토 및 업데이트 | CMA_C1106 - AU-02에 정의된 이벤트 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 무단 변경 내용에 대한 변경 내용 검토 | CMA_C1204 - 무단 변경 내용에 대한 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 ID 보고서 개요 검토 | CMA_0468 - 클라우드 ID 보고서 개요 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제어된 폴더 액세스 이벤트 검토 | CMA_0471 - 제어된 폴더 액세스 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 파일 및 폴더 작업 검토 | CMA_0473 - 파일 및 폴더 작업 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 역할 그룹 변경 내용 검토 | CMA_0476 - 매주 역할 그룹 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
로그 정보 보호
ID: ISO 27001:2013 A.12.4.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 프로세서 의무 정의 | CMA_0127 - 프로세서 의무 정의 | 수동, 사용 안 함 | 1.1.0 |
| 이중 또는 공동 권한 부여 사용 | CMA_0226 - 이중 또는 공동 권한 부여 사용 | 수동, 사용 안 함 | 1.1.0 |
| 처리 검토 수행 | CMA_0391 - 처리 검토 수행 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 타사에 대한 PII 공개 기록 | CMA_0422 - 타사에 대한 PII 공개 기록 | 수동, 사용 안 함 | 1.1.0 |
| PII 공유 및 그 결과에 대한 직원 교육 | CMA_C1871 - PII 공유 및 그 결과에 대한 직원 교육 | 수동, 사용 안 함 | 1.1.0 |
| 처리가 끝나면 개인 데이터가 삭제되었는지 확인 | CMA_0540 - 처리가 끝날 때 개인 데이터가 삭제되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
관리자 및 운영자 로그
ID: ISO 27001:2013 A.12.4.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1-preview |
| 선택한 리소스 종류에 대한 진단 설정 감사 | 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. | AuditIfNotExists | 2.0.1 |
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| voip 권한 부여, 모니터링 및 제어 | CMA_0025 - voip 권한 부여, 모니터링 및 제어 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 로그된 권한 있는 명령에 대한 전체 텍스트 분석 수행 | CMA_0056 - 로그된 권한 있는 명령에 대한 전체 텍스트 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 이중 또는 공동 권한 부여 사용 | CMA_0226 - 이중 또는 공동 권한 부여 사용 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정 활동 모니터링 | CMA_0377 - 계정 활동 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 활동 모니터링에 대한 법적 의견 얻기 | CMA_C1688 - 시스템 활동 모니터링에 대한 법적 의견 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 모니터링 정보 제공 | CMA_C1689 - 필요에 따라 모니터링 정보 제공 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
클록 동기화
ID: ISO 27001:2013 A.12.4.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1-preview |
| 선택한 리소스 종류에 대한 진단 설정 감사 | 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. | AuditIfNotExists | 2.0.1 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 레코드를 시스템 전체 감사로 컴파일 | CMA_C1140 - 감사 레코드를 시스템 전체 감사로 컴파일 | 수동, 사용 안 함 | 1.1.0 |
| 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 감사 레코드에 시스템 시계 사용 | CMA_0535 - 감사 레코드에 시스템 시계 사용 | 수동, 사용 안 함 | 1.1.0 |
운영 체제에 소프트웨어 설치
ID: ISO 27001:2013 A.12.5.1 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 규정 준수 관리 | CMA_0290 - 클라우드 서비스 공급자의 규정 준수 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
기술 취약성 관리
ID: ISO 27001:2013 A.12.6.1 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 및 결과 배포 | CMA_C1544 - 위험 평가 수행 및 결과 배포 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 및 결과 문서화 | CMA_C1542 - 위험 평가 수행 및 결과 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 결함 수정을 구성 관리에 통합 | CMA_C1671 - 결함 수정을 구성 관리에 통합 | 수동, 사용 안 함 | 1.1.0 |
| Azure Security Center에서 누락된 Endpoint Protection 모니터링 | Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 보안 제어 평가를 위한 추가 테스트 선택 | CMA_C1149 - 보안 제어 평가를 위한 추가 테스트 선택 | 수동, 사용 안 함 | 1.1.0 |
| SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
| 시스템 업데이트를 머신에 설치해야 합니다. | 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
소프트웨어 설치에 대한 제한 사항
ID: ISO 27001:2013 A.12.6.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 규정 준수 관리 | CMA_0290 - 클라우드 서비스 공급자의 규정 준수 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템 감사 제어
ID: ISO 27001:2013 A.12.7.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 침투 테스트에 독립적인 팀 고용 | CMA_C1171 - 침투 테스트에 독립적인 팀 고용 | 수동, 사용 안 함 | 1.1.0 |
통신 보안
네트워크 제어
ID: ISO 27001:2013 A.13.1.1 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 지침 문서화 및 구현 | CMA_0190 - 무선 액세스 지침 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 경계 보호를 사용하여 정보 시스템 격리 | CMA_C1639 - 경계 보호를 사용하여 정보 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스에 액세스하기 위한 사용 약관 설정 | CMA_C1076 - 리소스에 액세스하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스를 처리하기 위한 사용 약관 설정 | CMA_C1077 - 리소스를 처리하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 각 외부 서비스에 대한 관리형 인터페이스 구현 | CMA_C1626 - 각 외부 서비스에 대한 관리형 인터페이스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 원격 디바이스에 대한 분할 터널링 방지 | CMA_C1632 - 원격 디바이스에 대한 분할 터널링 방지 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 보호 | CMA_0411 - 무선 액세스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 세션 다시 인증 또는 종료 | CMA_0421 - 사용자 세션 다시 인증 또는 종료 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 및 정보 시스템 관리 기능 구분 | CMA_0493 - 사용자 및 정보 시스템 관리 기능 구분 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
| 관리 작업에 전용 머신 사용 | CMA_0527 - 관리 작업에 전용 컴퓨터 사용 | 수동, 사용 안 함 | 1.1.0 |
| 외부 정보 시스템에 대한 보안 제어 확인 | CMA_0541 - 외부 정보 시스템에 대한 보안 제어 확인 | 수동, 사용 안 함 | 1.1.0 |
네트워크 서비스 보안
ID: ISO 27001:2013 A.13.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 전자 서명 및 인증서 요구 사항 설정 | CMA_0271 - 전자 서명 및 인증서 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 원격 디바이스에 대한 분할 터널링 방지 | CMA_C1632 - 원격 디바이스에 대한 분할 터널링 방지 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 상호 연결 보안 계약 필요 | CMA_C1151 - 상호 연결 보안 계약 필요 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| 상호 연결 보안 계약 업데이트 | CMA_0519 - 상호 연결 보안 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
네트워크 분리
ID: ISO 27001:2013 A.13.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 경계 보호를 사용하여 정보 시스템 격리 | CMA_C1639 - 경계 보호를 사용하여 정보 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 각 외부 서비스에 대한 관리형 인터페이스 구현 | CMA_C1626 - 각 외부 서비스에 대한 관리형 인터페이스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 필터를 사용한 정보 흐름 제어 | CMA_C1029 - 보안 정책 필터를 사용한 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 원격 디바이스에 대한 분할 터널링 방지 | CMA_C1632 - 원격 디바이스에 대한 분할 터널링 방지 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 및 정보 시스템 관리 기능 구분 | CMA_0493 - 사용자 및 정보 시스템 관리 기능 구분 | 수동, 사용 안 함 | 1.1.0 |
| 관리 작업에 전용 머신 사용 | CMA_0527 - 관리 작업에 전용 컴퓨터 사용 | 수동, 사용 안 함 | 1.1.0 |
정보 전송 정책 및 절차
ID: ISO 27001:2013 A.13.2.1 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 모바일 디바이스 요구 사항 정의 | CMA_0122 - 모바일 디바이스 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 지침 문서화 및 구현 | CMA_0190 - 무선 액세스 지침 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스에 액세스하기 위한 사용 약관 설정 | CMA_C1076 - 리소스에 액세스하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스를 처리하기 위한 사용 약관 설정 | CMA_C1077 - 리소스를 처리하기 위한 사용 약관 설정 | 수동, 사용 안 함 | 1.1.0 |
| 협업 컴퓨팅 디바이스 사용을 명시적으로 알림 | CMA_C1649 - 협업 컴퓨팅 디바이스 사용을 명시적으로 알림 | 수동, 사용 안 함 | 1.1.1 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 각 외부 서비스에 대한 관리형 인터페이스 구현 | CMA_C1626 - 각 외부 서비스에 대한 관리형 인터페이스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 필터를 사용한 정보 흐름 제어 | CMA_C1029 - 보안 정책 필터를 사용한 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 협업 컴퓨팅 디바이스의 원격 활성화 금지 | CMA_C1648 - 협업 컴퓨팅 디바이스의 원격 활성화 금지 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 보호 | CMA_0411 - 무선 액세스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 상호 연결 보안 계약 필요 | CMA_C1151 - 상호 연결 보안 계약 필요 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 상호 연결 보안 계약 업데이트 | CMA_0519 - 상호 연결 보안 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 외부 정보 시스템에 대한 보안 제어 확인 | CMA_0541 - 외부 정보 시스템에 대한 보안 제어 확인 | 수동, 사용 안 함 | 1.1.0 |
정보 이전에 대한 계약
ID: ISO 27001:2013 A.13.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자 식별 | CMA_C1591 - 외부 서비스 공급자 식별 | 수동, 사용 안 함 | 1.1.0 |
| 개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
| 개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 상호 연결 보안 계약 필요 | CMA_C1151 - 상호 연결 보안 계약 필요 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| 상호 연결 보안 계약 업데이트 | CMA_0519 - 상호 연결 보안 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
전자 메시지
ID: ISO 27001:2013 A.13.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
기밀성 또는 비밀 유지 계약
ID: ISO 27001:2013 A.13.2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직 준수 정책 개발 | CMA_0159 - 조직 준수 정책 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 문서화 | CMA_0192 - 조직 액세스 계약 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | CMA_C1528 - 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 부정한 관행 금지 | CMA_0396 - 부정한 관행 금지 | 수동, 사용 안 함 | 1.1.0 |
| 사용자가 액세스 계약에 서명하도록 요구 | CMA_0440 - 사용자가 액세스 계약에 서명하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 수정된 동작 규칙 검토 및 서명 | CMA_0465 - 수정된 동작 규칙 검토 및 서명 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 업데이트 | CMA_0520 - 조직 액세스 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약의 규칙 업데이트 | CMA_0521 - 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 3년마다 동작 및 액세스 계약의 규칙 업데이트 | CMA_0522 - 3년마다 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
시스템 취득, 개발 및 유지 관리
정보 보안 요구 사항 분석 및 사양
ID: ISO 27001:2013 A.14.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 역할 및 책임 정의 | CMA_C1565 - 정보 보안 역할 및 책임 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| CONOPS(운영 개념) 개발 | CMA_0141 - CONOPS(운영 개념) 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자 식별 | CMA_C1591 - 외부 서비스 공급자 식별 | 수동, 사용 안 함 | 1.1.0 |
| 보안 역할 및 책임이 있는 개인 식별 | CMA_C1566 - 보안 역할 및 책임이 있는 개인 식별 | 수동, 사용 안 함 | 1.1.1 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| SDLC에 위험 관리 프로세스 통합 | CMA_C1567 - SDLC에 위험 관리 프로세스 통합 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 아키텍처 검토 및 업데이트 | CMA_C1504 - 정보 보안 아키텍처 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 개발 프로세스, 표준 및 도구 검토 | CMA_C1610 - 개발 프로세스, 표준 및 도구 검토 | 수동, 사용 안 함 | 1.1.0 |
공용 네트워크의 애플리케이션 서비스 보안
ID: ISO 27001:2013 A.14.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 필터를 사용한 정보 흐름 제어 | CMA_C1029 - 보안 정책 필터를 사용한 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
애플리케이션 서비스 트랜잭션 보호
ID: ISO 27001:2013 A.14.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 경계 보호를 사용하여 정보 시스템 격리 | CMA_C1639 - 경계 보호를 사용하여 정보 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 필터를 사용한 정보 흐름 제어 | CMA_C1029 - 보안 정책 필터를 사용한 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 원격 디바이스에 대한 분할 터널링 방지 | CMA_C1632 - 원격 디바이스에 대한 분할 터널링 방지 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 및 정보 시스템 관리 기능 구분 | CMA_0493 - 사용자 및 정보 시스템 관리 기능 구분 | 수동, 사용 안 함 | 1.1.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
| 관리 작업에 전용 머신 사용 | CMA_0527 - 관리 작업에 전용 컴퓨터 사용 | 수동, 사용 안 함 | 1.1.0 |
보안 개발 정책
ID: ISO 27001:2013 A.14.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 역할 및 책임 정의 | CMA_C1565 - 정보 보안 역할 및 책임 정의 | 수동, 사용 안 함 | 1.1.0 |
| 보안 역할 및 책임이 있는 개인 식별 | CMA_C1566 - 보안 역할 및 책임이 있는 개인 식별 | 수동, 사용 안 함 | 1.1.1 |
| SDLC에 위험 관리 프로세스 통합 | CMA_C1567 - SDLC에 위험 관리 프로세스 통합 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 아키텍처를 빌드하도록 요구 | CMA_C1612 - 개발자가 보안 아키텍처를 빌드하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 정확한 보안 기능을 설명하도록 요구 | CMA_C1613 - 개발자가 정확한 보안 기능을 설명하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 통합 보안 보호 접근 방식을 제공하도록 요구 | CMA_C1614 - 개발자가 통합 보안 보호 접근 방식을 제공하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발 프로세스, 표준 및 도구 검토 | CMA_C1610 - 개발 프로세스, 표준 및 도구 검토 | 수동, 사용 안 함 | 1.1.0 |
시스템 변경 제어 절차
ID: ISO 27001:2013 A.14.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 코딩 취약성 해결 | CMA_0003 - 코딩 취약성 해결 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 애플리케이션 보안 요구 사항 개발 및 문서화 | CMA_0148 - 애플리케이션 보안 요구 사항 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 보안 소프트웨어 개발 프로그램 설정 | CMA_0259 - 보안 소프트웨어 개발 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 결함 수정을 구성 관리에 통합 | CMA_C1671 - 결함 수정을 구성 관리에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
운영 플랫폼 변경 후 애플리케이션 기술 검토
ID: ISO 27001:2013 A.14.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 결함 수정을 구성 관리에 통합 | CMA_C1671 - 결함 수정을 구성 관리에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
소프트웨어 패키지 변경 제한
ID: ISO 27001:2013 A.14.2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 코딩 취약성 해결 | CMA_0003 - 코딩 취약성 해결 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 애플리케이션 보안 요구 사항 개발 및 문서화 | CMA_0148 - 애플리케이션 보안 요구 사항 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 보안 소프트웨어 개발 프로그램 설정 | CMA_0259 - 보안 소프트웨어 개발 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
시스템 엔지니어링 원칙 보안
ID: ISO 27001:2013 A.14.2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 입력 유효성 검사 수행 | CMA_C1723 - 정보 입력 유효성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 아키텍처를 빌드하도록 요구 | CMA_C1612 - 개발자가 보안 아키텍처를 빌드하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 정확한 보안 기능을 설명하도록 요구 | CMA_C1613 - 개발자가 정확한 보안 기능을 설명하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 통합 보안 보호 접근 방식을 제공하도록 요구 | CMA_C1614 - 개발자가 통합 보안 보호 접근 방식을 제공하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발 프로세스, 표준 및 도구 검토 | CMA_C1610 - 개발 프로세스, 표준 및 도구 검토 | 수동, 사용 안 함 | 1.1.0 |
개발 환경 보안
ID: ISO 27001:2013 A.14.2.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 역할 및 책임 정의 | CMA_C1565 - 정보 보안 역할 및 책임 정의 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 보안 역할 및 책임이 있는 개인 식별 | CMA_C1566 - 보안 역할 및 책임이 있는 개인 식별 | 수동, 사용 안 함 | 1.1.1 |
| SDLC에 위험 관리 프로세스 통합 | CMA_C1567 - SDLC에 위험 관리 프로세스 통합 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
아웃소싱 개발
ID: ISO 27001:2013 A.14.2.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 코딩 취약성 해결 | CMA_0003 - 코딩 취약성 해결 | 수동, 사용 안 함 | 1.1.0 |
| 타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 애플리케이션 보안 요구 사항 개발 및 문서화 | CMA_0148 - 애플리케이션 보안 요구 사항 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 소프트웨어 개발 프로그램 설정 | CMA_0259 - 보안 소프트웨어 개발 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | CMA_C1602 - 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
시스템 보안 테스팅
ID: ISO 27001:2013 A.14.2.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 암호화되지 않은 정적 인증자가 없는지 확인 | CMA_C1340 - 암호화되지 않은 정적 인증자가 없는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 보고서 생성 | CMA_C1146 - 보안 평가 보고서 생성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | CMA_C1602 - 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
시스템 승인 테스트
ID: ISO 27001:2013 A.14.2.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| AO(권한 부여 담당자) 할당 | CMA_C1158 - AO(권한 부여 담당자) 할당 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 리소스에 권한이 부여되었는지 확인 | CMA_C1159 - 리소스에 권한이 부여되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 암호화되지 않은 정적 인증자가 없는지 확인 | CMA_C1340 - 암호화되지 않은 정적 인증자가 없는지 확인 | 수동, 사용 안 함 | 1.1.0 |
테스트 데이터 보호
ID: ISO 27001:2013 A.14.3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 암호화되지 않은 정적 인증자가 없는지 확인 | CMA_C1340 - 암호화되지 않은 정적 인증자가 없는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 처리 검토 수행 | CMA_0391 - 처리 검토 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 처리가 끝나면 개인 데이터가 삭제되었는지 확인 | CMA_0540 - 처리가 끝날 때 개인 데이터가 삭제되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
공급자 관계
공급자 관계에 대한 정보 보안 정책
ID: ISO 27001:2013 A.15.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
| 상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
공급자 계약 내 보안 해결
ID: ISO 27001:2013 A.15.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직 준수 정책 개발 | CMA_0159 - 조직 준수 정책 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자 식별 | CMA_C1591 - 외부 서비스 공급자 식별 | 수동, 사용 안 함 | 1.1.0 |
| 부정한 관행 금지 | CMA_0396 - 부정한 관행 금지 | 수동, 사용 안 함 | 1.1.0 |
| 수정된 동작 규칙 검토 및 서명 | CMA_0465 - 수정된 동작 규칙 검토 및 서명 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약의 규칙 업데이트 | CMA_0521 - 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 3년마다 동작 및 액세스 계약의 규칙 업데이트 | CMA_0522 - 3년마다 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 및 통신 기술 공급망
ID: ISO 27001:2013 A.15.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
| 상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
공급자 서비스 모니터링 및 검토
ID: ISO 27001:2013 A.15.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
공급자 서비스에 대한 변경 관리
ID: ISO 27001:2013 A.15.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 인시던트 관리
책임 및 절차
ID: ISO 27001:2013 A.16.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 데이터 위반 레코드 유지 관리 | CMA_0351 - 데이터 위반 레코드 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 보호 | CMA_0405 - 인시던트 대응 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 이벤트 보고
ID: ISO 27001:2013 A.16.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 감사 레코드 상관 관계 지정 | CMA_0087 - 감사 레코드 상관 관계 지정 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토 및 보고를 위한 요구 사항 설정 | CMA_0277 - 감사 검토 및 보고를 위한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토, 분석, 보고 통합 | CMA_0339 - 감사 검토, 분석, 보고 통합 | 수동, 사용 안 함 | 1.1.0 |
| Siem과 클라우드 앱 보안 통합 | CMA_0340 - Siem과 클라우드 앱 보안 통합 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 관리자 할당 검토 | CMA_0461 - 매주 관리자 할당 검토 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 ID 보고서 개요 검토 | CMA_0468 - 클라우드 ID 보고서 개요 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제어된 폴더 액세스 이벤트 검토 | CMA_0471 - 제어된 폴더 액세스 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 파일 및 폴더 작업 검토 | CMA_0473 - 파일 및 폴더 작업 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 역할 그룹 변경 내용 검토 | CMA_0476 - 매주 역할 그룹 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 약점 보고
ID: ISO 27001:2013 A.16.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 결함 수정을 구성 관리에 통합 | CMA_C1671 - 결함 수정을 구성 관리에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 이벤트의 평가 및 결정
ID: ISO 27001:2013 A.16.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 레코드 상관 관계 지정 | CMA_0087 - 감사 레코드 상관 관계 지정 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토 및 보고를 위한 요구 사항 설정 | CMA_0277 - 감사 검토 및 보고를 위한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토, 분석, 보고 통합 | CMA_0339 - 감사 검토, 분석, 보고 통합 | 수동, 사용 안 함 | 1.1.0 |
| Siem과 클라우드 앱 보안 통합 | CMA_0340 - Siem과 클라우드 앱 보안 통합 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 관리자 할당 검토 | CMA_0461 - 매주 관리자 할당 검토 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 ID 보고서 개요 검토 | CMA_0468 - 클라우드 ID 보고서 개요 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제어된 폴더 액세스 이벤트 검토 | CMA_0471 - 제어된 폴더 액세스 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 파일 및 폴더 작업 검토 | CMA_0473 - 파일 및 폴더 작업 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 역할 그룹 변경 내용 검토 | CMA_0476 - 매주 역할 그룹 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 인시던트에 대한 응답
ID: ISO 27001:2013 A.16.1.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 인시던트를 통한 학습
ID: ISO 27001:2013 A.16.1.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 손상 지표 검색 | CMA_C1702 - 손상 지표 검색 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
증거 컬렉션
ID: ISO 27001:2013 A.16.1.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정의 비정상 동작 보고 | CMA_C1025 - 사용자 계정의 비정상 동작 보고 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
비즈니스 연속성 관리의 정보 보안 측면
정보 보안 연속성 계획
ID: ISO 27001:2013 A.17.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 대체 플랜 변경 내용 전달 | CMA_C1249 - 대체 플랜 변경 내용 전달 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | CMA_0146 - 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 개발 | CMA_0156 - 대체 계획 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 배포 | CMA_0185 - 정책 및 절차 배포 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 검토 | CMA_C1247 - 대체 플랜 검토 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 업데이트 | CMA_C1248 - 대체 플랜 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 연속성 구현
ID: ISO 27001:2013 A.17.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 대체 플랜 변경 내용 전달 | CMA_C1249 - 대체 플랜 변경 내용 전달 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 별도의 대체 및 기본 스토리지 사이트 만들기 | CMA_C1269 - 별도의 대체 및 기본 스토리지 사이트 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | CMA_C1268 - 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 알려진 상태에서 실패하는지 확인 | CMA_C1662 - 정보 시스템이 알려진 상태에서 실패하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | CMA_C1267 - 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인터넷 서비스 공급자에 대한 요구 사항 설정 | CMA_0278 - 인터넷 서비스 공급자에 대한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | CMA_C1271 - 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 트랜잭션 기반 복구 구현 | CMA_C1296 - 트랜잭션 기반 복구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 중단 후 리소스 복구 및 재구성 | CMA_C1295 - 중단 후 리소스 복구 및 재구성 | 수동, 사용 안 함 | 1.1.1 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 연속성 확인, 검토 및 평가
ID: ISO 27001:2013 A.17.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정정 작업을 테스트하는 대체 플랜 시작 | CMA_C1263 - 정정 작업을 테스트하는 대체 플랜 시작 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 테스트 결과 검토 | CMA_C1262 - 대체 플랜 테스트 결과 검토 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 연속성 및 재해 복구 플랜 테스트 | CMA_0509 - 비즈니스 연속성 및 재해 복구 플랜 테스트 | 수동, 사용 안 함 | 1.1.0 |
정보 처리 기능 상태
ID: ISO 27001:2013 A.17.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 대체 플랜 변경 내용 전달 | CMA_C1249 - 대체 플랜 변경 내용 전달 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 별도의 대체 및 기본 스토리지 사이트 만들기 | CMA_C1269 - 별도의 대체 및 기본 스토리지 사이트 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | CMA_0146 - 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 개발 | CMA_0156 - 대체 계획 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 배포 | CMA_0185 - 정책 및 절차 배포 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | CMA_C1268 - 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 알려진 상태에서 실패하는지 확인 | CMA_C1662 - 정보 시스템이 알려진 상태에서 실패하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | CMA_C1267 - 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | CMA_C1271 - 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 검토 | CMA_C1247 - 대체 플랜 검토 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 업데이트 | CMA_C1248 - 대체 플랜 업데이트 | 수동, 사용 안 함 | 1.1.0 |
규정 준수
적용 가능한 법률 및 계약 요구 사항 식별
ID: ISO 27001:2013 A.18.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 플랜 보호 | CMA_C1732 - 정보 보안 프로그램 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
지적 재산권
ID: ISO 27001:2013 A.18.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 지적 재산권 준수 요구 | CMA_0432 - 지적 재산권 준수 요구 | 수동, 사용 안 함 | 1.1.0 |
| 소프트웨어 라이선스 사용량 추적 | CMA_C1235 - 소프트웨어 라이선스 사용량 추적 | 수동, 사용 안 함 | 1.1.0 |
레코드 보호
ID: ISO 27001:2013 A.18.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 이중 또는 공동 권한 부여 사용 | CMA_0226 - 이중 또는 공동 권한 부여 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템이 알려진 상태에서 실패하는지 확인 | CMA_C1662 - 정보 시스템이 알려진 상태에서 실패하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 트랜잭션 기반 복구 구현 | CMA_C1296 - 트랜잭션 기반 복구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
프라이버시 및 개인 식별 정보 보호
ID: ISO 27001:2013 A.18.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 규정 준수 활동 관리 | CMA_0358 - 규정 준수 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
암호화 제어 규정
ID: ISO 27001:2013 A.18.1.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 암호화 모듈에 인증 | CMA_0021 - 암호화 모듈에 인증 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
정보 보안에 대한 독립적 검토
ID: ISO 27001:2013 A.18.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 침투 테스트에 독립적인 팀 고용 | CMA_C1171 - 침투 테스트에 독립적인 팀 고용 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
보안 정책 및 표준 준수
ID: ISO 27001:2013 A.18.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 보고서 생성 | CMA_C1146 - 보안 평가 보고서 생성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 플랜 보호 | CMA_C1732 - 정보 보안 프로그램 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
기술 준수 검토
ID: ISO 27001:2013 A.18.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 침투 테스트에 독립적인 팀 고용 | CMA_C1171 - 침투 테스트에 독립적인 팀 고용 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 보고서 생성 | CMA_C1146 - 보안 평가 보고서 생성 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 정책
정보 보안에 대한 정책
ID: ISO 27001:2013 A.5.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | CMA_C1810 - 계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 규정 준수 활동 관리 | CMA_0358 - 규정 준수 활동 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 플랜 보호 | CMA_C1732 - 정보 보안 프로그램 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안에 대한 정책 검토
ID: ISO 27001:2013 A.5.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 플랜 보호 | CMA_C1732 - 정보 보안 프로그램 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 구성
정보 보안 역할 및 책임
ID: ISO 27001:2013 A.6.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 변경 내용 전달 | CMA_C1249 - 대체 플랜 변경 내용 전달 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 구성 플랜 보호 만들기 | CMA_C1233 - 구성 플랜 보호 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 역할 및 책임 정의 | CMA_C1565 - 정보 보안 역할 및 책임 정의 | 수동, 사용 안 함 | 1.1.0 |
| 특정 역할 및 책임을 이행할 개인 지정 | CMA_C1747 - 특정 역할 및 책임을 이행하도록 개인 지정 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | CMA_0146 - 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기준 구성 개발 및 유지 관리 | CMA_0153 - 기준 구성 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 구성 항목 식별 플랜 개발 | CMA_C1231 - 구성 항목 식별 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 플랜 개발 | CMA_C1232 - 구성 관리 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 개발 | CMA_0156 - 대체 계획 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 배포 | CMA_0185 - 정책 및 절차 배포 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 컴플레인 절차 문서화 및 구현 | CMA_0189 - 프라이버시 컴플레인 절차 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 보안 요구 사항 문서화 | CMA_C1531 - 타사 직원 보안 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | CMA_C1867 - 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 계획 수립 및 문서화 | CMA_0264 - 구성 관리 계획 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 보안 요구 사항 설정 | CMA_C1529 - 타사 직원 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 역할 및 책임이 있는 개인 식별 | CMA_C1566 - 보안 역할 및 책임이 있는 개인 식별 | 수동, 사용 안 함 | 1.1.1 |
| 자동화된 구성 관리 도구 구현 | CMA_0311 - 자동화된 구성 관리 도구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| SDLC에 위험 관리 프로세스 통합 | CMA_C1567 - SDLC에 위험 관리 프로세스 통합 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 상태 관리 | CMA_C1746 - 정보 시스템의 보안 상태 관리 | 수동, 사용 안 함 | 1.1.0 |
| 타사 공급자 규정 준수 모니터링 | CMA_C1533 - 타사 공급자 규정 준수 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 플랜 보호 | CMA_C1732 - 정보 보안 프로그램 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 이전 또는 종료에 대한 알림 필요 | CMA_C1532 - 타사 직원 이전 또는 종료에 대한 알림 필요 | 수동, 사용 안 함 | 1.1.0 |
| 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | CMA_C1530 - 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | 수동, 사용 안 함 | 1.1.0 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 검토 | CMA_C1247 - 대체 플랜 검토 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 업데이트 | CMA_C1248 - 대체 플랜 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
의무 분리
ID: ISO 27001:2013 A.6.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 의무 분리를 지원하기 위한 액세스 권한 부여 정의 | CMA_0116 - 의무 분리를 지원하기 위한 액세스 권한 부여 정의 | 수동, 사용 안 함 | 1.1.0 |
| 의무 분리 문서화 | CMA_0204 - 의무 분리 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개인의 별도 의무 | CMA_0492 - 개인의 별도 의무 | 수동, 사용 안 함 | 1.1.0 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
관계 기관에 문의
ID: ISO 27001:2013 A.6.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기관 및 특별 관심 그룹의 연락처 관리 | CMA_0359 - 기관 및 특별 관심 그룹의 연락처 관리 | 수동, 사용 안 함 | 1.1.0 |
특수 이해 관계 그룹과의 연락
ID: ISO 27001:2013 A.6.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 직원에게 보안 경고 배포 | CMA_C1705 - 직원에게 보안 경고 배포 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 위협 인텔리전스 프로그램 설정 | CMA_0260 - 위협 인텔리전스 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 내부 보안 경고 생성 | CMA_C1704 - 내부 보안 경고 생성 | 수동, 사용 안 함 | 1.1.0 |
| 보안 지시문 구현 | CMA_C1706 - 보안 지시문 구현 | 수동, 사용 안 함 | 1.1.0 |
| 기관 및 특별 관심 그룹의 연락처 관리 | CMA_0359 - 기관 및 특별 관심 그룹의 연락처 관리 | 수동, 사용 안 함 | 1.1.0 |
프로젝트 관리의 정보 보안
ID: ISO 27001:2013 A.6.1.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 목표 및 IT 목표 조정 | CMA_0008 - 비즈니스 목표 및 IT 목표 조정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 요구 사항을 결정할 때 리소스 할당 | CMA_C1561 - 정보 시스템 요구 사항을 결정할 때 리소스 할당 | 수동, 사용 안 함 | 1.1.0 |
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 역할 및 책임 정의 | CMA_C1565 - 정보 보안 역할 및 책임 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 예산 설명서에서 개별 품목 설정 | CMA_C1563 - 예산 설명서에서 개별 품목 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스 할당 관리 | CMA_0293 - 리소스 할당 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 역할 및 책임이 있는 개인 식별 | CMA_C1566 - 보안 역할 및 책임이 있는 개인 식별 | 수동, 사용 안 함 | 1.1.1 |
| SDLC에 위험 관리 프로세스 통합 | CMA_C1567 - SDLC에 위험 관리 프로세스 통합 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 개발 프로세스, 표준 및 도구 검토 | CMA_C1610 - 개발 프로세스, 표준 및 도구 검토 | 수동, 사용 안 함 | 1.1.0 |
| 리더십의 안전한 약속 | CMA_0489 - 리더십의 안전한 약속 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모바일 디바이스 정책
ID: ISO 27001:2013 A.6.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 모바일 디바이스 요구 사항 정의 | CMA_0122 - 모바일 디바이스 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 지침 문서화 및 구현 | CMA_0190 - 무선 액세스 지침 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 보호 | CMA_0411 - 무선 액세스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
원격 근무
ID: ISO 27001:2013 A.6.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
인사 관리 보안
검사
ID: ISO 27001:2013 A.7.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 기밀 정보에 액세스할 수 있는 직원 지우기 | CMA_0054 - 기밀 정보에 액세스할 수 있는 직원 지우기 | 수동, 사용 안 함 | 1.1.0 |
| 직원 심사 구현 | CMA_0322 - 직원 심사 구현 | 수동, 사용 안 함 | 1.1.0 |
| 정의된 빈도로 개인 다시 선별 | CMA_C1512 - 정의된 빈도로 개인 다시 선별 | 수동, 사용 안 함 | 1.1.0 |
고용 약관
ID: ISO 27001:2013 A.7.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 문서화 | CMA_0192 - 조직 액세스 계약 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | CMA_C1528 - 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | CMA_C1867 - 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
| 개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
| 사용자가 액세스 계약에 서명하도록 요구 | CMA_0440 - 사용자가 액세스 계약에 서명하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 업데이트 | CMA_0520 - 조직 액세스 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 책임
ID: ISO 27001:2013 A.7.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 문서화 | CMA_0192 - 조직 액세스 계약 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 보안 요구 사항 문서화 | CMA_C1531 - 타사 직원 보안 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | CMA_C1528 - 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 보안 요구 사항 설정 | CMA_C1529 - 타사 직원 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 타사 공급자 규정 준수 모니터링 | CMA_C1533 - 타사 공급자 규정 준수 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 타사 직원 이전 또는 종료에 대한 알림 필요 | CMA_C1532 - 타사 직원 이전 또는 종료에 대한 알림 필요 | 수동, 사용 안 함 | 1.1.0 |
| 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | CMA_C1530 - 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | 수동, 사용 안 함 | 1.1.0 |
| 사용자가 액세스 계약에 서명하도록 요구 | CMA_0440 - 사용자가 액세스 계약에 서명하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| 조직 액세스 계약 업데이트 | CMA_0520 - 조직 액세스 계약 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 인식, 교육 및 학습
ID: ISO 27001:2013 A.7.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 자동화된 교육 환경 사용 | CMA_C1357 - 자동화된 교육 환경 사용 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 인력 개발 및 개선 프로그램 설정 | CMA_C1752 - 정보 보안 인력 개발 및 개선 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 완료 모니터링 | CMA_0379 - 보안 및 프라이버시 교육 완료 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 대체 교육 제공 | CMA_0412 - 대체 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출 교육 제공 | CMA_0413 - 정보 유출 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 정기적으로 역할 기반 보안 교육 제공 | CMA_C1095 - 정기적으로 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 정기적으로 보안 인식 교육 제공 | CMA_C1091 - 정기적으로 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 역할 기반 보안 교육 제공 | CMA_C1094 - 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 액세스를 제공하기 전에 보안 교육 제공 | CMA_0418 - 액세스를 제공하기 전에 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 새 사용자를 위한 보안 교육 제공 | CMA_0419 - 새 사용자를 위한 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 업데이트된 보안 인식 교육 제공 | CMA_C1090 - 업데이트된 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 교육 레코드 보존 | CMA_0456 - 교육 레코드 보존 | 수동, 사용 안 함 | 1.1.0 |
| 비공개 정보 공개에 대한 직원 교육 | CMA_C1084 - 비공개 정보 공개에 대한 직원 교육 | 수동, 사용 안 함 | 1.1.0 |
징계 프로세스
ID: ISO 27001:2013 A.7.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공식 승인 프로세스 구현 | CMA_0317 - 공식 승인 프로세스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 권한에 따라 직원에게 알림 | CMA_0380 - 권한에 따라 직원에게 알림 | 수동, 사용 안 함 | 1.1.0 |
고용 책임 종료 또는 변경
ID: ISO 27001:2013 A.7.3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 종료 시 종료 인터뷰 수행 | CMA_0058 - 종료 시 종료 인터뷰 수행 | 수동, 사용 안 함 | 1.1.0 |
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 전송 또는 재할당 작업 시작 | CMA_0333 - 전송 또는 재할당 작업 시작 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 권한 부여 수정 | CMA_0374 - 직원 이전 시 액세스 권한 부여 수정 | 수동, 사용 안 함 | 1.1.0 |
| 종료 또는 이전 시 알림 | CMA_0381 - 종료 또는 이전 시 알림 | 수동, 사용 안 함 | 1.1.0 |
| 퇴사하는 직원의 데이터 도난 방지 및 예방 | CMA_0398 - 퇴사하는 직원의 데이터 도난 방지 및 예방 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 다시 평가 | CMA_0424 - 직원 이전 시 액세스 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
자산 관리
자산 인벤토리
ID: ISO 27001:2013 A.8.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 인벤토리 만들기 | CMA_0096 - 데이터 인벤토리 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 개인 데이터 처리 기록 유지 관리 | CMA_0353 - 개인 데이터 처리 기록 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
자산 소유권
ID: ISO 27001:2013 A.8.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 휴대용 스토리지 디바이스의 사용 제어 | CMA_0083 - 휴대용 스토리지 디바이스의 사용 제어 | 수동, 사용 안 함 | 1.1.0 |
| 데이터 인벤토리 만들기 | CMA_0096 - 데이터 인벤토리 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 자산 인벤토리 설정 및 유지 관리 | CMA_0266 - 자산 인벤토리 설정 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 개인 데이터 처리 기록 유지 관리 | CMA_0353 - 개인 데이터 처리 기록 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 사용 제한 | CMA_0450 - 미디어 사용 제한 | 수동, 사용 안 함 | 1.1.0 |
자산의 허용 가능한 사용
ID: ISO 27001:2013 A.8.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
자산 반환
ID: ISO 27001:2013 A.8.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 종료 시 종료 인터뷰 수행 | CMA_0058 - 종료 시 종료 인터뷰 수행 | 수동, 사용 안 함 | 1.1.0 |
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 전송 또는 재할당 작업 시작 | CMA_0333 - 전송 또는 재할당 작업 시작 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 권한 부여 수정 | CMA_0374 - 직원 이전 시 액세스 권한 부여 수정 | 수동, 사용 안 함 | 1.1.0 |
| 종료 또는 이전 시 알림 | CMA_0381 - 종료 또는 이전 시 알림 | 수동, 사용 안 함 | 1.1.0 |
| 퇴사하는 직원의 데이터 도난 방지 및 예방 | CMA_0398 - 퇴사하는 직원의 데이터 도난 방지 및 예방 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 다시 평가 | CMA_0424 - 직원 이전 시 액세스 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
정보의 분류
ID: ISO 27001:2013 A.8.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 분류 | CMA_0052 - 정보 분류 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 분류 체계 개발 | CMA_0155 - 비즈니스 분류 체계 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 분류가 승인되었는지 확인 | CMA_C1540 - 보안 분류가 승인되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
| SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
정보 레이블 지정
ID: ISO 27001:2013 A.8.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
자산 취급
ID: ISO 27001:2013 A.8.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 휴대용 스토리지 디바이스의 사용 제어 | CMA_0083 - 휴대용 스토리지 디바이스의 사용 제어 | 수동, 사용 안 함 | 1.1.0 |
| 자산 관리를 위한 요구 사항 정의 | CMA_0125 - 자산 관리를 위한 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 내결함성 이름/주소 서비스 구현 | CMA_0305 - 내결함성 이름/주소 서비스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 보안 이름 및 주소 확인 서비스 제공 | CMA_0416 - 보안 이름 및 주소 확인 서비스 제공 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 사용 제한 | CMA_0450 - 미디어 사용 제한 | 수동, 사용 안 함 | 1.1.0 |
| 레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
이동식 미디어 관리
ID: ISO 27001:2013 A.8.3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 휴대용 스토리지 디바이스의 사용 제어 | CMA_0083 - 휴대용 스토리지 디바이스의 사용 제어 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 사용 제한 | CMA_0450 - 미디어 사용 제한 | 수동, 사용 안 함 | 1.1.0 |
미디어 폐기
ID: ISO 27001:2013 A.8.3.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
실제 미디어 전송
ID: ISO 27001:2013 A.8.3.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
액세스 제어
액세스 제어 정책
ID: ISO 27001:2013 A.9.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
네트워크 및 네트워크 서비스에 대한 액세스
ID: ISO 27001:2013 A.9.1.2 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
| 암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 검색 사용 | CMA_0220 - 네트워크 디바이스 검색 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 전자 서명 및 인증서 요구 사항 설정 | CMA_0271 - 전자 서명 및 인증서 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증 없이 허용되는 작업 식별 | CMA_0295 - 인증 없이 허용되는 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
사용자 등록 및 등록 취소
ID: ISO 27001:2013 A.9.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 식별자 할당 | CMA_0018 - 시스템 식별자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 검색 사용 | CMA_0220 - 네트워크 디바이스 검색 사용 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| 초기 인증자 배포를 위한 절차 설정 | CMA_0276 - 초기 인증자 배포를 위한 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증 없이 허용되는 작업 식별 | CMA_0295 - 인증 없이 허용되는 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 수명 관리 및 다시 사용 | CMA_0355 - 인증자 수명 관리 및 다시 사용 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 관리 | CMA_C1321 - 인증자 관리 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정의 계정 관리자에게 알림 | CMA_C1009 - 고객 제어 계정의 계정 관리자에게 알림 | 수동, 사용 안 함 | 1.1.0 |
| 정의된 기간 동안 식별자 재사용 방지 | CMA_C1314 - 정의된 기간 동안 식별자 재사용 방지 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 새로 고침 | CMA_0425 - 인증자 새로 고침 | 수동, 사용 안 함 | 1.1.0 |
| 변경된 그룹 및 계정에 대한 인증자 다시 발급 | CMA_0426 - 변경된 그룹 및 계정에 대한 인증자 다시 발급 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 권한 검토 및 다시 평가 | CMA_C1207 - 권한 검토 및 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
| 인증자를 배포하기 전에 ID 확인 | CMA_0538 - 인증자를 배포하기 전에 ID 확인 | 수동, 사용 안 함 | 1.1.0 |
사용자 액세스 프로비저닝
ID: ISO 27001:2013 A.9.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프로덕션 환경을 변경할 수 있는 권한 제한 | CMA_C1206 - 프로덕션 환경을 변경할 수 있는 권한 제한 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정의 계정 관리자에게 알림 | CMA_C1009 - 고객 제어 계정의 계정 관리자에게 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 권한 검토 및 다시 평가 | CMA_C1207 - 권한 검토 및 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
권한 있는 액세스 권한 관리
ID: ISO 27001:2013 A.9.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프로덕션 환경을 변경할 수 있는 권한 제한 | CMA_C1206 - 프로덕션 환경을 변경할 수 있는 권한 제한 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정의 계정 관리자에게 알림 | CMA_C1009 - 고객 제어 계정의 계정 관리자에게 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 권한 검토 및 다시 평가 | CMA_C1207 - 권한 검토 및 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
| 권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
사용자의 비밀 인증 정보 관리
ID: ISO 27001:2013 A.9.2.4 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 초기 인증자 배포를 위한 절차 설정 | CMA_0276 - 초기 인증자 배포를 위한 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 수명 관리 및 다시 사용 | CMA_0355 - 인증자 수명 관리 및 다시 사용 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 관리 | CMA_C1321 - 인증자 관리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 새로 고침 | CMA_0425 - 인증자 새로 고침 | 수동, 사용 안 함 | 1.1.0 |
| 변경된 그룹 및 계정에 대한 인증자 다시 발급 | CMA_0426 - 변경된 그룹 및 계정에 대한 인증자 다시 발급 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 인증자를 배포하기 전에 ID 확인 | CMA_0538 - 인증자를 배포하기 전에 ID 확인 | 수동, 사용 안 함 | 1.1.0 |
사용자 액세스 권한 검토
ID: ISO 27001:2013 A.9.2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 고객 제어 계정의 계정 관리자에게 알림 | CMA_C1009 - 고객 제어 계정의 계정 관리자에게 알림 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 사용자 권한 다시 할당 또는 제거 | CMA_C1040 - 필요에 따라 사용자 권한 다시 할당 또는 제거 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 권한 검토 및 다시 평가 | CMA_C1207 - 권한 검토 및 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 권한 검토 | CMA_C1039 - 사용자 권한 검토 | 수동, 사용 안 함 | 1.1.0 |
액세스 권한 제거 또는 조정
ID: ISO 27001:2013 A.9.2.6 소유권: Shared
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| 전송 또는 재할당 작업 시작 | CMA_0333 - 전송 또는 재할당 작업 시작 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 권한 부여 수정 | CMA_0374 - 직원 이전 시 액세스 권한 부여 수정 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정의 계정 관리자에게 알림 | CMA_C1009 - 고객 제어 계정의 계정 관리자에게 알림 | 수동, 사용 안 함 | 1.1.0 |
| 종료 또는 이전 시 알림 | CMA_0381 - 종료 또는 이전 시 알림 | 수동, 사용 안 함 | 1.1.0 |
| 직원 이전 시 액세스 다시 평가 | CMA_0424 - 직원 이전 시 액세스 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 권한 검토 및 다시 평가 | CMA_C1207 - 권한 검토 및 다시 평가 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
비밀 인증 정보 사용
ID: ISO 27001:2013 A.9.3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 초기 인증자 배포를 위한 절차 설정 | CMA_0276 - 초기 인증자 배포를 위한 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 수명 관리 및 다시 사용 | CMA_0355 - 인증자 수명 관리 및 다시 사용 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 관리 | CMA_C1321 - 인증자 관리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 새로 고침 | CMA_0425 - 인증자 새로 고침 | 수동, 사용 안 함 | 1.1.0 |
| 변경된 그룹 및 계정에 대한 인증자 다시 발급 | CMA_0426 - 변경된 그룹 및 계정에 대한 인증자 다시 발급 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 고객 제어 계정 자격 증명 종료 | CMA_C1022 - 고객 제어 계정 자격 증명 종료 | 수동, 사용 안 함 | 1.1.0 |
| 인증자를 배포하기 전에 ID 확인 | CMA_0538 - 인증자를 배포하기 전에 ID 확인 | 수동, 사용 안 함 | 1.1.0 |
정보 액세스 제한
ID: ISO 27001:2013 A.9.4.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 프로덕션 환경을 변경할 수 있는 권한 제한 | CMA_C1206 - 프로덕션 환경을 변경할 수 있는 권한 제한 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
보안 로그온 프로시저
ID: ISO 27001:2013 A.9.4.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 검색 사용 | CMA_0220 - 네트워크 디바이스 검색 사용 | 수동, 사용 안 함 | 1.1.0 |
| 연속 로그인 시도 횟수 제한 적용 | CMA_C1044 - 연속 로그인 시도 횟수 제한 적용 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 전자 서명 및 인증서 요구 사항 설정 | CMA_0271 - 전자 서명 및 인증서 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 오류 메시지 생성 | CMA_C1724 - 오류 메시지 생성 | 수동, 사용 안 함 | 1.1.0 |
| 인증 없이 허용되는 작업 식별 | CMA_0295 - 인증 없이 허용되는 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 비조직 사용자 식별 및 인증 | CMA_C1346 - 비조직 사용자 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 인증 프로세스 중 피드백 정보 가리기 | CMA_C1344 - 인증 프로세스 중 피드백 정보 가리기 | 수동, 사용 안 함 | 1.1.0 |
| 오류 메시지 표시 | CMA_C1725 - 오류 메시지 표시 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 세션을 자동으로 종료 | CMA_C1054 - 사용자 세션을 자동으로 종료 | 수동, 사용 안 함 | 1.1.0 |
암호 관리 시스템
ID: ISO 27001:2013 A.9.4.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
| 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 초기 인증자 배포를 위한 절차 설정 | CMA_0276 - 초기 인증자 배포를 위한 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 수명 관리 및 다시 사용 | CMA_0355 - 인증자 수명 관리 및 다시 사용 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 관리 | CMA_C1321 - 인증자 관리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 새로 고침 | CMA_0425 - 인증자 새로 고침 | 수동, 사용 안 함 | 1.1.0 |
| 변경된 그룹 및 계정에 대한 인증자 다시 발급 | CMA_0426 - 변경된 그룹 및 계정에 대한 인증자 다시 발급 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 인증자를 배포하기 전에 ID 확인 | CMA_0538 - 인증자를 배포하기 전에 ID 확인 | 수동, 사용 안 함 | 1.1.0 |
권한 있는 유틸리티 프로그램 사용
ID: ISO 27001:2013 A.9.4.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
프로그램 원본 코드에 대한 액세스 제어
ID: ISO 27001:2013 A.9.4.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프로덕션 환경을 변경할 수 있는 권한 제한 | CMA_C1206 - 프로덕션 환경을 변경할 수 있는 권한 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
개선
부적합 및 정정 작업
ID: ISO 27001:2013 C.10.1.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
부적합 및 정정 작업
ID: ISO 27001:2013 C.10.1.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
부적합 및 정정 작업
ID: ISO 27001:2013 C.10.1.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
부적합 및 정정 작업
ID: ISO 27001:2013 C.10.1.g 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
조직 상황
정보 보안 관리 시스템의 범위 결정
ID: ISO 27001:2013 C.4.3.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 관리 시스템의 범위 결정
ID: ISO 27001:2013 C.4.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 관리 시스템의 범위 결정
ID: ISO 27001:2013 C.4.3.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 목표 및 IT 목표 조정 | CMA_0008 - 비즈니스 목표 및 IT 목표 조정 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 사례를 사용하여 필요한 리소스 기록 | CMA_C1735 - 비즈니스 사례를 사용하여 필요한 리소스 기록 | 수동, 사용 안 함 | 1.1.0 |
| 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | CMA_C1734 - 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | CMA_C1810 - 계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스 할당 관리 | CMA_0293 - 리소스 할당 관리 | 수동, 사용 안 함 | 1.1.0 |
| 리더십의 안전한 약속 | CMA_0489 - 리더십의 안전한 약속 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 관리 시스템
ID: ISO 27001:2013 C.4.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
리더십
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 목표 및 IT 목표 조정 | CMA_0008 - 비즈니스 목표 및 IT 목표 조정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 요구 사항을 결정할 때 리소스 할당 | CMA_C1561 - 정보 시스템 요구 사항을 결정할 때 리소스 할당 | 수동, 사용 안 함 | 1.1.0 |
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 사례를 사용하여 필요한 리소스 기록 | CMA_C1735 - 비즈니스 사례를 사용하여 필요한 리소스 기록 | 수동, 사용 안 함 | 1.1.0 |
| 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | CMA_C1734 - 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | CMA_C1867 - 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 예산 설명서에서 개별 품목 설정 | CMA_C1563 - 예산 설명서에서 개별 품목 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스 할당 관리 | CMA_0293 - 리소스 할당 관리 | 수동, 사용 안 함 | 1.1.0 |
| 리더십의 안전한 약속 | CMA_0489 - 리더십의 안전한 약속 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 목표 및 IT 목표 조정 | CMA_0008 - 비즈니스 목표 및 IT 목표 조정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 요구 사항을 결정할 때 리소스 할당 | CMA_C1561 - 정보 시스템 요구 사항을 결정할 때 리소스 할당 | 수동, 사용 안 함 | 1.1.0 |
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 사례를 사용하여 필요한 리소스 기록 | CMA_C1735 - 비즈니스 사례를 사용하여 필요한 리소스 기록 | 수동, 사용 안 함 | 1.1.0 |
| 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | CMA_C1734 - 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 예산 설명서에서 개별 품목 설정 | CMA_C1563 - 예산 설명서에서 개별 품목 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스 할당 관리 | CMA_0293 - 리소스 할당 관리 | 수동, 사용 안 함 | 1.1.0 |
| 리더십의 안전한 약속 | CMA_0489 - 리더십의 안전한 약속 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.g 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
리더십 및 의지 표명
ID: ISO 27001:2013 C.5.1.h 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 정책 및 절차 검토 | CMA_0457 - 액세스 제어 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 정책 및 절차 검토 및 업데이트 | CMA_C1175 - 구성 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 검토 및 업데이트 | CMA_C1243 - 대체 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 식별 및 인증 정책 및 절차 검토 및 업데이트 | CMA_C1299 - 식별 및 인증 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 정보 무결성 정책 및 절차 검토 및 업데이트 | CMA_C1667 - 정보 무결성 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 미디어 보호 정책 및 절차 검토 및 업데이트 | CMA_C1427 - 미디어 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 직원 보안 정책 및 절차 검토 및 업데이트 | CMA_C1507 - 직원 보안 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | CMA_C1616 - 시스템 및 통신 보호 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | CMA_C1560 - 시스템 및 서비스 취득 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | CMA_C1395 - 시스템 유지 관리 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 및 권한 부여 정책 및 절차 검토 | CMA_C1143 - 보안 평가 및 권한 부여 정책 및 절차 검토 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 액세스 제어 정책 및 절차 개발 | CMA_0144 - 액세스 제어 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 관리 | CMA_0292 - 정책 및 절차 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정책
ID: ISO 27001:2013 C.5.2.g 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 프라이버시 플랜, 정책 및 절차 업데이트 | CMA_C1807 - 프라이버시 플랜, 정책 및 절차 업데이트 | 수동, 사용 안 함 | 1.1.0 |
조직의 역할, 책임 및 권한
ID: ISO 27001:2013 C.5.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
계획
일반
ID: ISO 27001:2013 C.6.1.1.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
일반
ID: ISO 27001:2013 C.6.1.1.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
일반
ID: ISO 27001:2013 C.6.1.1.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
일반
ID: ISO 27001:2013 C.6.1.1.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
일반
ID: ISO 27001:2013 C.6.1.1.e.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
일반
ID: ISO 27001:2013 C.6.1.1.e.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.a.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.a.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.c.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.c.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.d.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.d.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.d.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.e.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.6.1.2.e.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.6.1.3.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
정보 보안 목표 및 목표 달성 계획
ID: ISO 27001:2013 C.6.2.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
지원
리소스
ID: ISO 27001:2013 C.7.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 목표 및 IT 목표 조정 | CMA_0008 - 비즈니스 목표 및 IT 목표 조정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 요구 사항을 결정할 때 리소스 할당 | CMA_C1561 - 정보 시스템 요구 사항을 결정할 때 리소스 할당 | 수동, 사용 안 함 | 1.1.0 |
| 비즈니스 사례를 사용하여 필요한 리소스 기록 | CMA_C1735 - 비즈니스 사례를 사용하여 필요한 리소스 기록 | 수동, 사용 안 함 | 1.1.0 |
| 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | CMA_C1734 - 자본 계획 및 투자 요청에 필요한 리소스가 포함되는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 예산 설명서에서 개별 품목 설정 | CMA_C1563 - 예산 설명서에서 개별 품목 설정 | 수동, 사용 안 함 | 1.1.0 |
| 리소스 할당 관리 | CMA_0293 - 리소스 할당 관리 | 수동, 사용 안 함 | 1.1.0 |
| 리더십의 안전한 약속 | CMA_0489 - 리더십의 안전한 약속 | 수동, 사용 안 함 | 1.1.0 |
역량/적격성
ID: ISO 27001:2013 C.7.2.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 및 프라이버시 교육 완료 모니터링 | CMA_0379 - 보안 및 프라이버시 교육 완료 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
역량/적격성
ID: ISO 27001:2013 C.7.2.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 및 프라이버시 교육 완료 모니터링 | CMA_0379 - 보안 및 프라이버시 교육 완료 모니터링 | 수동, 사용 안 함 | 1.1.0 |
역량/적격성
ID: ISO 27001:2013 C.7.2.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 및 프라이버시 교육 완료 모니터링 | CMA_0379 - 보안 및 프라이버시 교육 완료 모니터링 | 수동, 사용 안 함 | 1.1.0 |
역량/적격성
ID: ISO 27001:2013 C.7.2.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 교육 레코드 보존 | CMA_0456 - 교육 레코드 보존 | 수동, 사용 안 함 | 1.1.0 |
인식
ID: ISO 27001:2013 C.7.3.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
인식
ID: ISO 27001:2013 C.7.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
인식
ID: ISO 27001:2013 C.7.3.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
통신
ID: ISO 27001:2013 C.7.4.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | CMA_C1083 - 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
통신
ID: ISO 27001:2013 C.7.4.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | CMA_C1083 - 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
통신
ID: ISO 27001:2013 C.7.4.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | CMA_C1083 - 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
통신
ID: ISO 27001:2013 C.7.4.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | CMA_C1083 - 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
통신
ID: ISO 27001:2013 C.7.4.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | CMA_C1083 - 공개적으로 액세스 할 수 있는 정보의 게시 권한을 가질 직원 지정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
작성 및 업데이트
ID: ISO 27001:2013 C.7.5.2.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
문서화된 정보 제어
ID: ISO 27001:2013 C.7.5.3.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 계획 정책 및 절차 검토 및 업데이트 | CMA_C1491 - 계획 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
연산
운영 계획 및 제어
ID: ISO 27001:2013 C.8.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 제안된 변경 내용에 대한 승인 요청 자동화 | CMA_C1192 - 제안된 변경 내용에 대한 승인 요청 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인된 변경 알림 구현 자동화 | CMA_C1196 - 승인된 변경 알림 구현 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | CMA_C1194 - 승인되지 않은 변경의 구현을 금지하도록 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 평가
ID: ISO 27001:2013 C.8.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 평가 수행 및 결과 문서화 | CMA_C1542 - 위험 평가 수행 및 결과 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 위험 처리
ID: ISO 27001:2013 C.8.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
성능 평가
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
모니터링, 측정, 분석 및 평가
ID: ISO 27001:2013 C.9.1.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.a.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.a.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.c 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 감사 검토, 분석 및 보고 수준 조정 | CMA_C1123 - 감사 검토, 분석 및 보고 수준 조정 | 수동, 사용 안 함 | 1.1.0 |
| 감사 및 책임 정책 및 절차 개발 | CMA_0154 - 감사 및 책임 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 독립 평가자를 사용하여 보안 제어 평가 수행 | CMA_C1148 - 독립 평가자를 사용하여 보안 제어 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 업데이트 | CMA_0518 - 정보 보안 정책 업데이트 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
내부 감사
ID: ISO 27001:2013 C.9.2.g 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.a 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 보안 프로그램 프로세스에 대한 작업 플랜 및 마일스톤 구현 | CMA_C1737 - 보안 프로그램 프로세스에 대한 작업 플랜 및 마일스톤 구현 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.b 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.c.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.c.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 개발 | CMA_C1156 - Develop POA&M | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.c.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.c.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 성능 메트릭 정의 | CMA_0124 - 성능 메트릭 정의 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.d 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.e 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
관리 검토
ID: ISO 27001:2013 C.9.3.f 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| POA&M 항목 업데이트 | CMA_C1157 - POA&M 항목 업데이트 | 수동, 사용 안 함 | 1.1.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.