Szczegóły wbudowanej inicjatywy zgodności z przepisami ISO 27001:2013 (Azure Government)
Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w standardzie ISO 27001:2013 (Azure Government). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz ISO 27001:2013. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.
Następujące mapowania dotyczą kontrolek ISO 27001:2013 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy ISO 27001:2013 Zgodność z przepisami.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
Kryptografia
Zasady dotyczące korzystania z kontrolek kryptograficznych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.10.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | AuditIfNotExists, Disabled | 1.0.0 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Dokumentowanie i rozpowszechnianie zasad ochrony prywatności | CMA_0188 — dokumentowanie i rozpowszechnianie zasad ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie komunikacji | CMA_0449 — ograniczanie komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Zarządzanie kluczami
IDENTYFIKATOR: Własność ISO 27001:2013 A.10.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Określanie wymagań dotyczących asercji | CMA_0136 — określanie wymagań asercji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie akcji dozwolonych bez uwierzytelniania | CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
| Wystawianie certyfikatów kluczy publicznych | CMA_0347 — wystawianie certyfikatów kluczy publicznych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie symetrycznymi kluczami kryptograficznymi | CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do kluczy prywatnych | CMA_0445 — ograniczanie dostępu do kluczy prywatnych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Kończenie poświadczeń konta kontrolowanego przez klienta | CMA_C1022 — kończenie poświadczeń konta kontrolowanego przez klienta | Ręczne, wyłączone | 1.1.0 |
Bezpieczeństwo fizyczne i środowiskowe
Obwód zabezpieczeń fizycznych
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.11.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bezpiecznym systemem kamer monitoringu | CMA_0354 — zarządzanie bezpiecznym systemem kamer monitoringu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
Kontrolki wprowadzania fizycznego
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych | CMA_C1422 — wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Obsługa listy autoryzowanych pracowników obsługi zdalnej | CMA_C1420 — obsługa listy autoryzowanych pracowników obsługi zdalnej | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie personelem obsługi technicznej | CMA_C1421 — zarządzanie personelem obsługi technicznej | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie biur, pomieszczeń i obiektów
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.11.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie fizycznego procesu zarządzania kluczami | CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.11.1.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej | CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Planowanie ciągłości podstawowych funkcji biznesowych | CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
Praca w bezpiecznych obszarach
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.11.1.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
Dostarczanie i ładowanie obszarów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.1.6 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących zarządzania zasobami | CMA_0125 — definiowanie wymagań dotyczących zarządzania zasobami | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bezpiecznym systemem kamer monitoringu | CMA_0354 — zarządzanie bezpiecznym systemem kamer monitoringu | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Sprzęt siedzi i ochrona
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Narzędzia pomocnicze
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie automatycznego oświetlenia awaryjnego | CMA_0209 — stosowanie automatycznego oświetlenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dla dostawców usług internetowych | CMA_0278 — określanie wymagań dla dostawców usług internetowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia okablowania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
Konserwacja sprzętu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie działań związanych z konserwacją zdalną | CMA_C1402 — automatyzowanie działań konserwacji zdalnej | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
| Tworzenie pełnych rekordów działań konserwacji zdalnej | CMA_C1403 — tworzenie pełnych rekordów działań konserwacji zdalnej | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie pomocy technicznej w zakresie terminowej konserwacji | CMA_C1425 — zapewnianie pomocy technicznej w zakresie terminowej konserwacji | Ręczne, wyłączone | 1.1.0 |
Usuwanie zasobów
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.11.2.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących zarządzania zasobami | CMA_0125 — definiowanie wymagań dotyczących zarządzania zasobami | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Bezpieczeństwo sprzętu i zasobów poza siedzibą firmy
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.6 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
| Zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają | CMA_C1183 — zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | CMA_C1076 — ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | CMA_C1077 — ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
| Nie zezwalaj, aby systemy informacyjne towarzyszyły osobom | CMA_C1182 — nie zezwalaj na korzystanie z systemów informacyjnych towarzyszących osobom | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | CMA_0541 — weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie usuwania lub ponownego używania sprzętu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.7 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie przeglądu dyspozycji | CMA_0391 — przeprowadzanie przeglądu dyspozycji | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie, czy dane osobowe są usuwane na końcu przetwarzania | CMA_0540 — sprawdź, czy dane osobowe są usuwane na końcu przetwarzania | Ręczne, wyłączone | 1.1.0 |
Nienadzorowany sprzęt użytkownika
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.8 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Automatyczne kończenie sesji użytkownika | CMA_C1054 — automatyczne kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
Wyczyść biurko i wyczyść zasady ekranu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.11.2.9 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia operacji
Udokumentowane procedury operacyjne
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentacja rozproszonego systemu informacyjnego | CMA_C1584 — dokumentacja rozproszonego systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akcji zdefiniowanych przez klienta | CMA_C1582 — dokumentowanie akcji zdefiniowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie dokumentacji Administracja | CMA_C1580 — uzyskiwanie dokumentacji Administracja | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika | CMA_C1581 — uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ochrona dokumentacji administratora i użytkownika | CMA_C1583 — ochrona dokumentacji administratora i użytkownika | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Zarządzanie zmianami
Id: ISO 27001:2013 A.12.1.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązywanie problemów z kodowaniem | CMA_0003 — rozwiązywanie problemów z kodowaniem | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie bezpiecznego programu programistycznego | CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Instalowanie systemu alarmowego | CMA_0338 — instalowanie systemu alarmów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
Zarządzanie pojemnością
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.12.1.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie planowania pojemności | CMA_C1252 — Przeprowadzanie planowania pojemności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie i monitorowanie działań przetwarzania inspekcji | CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji | Ręczne, wyłączone | 1.1.0 |
Separacja środowisk programistycznych, testowych i operacyjnych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.1.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu ochrony danych piI | CMA_C1839 — implementowanie kontrolek w celu ochrony danych piI | Ręczne, wyłączone | 1.1.0 |
| Uwzględnianie praktyk w zakresie zabezpieczeń i prywatności danych w przetwarzaniu badań | CMA_0331 — uwzględnianie praktyk w zakresie zabezpieczeń i prywatności danych w przetwarzaniu badań | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Kontrolki przed złośliwym oprogramowaniem
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie działań konserwacyjnych i naprawczych | CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie zaktualizowanego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1090 — zapewnianie zaktualizowanych szkoleń dotyczących świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Co tydzień przejrzyj stan ochrony przed zagrożeniami | CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie definicji oprogramowania antywirusowego | CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego | Ręczne, wyłączone | 1.1.0 |
Kopia zapasowa informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.12.3.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie odzyskiwania opartego na transakcji | CMA_C1296 — implementowanie odzyskiwania opartego na transakcji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie przeglądu dyspozycji | CMA_0391 — przeprowadzanie przeglądu dyspozycji | Ręczne, wyłączone | 1.1.0 |
| Planowanie ciągłości podstawowych funkcji biznesowych | CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Oddzielnie przechowuj informacje o kopii zapasowej | CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Transferowanie informacji o kopii zapasowej do alternatywnej lokacji magazynu | CMA_C1294 — przenoszenie informacji o kopii zapasowej do alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie, czy dane osobowe są usuwane na końcu przetwarzania | CMA_0540 — sprawdź, czy dane osobowe są usuwane na końcu przetwarzania | Ręczne, wyłączone | 1.1.0 |
Rejestrowanie zdarzeń
IDENTYFIKATOR: Własność ISO 27001:2013 A.12.4.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Personel alertów dotyczący rozlewu informacji | CMA_0007 — personel alertów dotyczący wycieku informacji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Autoryzowanie, monitorowanie i kontrolowanie voip | CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | CMA_0056 — przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie możliwości inspekcji platformy Azure | CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure | Ręczne, wyłączone | 1.1.1 |
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | CMA_C1702 — odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie podstawy prawnej przetwarzania danych osobowych | CMA_0206 — dokumentowanie podstawy prawnej przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie i przeprowadzanie inspekcji ograniczeń dostępu | CMA_C1203 — wymuszanie i inspekcja ograniczeń dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod żądań konsumentów | CMA_0319 — implementowanie metod żądań konsumentów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie aktywności konta | CMA_0377 — monitorowanie aktywności konta | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie opinii prawnej na temat monitorowania działań systemu | CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Podaj informacje dotyczące monitorowania zgodnie z potrzebami | CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Publikowanie procedur dostępu w sieciACH SORN | CMA_C1848 — publikowanie procedur dostępu w sieciACH SORN | Ręczne, wyłączone | 1.1.0 |
| Publikowanie reguł i przepisów dotyczących uzyskiwania dostępu do rekordów ustawy o ochronie prywatności | CMA_C1847 — publikowanie zasad i przepisów dotyczących uzyskiwania dostępu do rekordów ustawy o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 | CMA_C1106 — przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przejrzyj zmiany pod kątem wszelkich nieautoryzowanych zmian | CMA_C1204 — przejrzyj zmiany pod kątem wszelkich nieautoryzowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Ochrona informacji dzienników
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.4.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Definiowanie obowiązków podmiotów przetwarzających | CMA_0127 — definiowanie obowiązków podmiotów przetwarzających | Ręczne, wyłączone | 1.1.0 |
| Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie przeglądu dyspozycji | CMA_0391 — przeprowadzanie przeglądu dyspozycji | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
| Rejestrowanie ujawnienia danych osobowych osobom trzecim | CMA_0422 — rejestrowanie ujawnienia danych osobowych osobom trzecim | Ręczne, wyłączone | 1.1.0 |
| Szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | CMA_C1871 — szkolenie pracowników w zakresie udostępniania danych pii i jego konsekwencji | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie, czy dane osobowe są usuwane na końcu przetwarzania | CMA_0540 — sprawdź, czy dane osobowe są usuwane na końcu przetwarzania | Ręczne, wyłączone | 1.1.0 |
dzienniki Administracja istratora i operatora
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.12.4.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Autoryzowanie, monitorowanie i kontrolowanie voip | CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | CMA_0056 — przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
| Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Zarządzanie bramami | CMA_0363 — zarządzanie bramami | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie aktywności konta | CMA_0377 — monitorowanie aktywności konta | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie opinii prawnej na temat monitorowania działań systemu | CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
| Podaj informacje dotyczące monitorowania zgodnie z potrzebami | CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Synchronizacja zegara
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.12.4.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | Wersja zapoznawcza 2.0.1 |
| Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów | Przeprowadź inspekcję ustawienia diagnostycznego dla wybranych typów zasobów. Pamiętaj, aby wybrać tylko typy zasobów, które obsługują ustawienia diagnostyczne. | AuditIfNotExists | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Kompilowanie rekordów inspekcji do inspekcji w całym systemie | CMA_C1140 — kompilowanie rekordów inspekcji do inspekcji całego systemu | Ręczne, wyłączone | 1.1.0 |
| Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Zgłasza zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej, a agent nie jest zainstalowany. Lista obrazów systemu operacyjnego jest aktualizowana wraz z upływem czasu w miarę aktualizowania obsługi. | AuditIfNotExists, Disabled | 2.0.0 |
| Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane. | AuditIfNotExists, Disabled | 2.0.1 |
| Używanie zegarów systemowych dla rekordów inspekcji | CMA_0535 — używanie zegarów systemowych dla rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
Instalacja oprogramowania w systemach operacyjnych
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.12.5.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zgodnością dostawców usług w chmurze | CMA_0290 — zarządzanie zgodnością dostawców usług w chmurze | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
Zarządzanie lukami w zabezpieczeniach technicznych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.6.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka i rozpowszechnianie wyników | CMA_C1544 — przeprowadzanie oceny ryzyka i rozpowszechnianie wyników | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka i dokumentowanie wyników | CMA_C1542 — przeprowadzanie oceny ryzyka i dokumentowanie wyników | Ręczne, wyłączone | 1.1.0 |
| Uwzględnianie korygowania błędów w zarządzaniu konfiguracją | CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | CMA_C1149 — wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
| Aktualizacje systemu powinny być instalowane na maszynach | Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.0.0 |
| Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia | AuditIfNotExists, Disabled | 3.1.0 |
Ograniczenia dotyczące instalacji oprogramowania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.6.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zgodnością dostawców usług w chmurze | CMA_0290 — zarządzanie zgodnością dostawców usług w chmurze | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i konfigurowanie danych diagnostycznych systemu | CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu | Ręczne, wyłączone | 1.1.0 |
Kontrole inspekcji systemów informacyjnych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.12.7.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zatrudniaj niezależny zespół do testowania penetracyjnego | CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia komunikacji
Formanty sieciowe
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.13.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists, Disabled | 3.0.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie ochrony granic w celu izolowania systemów informacyjnych | CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | CMA_C1076 — ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | CMA_C1077 — ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Ręczne, wyłączone | 1.1.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona dostępu bezprzewodowego | CMA_0411 — ochrona dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie lub kończenie sesji użytkownika | CMA_0421 — ponowne uwierzytelnianie lub kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Oddzielne funkcje zarządzania użytkownikami i systemem informacyjnym | CMA_0493 — oddzielne funkcje zarządzania użytkownikami i systemem informacji | Ręczne, wyłączone | 1.1.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Używanie dedykowanych maszyn do zadań administracyjnych | CMA_0527 — używanie dedykowanych maszyn do zadań administracyjnych | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | CMA_0541 — weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia usług sieciowych
Id: ISO 27001:2013 A.13.1.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | CMA_0271 — ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymaganie umów zabezpieczających między połączeniami | CMA_C1151 — wymaganie wzajemnych umów dotyczących zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących zabezpieczeń połączeń między połączeniami | CMA_0519 — aktualizowanie umów dotyczących zabezpieczeń połączeń wzajemnych | Ręczne, wyłączone | 1.1.0 |
Segregacja sieci
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.13.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Stosowanie ochrony granic w celu izolowania systemów informacyjnych | CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń | CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Oddzielne funkcje zarządzania użytkownikami i systemem informacyjnym | CMA_0493 — oddzielne funkcje zarządzania użytkownikami i systemem informacji | Ręczne, wyłączone | 1.1.0 |
| Używanie dedykowanych maszyn do zadań administracyjnych | CMA_0527 — używanie dedykowanych maszyn do zadań administracyjnych | Ręczne, wyłączone | 1.1.0 |
Zasady i procedury transferu informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.13.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | CMA_C1076 — ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | CMA_C1077 — ustanawianie warunków i postanowień dotyczących przetwarzania zasobów | Ręczne, wyłączone | 1.1.0 |
| Jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej | CMA_C1649 — jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej | Ręczne, wyłączone | 1.1.1 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń | CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej | CMA_C1648 — uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona dostępu bezprzewodowego | CMA_0411 — ochrona dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Wymaganie umów zabezpieczających między połączeniami | CMA_C1151 — wymaganie wzajemnych umów dotyczących zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Aktualizowanie umów dotyczących zabezpieczeń połączeń między połączeniami | CMA_0519 — aktualizowanie umów dotyczących zabezpieczeń połączeń wzajemnych | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | CMA_0541 — weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Umowy dotyczące transferu informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.13.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie zewnętrznych dostawców usług | CMA_C1591 — identyfikowanie zewnętrznych dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymaganie umów zabezpieczających między połączeniami | CMA_C1151 — wymaganie wzajemnych umów dotyczących zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących zabezpieczeń połączeń między połączeniami | CMA_0519 — aktualizowanie umów dotyczących zabezpieczeń połączeń wzajemnych | Ręczne, wyłączone | 1.1.0 |
Obsługa wiadomości elektronicznych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.13.2.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
Umowy o zachowaniu poufności lub zachowaniu poufności
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.13.2.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad postępowania w organizacji | CMA_0159 — opracowywanie kodeksu postępowania organizacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie umów dotyczących dostępu organizacji | CMA_0192 — dokumentowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie | CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zakaz nieuczciwych praktyk | CMA_0396 — zakaz nieuczciwych praktyk | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od użytkowników podpisania umowy dotyczącej dostępu | CMA_0440 — wymaganie od użytkowników podpisania umowy dotyczącej dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i podpisywanie poprawionych reguł zachowania | CMA_0465 — przeglądanie i podpisywanie poprawionych reguł zachowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących dostępu organizacji | CMA_0520 — aktualizowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu | CMA_0521 — aktualizowanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | CMA_0522 — aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | Ręczne, wyłączone | 1.1.0 |
Pozyskiwanie, opracowywanie i konserwacja systemu
Analiza i specyfikacja wymagań dotyczących zabezpieczeń informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie koncepcji operacji (CONOPS) | CMA_0141 — opracowywanie koncepcji operacji (CONOPS) | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie zewnętrznych dostawców usług | CMA_C1591 — identyfikowanie zewnętrznych dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie architektury zabezpieczeń informacji | CMA_C1504 — przeglądanie i aktualizowanie architektury zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd procesu programowania, standardów i narzędzi | CMA_C1610 — przegląd procesu programowania, standardów i narzędzi | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie usług aplikacji w sieciach publicznych
Id: ISO 27001:2013 A.14.1.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń | CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
Ochrona transakcji usług aplikacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.14.1.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
| Stosowanie ochrony granic w celu izolowania systemów informacyjnych | CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń | CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych | Ręczne, wyłączone | 1.1.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Oddzielne funkcje zarządzania użytkownikami i systemem informacyjnym | CMA_0493 — oddzielne funkcje zarządzania użytkownikami i systemem informacji | Ręczne, wyłączone | 1.1.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
| Używanie dedykowanych maszyn do zadań administracyjnych | CMA_0527 — używanie dedykowanych maszyn do zadań administracyjnych | Ręczne, wyłączone | 1.1.0 |
Zasady bezpiecznego programowania
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów tworzenia architektury zabezpieczeń | CMA_C1612 — wymaganie od deweloperów tworzenia architektury zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | CMA_C1613 — wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | CMA_C1614 — wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przegląd procesu programowania, standardów i narzędzi | CMA_C1610 — przegląd procesu programowania, standardów i narzędzi | Ręczne, wyłączone | 1.1.0 |
Procedury sterowania zmianami systemu
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązywanie problemów z kodowaniem | CMA_0003 — rozwiązywanie problemów z kodowaniem | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie bezpiecznego programu programistycznego | CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Uwzględnianie korygowania błędów w zarządzaniu konfiguracją | CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
Przegląd techniczny aplikacji po zmianach platformy operacyjnej
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.2.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Uwzględnianie korygowania błędów w zarządzaniu konfiguracją | CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Ograniczenia dotyczące zmian w pakietach oprogramowania
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.2.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązywanie problemów z kodowaniem | CMA_0003 — rozwiązywanie problemów z kodowaniem | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie bezpiecznego programu programistycznego | CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie zasad inżynierii systemu
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.2.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie weryfikacji danych wejściowych informacji | CMA_C1723 — przeprowadzanie weryfikacji danych wejściowych informacji | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów tworzenia architektury zabezpieczeń | CMA_C1612 — wymaganie od deweloperów tworzenia architektury zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | CMA_C1613 — wymagaj od deweloperów opisania dokładnych funkcji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | CMA_C1614 — wymagaj od deweloperów zapewnienia ujednoliconego podejścia do ochrony zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przegląd procesu programowania, standardów i narzędzi | CMA_C1610 — przegląd procesu programowania, standardów i narzędzi | Ręczne, wyłączone | 1.1.0 |
Bezpieczne środowisko programistyczne
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.14.2.6 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
Programowanie z zewnątrz
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.14.2.7 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązywanie problemów z kodowaniem | CMA_0003 — rozwiązywanie problemów z kodowaniem | Ręczne, wyłączone | 1.1.0 |
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie bezpiecznego programu programistycznego | CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | CMA_C1602 — wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Testowanie zabezpieczeń systemu
IDENTYFIKATOR: Własność ISO 27001:2013 A.14.2.8 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | CMA_C1602 — wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Testowanie akceptacyjne systemu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.14.2.9 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie urzędnika autoryzowania (AO) | CMA_C1158 — przypisywanie urzędnika autoryzowania (AO) | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że zasoby są autoryzowane | CMA_C1159 — upewnij się, że zasoby są autoryzowane | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Ochrona danych testowych
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.14.3.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie przeglądu dyspozycji | CMA_0391 — przeprowadzanie przeglądu dyspozycji | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie skanowania luk w zabezpieczeniach | CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie, czy dane osobowe są usuwane na końcu przetwarzania | CMA_0540 — sprawdź, czy dane osobowe są usuwane na końcu przetwarzania | Ręczne, wyłączone | 1.1.0 |
Relacje dostawców
Zasady zabezpieczeń informacji dla relacji dostawców
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.15.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
Rozwiązywanie problemów z zabezpieczeniami w ramach umowy dostawcy
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.15.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad postępowania w organizacji | CMA_0159 — opracowywanie kodeksu postępowania organizacji | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie zewnętrznych dostawców usług | CMA_C1591 — identyfikowanie zewnętrznych dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Zakaz nieuczciwych praktyk | CMA_0396 — zakaz nieuczciwych praktyk | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i podpisywanie poprawionych reguł zachowania | CMA_0465 — przeglądanie i podpisywanie poprawionych reguł zachowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu | CMA_0521 — aktualizowanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | CMA_0522 — aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata | Ręczne, wyłączone | 1.1.0 |
Łańcuch dostaw technologii informacyjnych i komunikacyjnych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.15.1.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena ryzyka w relacjach innych firm | CMA_0014 — ocena ryzyka w relacjach innych firm | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących dostarczania towarów i usług | CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw | Ręczne, wyłączone | 1.1.0 |
Monitorowanie i przegląd usług dostawców
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.15.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zarządzanie zmianami w usługach dostawcy
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.15.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zarządzanie zdarzeniami zabezpieczeń informacji
Obowiązki i procedury
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.16.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa rekordów naruszeń danych | CMA_0351 — utrzymywanie rekordów naruszeń danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu reagowania na zdarzenia | CMA_0405 — ochrona planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
Raportowanie zdarzeń zabezpieczeń informacji
Id: ISO 27001:2013 A.16.1.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
Słabe punkty zabezpieczeń informacji raportowania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.16.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Operacje zabezpieczeń dokumentu | CMA_0202 — operacje zabezpieczeń dokumentu | Ręczne, wyłączone | 1.1.0 |
| Uwzględnianie korygowania błędów w zarządzaniu konfiguracją | CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Ocena i decyzja dotycząca zdarzeń zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.16.1.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Korelowanie rekordów inspekcji | CMA_0087 — korelowanie rekordów inspekcji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Integrowanie przeglądu inspekcji, analizy i raportowania | CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania | Ręczne, wyłączone | 1.1.0 |
| Integrowanie usługi Cloud App Security z rozwiązaniem siem | CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie przypisań administratorów co tydzień | CMA_0461 — cotygodniowe przeglądanie przypisań administratorów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie danych inspekcji | CMA_0466 — przeglądanie danych inspekcji | Ręczne, wyłączone | 1.1.0 |
| Przegląd raportu tożsamości w chmurze — omówienie | CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kontrolowanych zdarzeń dostępu do folderów | CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działania plików i folderów | CMA_0473 — przeglądanie działania plików i folderów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zmian w grupie ról co tydzień | CMA_0476 — przegląd zmian grupy ról co tydzień | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Reagowanie na zdarzenia zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.16.1.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Edukacja ze zdarzeń związanych z bezpieczeństwem informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.16.1.6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena zdarzeń zabezpieczeń informacji | CMA_0013 — ocena zdarzeń zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu reagowania na zdarzenia | CMA_0145 — opracowywanie planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | CMA_C1702 — odnajdywanie wszelkich wskaźników naruszenia zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Włączanie ochrony sieci | CMA_0238 — włączanie ochrony sieci | Ręczne, wyłączone | 1.1.0 |
| Eliminowanie zanieczyszczonych informacji | CMA_0253 - Eliminowanie zanieczyszczonych informacji | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie akcji w odpowiedzi na wycieki informacji | CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Obsługa planu reagowania na zdarzenia | CMA_0352 — obsługa planu reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy trendów na potrzeby zagrożeń | CMA_0389 — przeprowadzanie analizy trendów zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Wyświetlanie i badanie użytkowników z ograniczeniami | CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami | Ręczne, wyłączone | 1.1.0 |
Zbieranie dowodów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.16.1.7: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
| Określanie zdarzeń z możliwością inspekcji | CMA_0137 — określanie zdarzeń możliwych do inspekcji | Ręczne, wyłączone | 1.1.0 |
| Implementowanie obsługi zdarzeń | CMA_0318 — implementowanie obsługi zdarzeń | Ręczne, wyłączone | 1.1.0 |
| Zgłaszanie nietypowego zachowania kont użytkowników | CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Aspekty zabezpieczeń informacji związane z zarządzaniem ciągłością działania
Planowanie ciągłości zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.17.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przekazywanie zmian w planie awaryjnym | CMA_C1249 — przekazywanie zmian planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu awaryjnego | CMA_C1244 — opracowywanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur planowania awaryjnego | CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Dystrybuowanie zasad i procedur | CMA_0185 — dystrybuowanie zasad i procedur | Ręczne, wyłączone | 1.1.0 |
| Planowanie wznowienia podstawowych funkcji biznesowych | CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Wznawianie wszystkich funkcji służbowych i biznesowych | CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd planu awaryjnego | CMA_C1247 — przegląd planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu awaryjnego | CMA_C1248 — aktualizowanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
Implementowanie ciągłości zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.17.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przekazywanie zmian w planie awaryjnym | CMA_C1249 — przekazywanie zmian planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu awaryjnego | CMA_C1244 — opracowywanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej | CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dla dostawców usług internetowych | CMA_0278 — określanie wymagań dla dostawców usług internetowych | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie odzyskiwania opartego na transakcji | CMA_C1296 — implementowanie odzyskiwania opartego na transakcji | Ręczne, wyłączone | 1.1.0 |
| Planowanie ciągłości podstawowych funkcji biznesowych | CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Planowanie wznowienia podstawowych funkcji biznesowych | CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Odzyskiwanie i ponowne zastępowanie zasobów po wystąpieniu zakłóceń | CMA_C1295 — odzyskiwanie i ponowne odtworzenie zasobów po wystąpieniu zakłóceń | Ręczne, wyłączone | 1.1.1 |
| Wznawianie wszystkich funkcji służbowych i biznesowych | CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych | Ręczne, wyłączone | 1.1.0 |
Weryfikowanie, przeglądanie i ocena ciągłości zabezpieczeń informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.17.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | CMA_C1263 — inicjowanie działań naprawczych dotyczących testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd wyników testowania planu awaryjnego | CMA_C1262 — przegląd wyników testowania planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Testowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0509 — testowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
Dostępność obiektów przetwarzania informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.17.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przekazywanie zmian w planie awaryjnym | CMA_C1249 — przekazywanie zmian planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu awaryjnego | CMA_C1244 — opracowywanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur planowania awaryjnego | CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Dystrybuowanie zasad i procedur | CMA_0185 — dystrybuowanie zasad i procedur | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej | CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie alternatywnej lokacji przetwarzania | CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu | Ręczne, wyłączone | 1.1.0 |
| Planowanie ciągłości podstawowych funkcji biznesowych | CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Planowanie wznowienia podstawowych funkcji biznesowych | CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Wznawianie wszystkich funkcji służbowych i biznesowych | CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych | Ręczne, wyłączone | 1.1.0 |
| Przegląd planu awaryjnego | CMA_C1247 — przegląd planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu awaryjnego | CMA_C1248 — aktualizowanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
Zgodność
Identyfikacja odpowiednich przepisów i wymogów umownych
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.18.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu programu zabezpieczeń informacji | CMA_C1732 — ochrona planu programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Prawa własności intelektualnej.
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.18.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymaganie zgodności z prawami własności intelektualnej | CMA_0432 — wymaganie zgodności z prawami własności intelektualnej | Ręczne, wyłączone | 1.1.0 |
| Śledzenie użycia licencji na oprogramowanie | CMA_C1235 — śledzenie użycia licencji na oprogramowanie | Ręczne, wyłączone | 1.1.0 |
Ochrona rekordów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.18.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Włączanie autoryzacji podwójnej lub wspólnej | CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | CMA_C1662 — upewnij się, że system informacji kończy się niepowodzeniem w znanym stanie | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad i procedur tworzenia kopii zapasowych | CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie odzyskiwania opartego na transakcji | CMA_C1296 — implementowanie odzyskiwania opartego na transakcji | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji inspekcji | CMA_0401 — ochrona informacji inspekcji | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Prywatność i ochrona danych osobowych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.18.1.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie działaniami dotyczącymi zgodności | CMA_0358 — zarządzanie działaniami dotyczącymi zgodności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Regulacje mechanizmów kontroli kryptograficznych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.18.1.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Uwierzytelnianie w module kryptograficznym | CMA_0021 — uwierzytelnianie w module kryptograficznym | Ręczne, wyłączone | 1.1.0 |
| Definiowanie użycia kryptograficznego | CMA_0120 — definiowanie użycia kryptograficznego | Ręczne, wyłączone | 1.1.0 |
Niezależny przegląd zabezpieczeń informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.18.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zatrudniaj niezależny zespół do testowania penetracyjnego | CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Zgodność z zasadami zabezpieczeń i standardami
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.18.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu programu zabezpieczeń informacji | CMA_C1732 — ochrona planu programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Przegląd zgodności technicznej
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.18.2.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zatrudniaj niezależny zespół do testowania penetracyjnego | CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego | Ręczne, wyłączone | 1.1.0 |
| Tworzenie raportu oceny zabezpieczeń | CMA_C1146 — tworzenie raportu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zasady zabezpieczeń informacji
Zasady dotyczące zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.5.1.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących prywatności dla wykonawców i dostawców usług | CMA_C1810 — określanie wymagań dotyczących prywatności dla wykonawców i dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie działaniami dotyczącymi zgodności | CMA_0358 — zarządzanie działaniami dotyczącymi zgodności | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu programu zabezpieczeń informacji | CMA_C1732 — ochrona planu programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Przegląd zasad dotyczących zabezpieczeń informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.5.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu programu zabezpieczeń informacji | CMA_C1732 — ochrona planu programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Organizacja zabezpieczeń informacji
Role i obowiązki związane z zabezpieczeniami informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.1.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Przekazywanie zmian w planie awaryjnym | CMA_C1249 — przekazywanie zmian planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Koordynowanie planów awaryjnych z powiązanymi planami | CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami | Ręczne, wyłączone | 1.1.0 |
| Tworzenie ochrony planu konfiguracji | CMA_C1233 — tworzenie ochrony planu konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Wyznaczanie osób do spełnienia określonych ról i obowiązków | CMA_C1747 — wyznaczanie osób w celu spełnienia określonych ról i obowiązków | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i obsługa konfiguracji punktów odniesienia | CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu identyfikacji elementu konfiguracji | CMA_C1231 — opracowywanie planu identyfikacji elementu konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu zarządzania konfiguracją | CMA_C1232 — opracowywanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu awaryjnego | CMA_C1244 — opracowywanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur planowania awaryjnego | CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dystrybuowanie zasad i procedur | CMA_0185 — dystrybuowanie zasad i procedur | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie i implementowanie procedur skarg dotyczących prywatności | CMA_0189 — dokumentowanie i wdrażanie procedur skarg dotyczących prywatności | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1531 — dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że informacje o programie ochrony prywatności są publicznie dostępne | CMA_C1867 — upewnij się, że informacje o programie prywatności są publicznie dostępne | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie planu zarządzania konfiguracją | CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie stanem zabezpieczeń systemów informacyjnych | CMA_C1746 — zarządzanie stanem zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie zgodności dostawcy innej firmy | CMA_C1533 — monitorowanie zgodności dostawcy innej firmy | Ręczne, wyłączone | 1.1.0 |
| Planowanie wznowienia podstawowych funkcji biznesowych | CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych | Ręczne, wyłączone | 1.1.0 |
| Ochrona planu programu zabezpieczeń informacji | CMA_C1732 — ochrona planu programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | CMA_C1532 — wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu | CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Wznawianie wszystkich funkcji służbowych i biznesowych | CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Przegląd planu awaryjnego | CMA_C1247 — przegląd planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu awaryjnego | CMA_C1248 — aktualizowanie planu awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Podział obowiązków
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków | CMA_0116 — definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków | Ręczne, wyłączone | 1.1.0 |
| Dokument rozdzielania obowiązków | CMA_0204 — dokument rozdzielania obowiązków | Ręczne, wyłączone | 1.1.0 |
| Oddzielne obowiązki osób fizycznych | CMA_0492 - Oddzielne obowiązki osób fizycznych | Ręczne, wyłączone | 1.1.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Kontakt z władzami
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontaktami dla władz i grup specjalnych interesów | CMA_0359 — zarządzanie kontaktami dla władz i grup specjalnych interesów | Ręczne, wyłączone | 1.1.0 |
Kontakt z specjalnymi grupami zainteresowań
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.1.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozpowszechnianie alertów zabezpieczeń dla personelu | CMA_C1705 — rozpowszechnianie alertów zabezpieczeń dla personelu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu analizy zagrożeń | CMA_0260 — ustanawianie programu analizy zagrożeń | Ręczne, wyłączone | 1.1.0 |
| Generowanie wewnętrznych alertów zabezpieczeń | CMA_C1704 — generowanie wewnętrznych alertów zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie dyrektyw zabezpieczeń | CMA_C1706 — implementowanie dyrektyw zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontaktami dla władz i grup specjalnych interesów | CMA_0359 — zarządzanie kontaktami dla władz i grup specjalnych interesów | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia informacji w zarządzaniu projektami
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.1.5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji | CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji | Ręczne, wyłączone | 1.1.0 |
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie osób z rolami i obowiązkami zabezpieczeń | CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń | Ręczne, wyłączone | 1.1.1 |
| Integrowanie procesu zarządzania ryzykiem z pakietem SDLC | CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Przegląd procesu programowania, standardów i narzędzi | CMA_C1610 — przegląd procesu programowania, standardów i narzędzi | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Zasady urządzeń przenośnych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.6.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących urządzeń przenośnych | CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona dostępu bezprzewodowego | CMA_0411 — ochrona dostępu bezprzewodowego | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Telepracy
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.6.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu zdalnego | CMA_0024 — autoryzowanie dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Szkolenie mobilności dokumentów | CMA_0191 — szkolenie mobilności dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wytycznych dotyczących dostępu zdalnego | CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie urządzeń sieciowych | CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie użytkowników o logowaniu lub dostępie systemu | CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Zabezpieczenia zasobów ludzkich
Przesiewowych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.7.1.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyczyść personel z dostępem do informacji niejawnych | CMA_0054 — wyczyść personel z dostępem do informacji niejawnych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontroli personelu | CMA_0322 — wdrażanie badań przesiewowych personelu | Ręczne, wyłączone | 1.1.0 |
| Ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością | CMA_C1512 — ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością | Ręczne, wyłączone | 1.1.0 |
Warunki zatrudnienia
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.7.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zabezpieczeń | CMA_0161 — opracowywanie zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie umów dotyczących dostępu organizacji | CMA_0192 — dokumentowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie | CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że informacje o programie ochrony prywatności są publicznie dostępne | CMA_C1867 — upewnij się, że informacje o programie prywatności są publicznie dostępne | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Implementowanie metod dostarczania powiadomień o ochronie prywatności | CMA_0324 — implementowanie metod dostarczania powiadomień o ochronie prywatności | Ręczne, wyłączone | 1.1.0 |
| Uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | CMA_0385 — uzyskiwanie zgody przed gromadzeniem lub przetwarzaniem danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Podaj powiadomienie o ochronie prywatności | CMA_0414 — zapewnianie zachowania poufności informacji | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od użytkowników podpisania umowy dotyczącej dostępu | CMA_0440 — wymaganie od użytkowników podpisania umowy dotyczącej dostępu | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących dostępu organizacji | CMA_0520 — aktualizowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
Czynności związane z zarządzaniem
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.7.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie i dokumentowanie nadzoru rządu | CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie umów dotyczących dostępu organizacji | CMA_0192 — dokumentowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1531 — dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie | CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie zgodności dostawcy innej firmy | CMA_C1533 — monitorowanie zgodności dostawcy innej firmy | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | CMA_C1532 — wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu | CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od użytkowników podpisania umowy dotyczącej dostępu | CMA_0440 — wymaganie od użytkowników podpisania umowy dotyczącej dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami | CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie umów dotyczących dostępu organizacji | CMA_0520 — aktualizowanie umów dotyczących dostępu organizacji | Ręczne, wyłączone | 1.1.0 |
Świadomość bezpieczeństwa informacji, edukacja i szkolenia
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.7.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Stosowanie zautomatyzowanego środowiska szkoleniowego | CMA_C1357 — stosowanie zautomatyzowanego środowiska szkoleniowego | Ręczne, wyłączone | 1.1.0 |
| Ustanów program rozwoju i ulepszania pracowników ds. bezpieczeństwa informacji | CMA_C1752 — ustanowienie programu rozwoju i ulepszania pracowników ds. zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie ukończenia trenowania zabezpieczeń i prywatności | CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia awaryjnego | CMA_0412 — zapewnianie szkolenia awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia rozlewu informacji | CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie trenowania zabezpieczeń opartego na rolach | CMA_C1094 — zapewnianie trenowania zabezpieczeń opartego na rolach | Ręczne, wyłączone | 1.1.0 |
| Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie zaktualizowanego szkolenia w zakresie świadomości zabezpieczeń | CMA_C1090 — zapewnianie zaktualizowanych szkoleń dotyczących świadomości zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie rekordów treningowych | CMA_0456 — zachowywanie rekordów treningowych | Ręczne, wyłączone | 1.1.0 |
| Szkolenie personelu w sprawie ujawnienia informacji niepublicowych | CMA_C1084 — szkolenie personelu w zakresie ujawniania informacji niepublicowych | Ręczne, wyłączone | 1.1.0 |
Proces dyscyplinarny
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.7.2.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wdrażanie formalnego procesu sankcji | CMA_0317 — wdrażanie formalnego procesu sankcji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie personelu o sankcjach | CMA_0380 — powiadamianie personelu o sankcjach | Ręczne, wyłączone | 1.1.0 |
Zakończenie pracy lub zmiana obowiązków
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.7.3.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | CMA_0058 — Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Inicjowanie akcji przeniesienia lub ponownego przypisania | CMA_0333 — inicjowanie akcji przeniesienia lub ponownego przypisania | Ręczne, wyłączone | 1.1.0 |
| Modyfikowanie autoryzacji dostępu po przeniesieniu personelu | CMA_0374 — modyfikowanie autoryzacji dostępu podczas przenoszenia personelu | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie po zakończeniu lub przeniesieniu | CMA_0381 — powiadom po zakończeniu lub przeniesieniu | Ręczne, wyłączone | 1.1.0 |
| Ochrona przed kradzieżą danych i zapobieganie odejściu pracowników | CMA_0398 — ochrona przed kradzieżą danych i zapobieganie kradzieży danych od pracowników | Ręczne, wyłączone | 1.1.0 |
| Przeszacuj dostęp po przeniesieniu personelu | CMA_0424 — przeszacuj dostęp po przeniesieniu personelu | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Zarządzanie zasobami
Spis zasobów
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.8.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Obsługa rejestrów przetwarzania danych osobowych | CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
Własność zasobów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Tworzenie spisu danych | CMA_0096 — tworzenie spisu danych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i utrzymywanie spisu zasobów | CMA_0266 — ustanawianie i utrzymywanie spisu zasobów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Obsługa rejestrów przetwarzania danych osobowych | CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie użycia multimediów | CMA_0450 — ograniczanie użycia multimediów | Ręczne, wyłączone | 1.1.0 |
Dopuszczalne wykorzystanie zasobów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.1.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
Zwracanie zasobów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.1.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | CMA_0058 — Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Inicjowanie akcji przeniesienia lub ponownego przypisania | CMA_0333 — inicjowanie akcji przeniesienia lub ponownego przypisania | Ręczne, wyłączone | 1.1.0 |
| Modyfikowanie autoryzacji dostępu po przeniesieniu personelu | CMA_0374 — modyfikowanie autoryzacji dostępu podczas przenoszenia personelu | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie po zakończeniu lub przeniesieniu | CMA_0381 — powiadom po zakończeniu lub przeniesieniu | Ręczne, wyłączone | 1.1.0 |
| Ochrona przed kradzieżą danych i zapobieganie odejściu pracowników | CMA_0398 — ochrona przed kradzieżą danych i zapobieganie kradzieży danych od pracowników | Ręczne, wyłączone | 1.1.0 |
| Przeszacuj dostęp po przeniesieniu personelu | CMA_0424 — przeszacuj dostęp po przeniesieniu personelu | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Klasyfikacja informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.8.2.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kategoryzowanie informacji | CMA_0052 — kategoryzowanie informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie schematów klasyfikacji biznesowej | CMA_0155 — opracowywanie schematów klasyfikacji biznesowej | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona | CMA_C1540 — upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 4.1.0 |
Etykietowanie informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.8.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Obsługa zasobów
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.2.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych | Ręczne, wyłączone | 1.1.0 |
| Przepływ informacji sterujących | CMA_0079 — przepływ informacji sterujących | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie dostępu fizycznego | CMA_0081 — kontrolowanie dostępu fizycznego | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Definiowanie wymagań dotyczących zarządzania zasobami | CMA_0125 — definiowanie wymagań dotyczących zarządzania zasobami | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedury zarządzania wyciekami danych | CMA_0255 — ustanawianie procedury zarządzania wyciekami danych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie standardów konfiguracji zapory i routera | CMA_0272 — ustanawianie standardów konfiguracji zapory i routera | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty | CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie usługi nazw/adresów odpornych na błędy | CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych | Ręczne, wyłączone | 1.1.0 |
| Ochrona danych przesyłanych przy użyciu szyfrowania | CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Ochrona informacji specjalnych | CMA_0409 — ochrona informacji specjalnych | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów | CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie użycia multimediów | CMA_0450 — ograniczanie użycia multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie działań i analiz etykiet | CMA_0474 — przeglądanie działań i analiz etykiet | Ręczne, wyłączone | 1.1.0 |
Zarządzanie nośnikami wymiennymi
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.3.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB | Ręczne, wyłączone | 1.1.0 |
| Kontrolowanie użycia przenośnych urządzeń magazynujących | CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących | Ręczne, wyłączone | 1.1.0 |
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie użycia multimediów | CMA_0450 — ograniczanie użycia multimediów | Ręczne, wyłączone | 1.1.0 |
Usuwanie mediów
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.8.3.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Stosowanie mechanizmu oczyszczania multimediów | CMA_0208 — stosowanie mechanizmu oczyszczania multimediów | Ręczne, wyłączone | 1.1.0 |
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
Transfer multimediów fizycznych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.8.3.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie transportem zasobów | CMA_0370 — zarządzanie transportem zasobów | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu
Zasady kontroli dostępu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.1.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
Dostęp do sieci i usług sieciowych
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.1.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | AuditIfNotExists, Disabled | 1.4.0 |
| Inspekcja maszyn z systemem Linux z kontami bez haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł | AuditIfNotExists, Disabled | 1.4.0 |
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Włączanie wykrywania urządzeń sieciowych | CMA_0220 — włączanie wykrywania urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | CMA_0271 — ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie akcji dozwolonych bez uwierzytelniania | CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Rejestracja i anulowanie rejestracji użytkownika
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.2.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Przypisywanie identyfikatorów systemowych | CMA_0018 — przypisywanie identyfikatorów systemu | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Włączanie wykrywania urządzeń sieciowych | CMA_0220 — włączanie wykrywania urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie akcji dozwolonych bez uwierzytelniania | CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie | CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie wystawcami uwierzytelnień | CMA_C1321 — zarządzanie wystawcami uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Zapobiegaj ponownemu używaniu identyfikatora dla zdefiniowanego okresu | CMA_C1314 — zapobieganie ponownemu używaniu identyfikatora przez zdefiniowany okres | Ręczne, wyłączone | 1.1.0 |
| Odświeżanie wystawców uwierzytelnienia | CMA_0425 — odświeżanie wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Aprowizowanie dostępu użytkowników
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.2.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym | CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Zarządzanie uprzywilejowanym prawami dostępu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.2.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja funkcji uprzywilejowanych | CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym | CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie przypisywania ról uprzywilejowanych | CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Korzystanie z usługi Privileged Identity Management | CMA_0533 — używanie usługi Privileged Identity Management | Ręczne, wyłączone | 1.1.0 |
Zarządzanie informacjami o uwierzytelnianiu tajnym użytkowników
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.2.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | AuditIfNotExists, Disabled | 1.4.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie | CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie wystawcami uwierzytelnień | CMA_C1321 — zarządzanie wystawcami uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Odświeżanie wystawców uwierzytelnienia | CMA_0425 — odświeżanie wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Przegląd praw dostępu użytkowników
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.2.5: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami | CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie uprawnień użytkownika | CMA_C1039 — przeglądanie uprawnień użytkownika | Ręczne, wyłączone | 1.1.0 |
Usunięcie lub dostosowanie praw dostępu
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.2.6: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przypisywanie menedżerów kont | CMA_0015 — przypisywanie menedżerów kont | Ręczne, wyłączone | 1.1.0 |
| Inspekcja stanu konta użytkownika | CMA_0020 — inspekcja stanu konta użytkownika | Ręczne, wyłączone | 1.1.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Definiowanie typów kont systemu informacyjnego | CMA_0121 — definiowanie typów kont systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Uprawnienia dostępu do dokumentów | CMA_0186 — uprawnienia dostępu do dokumentu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie warunków członkostwa w rolach | CMA_0269 — ustanawianie warunków członkostwa w rolach | Ręczne, wyłączone | 1.1.0 |
| Inicjowanie akcji przeniesienia lub ponownego przypisania | CMA_0333 — inicjowanie akcji przeniesienia lub ponownego przypisania | Ręczne, wyłączone | 1.1.0 |
| Modyfikowanie autoryzacji dostępu po przeniesieniu personelu | CMA_0374 — modyfikowanie autoryzacji dostępu podczas przenoszenia personelu | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie po zakończeniu lub przeniesieniu | CMA_0381 — powiadom po zakończeniu lub przeniesieniu | Ręczne, wyłączone | 1.1.0 |
| Przeszacuj dostęp po przeniesieniu personelu | CMA_0424 — przeszacuj dostęp po przeniesieniu personelu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie dzienników aprowizacji kont | CMA_0460 — przeglądanie dzienników aprowizacji kont | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i ponowne ocenianie uprawnień | CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie kont użytkowników | CMA_0480 — przeglądanie kont użytkowników | Ręczne, wyłączone | 1.1.0 |
Korzystanie z informacji o uwierzytelnianiu tajnym
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.3.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie | CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie wystawcami uwierzytelnień | CMA_C1321 — zarządzanie wystawcami uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Odświeżanie wystawców uwierzytelnienia | CMA_0425 — odświeżanie wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Kończenie poświadczeń konta kontrolowanego przez klienta | CMA_C1022 — kończenie poświadczeń konta kontrolowanego przez klienta | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Ograniczenie dostępu do informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.4.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie zarządzania kontami | CMA_0026 — automatyzowanie zarządzania kontami | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym | CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie kontami systemowymi i administracyjnymi | CMA_0368 — zarządzanie kontami systemu i administratorów | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie dostępu w całej organizacji | CMA_0376 — monitorowanie dostępu w całej organizacji | Ręczne, wyłączone | 1.1.0 |
| Powiadamianie, gdy konto nie jest potrzebne | CMA_0383 — powiadom, gdy konto nie jest potrzebne | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Zabezpieczanie procedur logowania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 A.9.4.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Wdrażanie mechanizmów uwierzytelniania biometrycznego | CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego | Ręczne, wyłączone | 1.1.0 |
| Włączanie wykrywania urządzeń sieciowych | CMA_0220 — włączanie wykrywania urządzeń sieciowych | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie limitu kolejnych nieudanych prób logowania | CMA_C1044 — wymuszanie limitu kolejnych nieudanych prób logowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie unikatowości użytkownika | CMA_0250 — wymuszanie unikatowości użytkownika | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | CMA_0271 — ustanawianie wymagań dotyczących podpisu elektronicznego i certyfikatu | Ręczne, wyłączone | 1.1.0 |
| Generowanie komunikatów o błędach | CMA_C1724 — generowanie komunikatów o błędach | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie akcji dozwolonych bez uwierzytelniania | CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi | Ręczne, wyłączone | 1.1.0 |
| Niejasne informacje zwrotne podczas procesu uwierzytelniania | CMA_C1344 — niejasne informacje zwrotne podczas procesu uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Ujawnianie komunikatów o błędach | CMA_C1725 — wyświetlanie komunikatów o błędach | Ręczne, wyłączone | 1.1.0 |
| Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci | CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci | Ręczne, wyłączone | 1.1.0 |
| Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji | Ręczne, wyłączone | 1.1.0 |
| Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne | Ręczne, wyłączone | 1.1.0 |
| Automatyczne kończenie sesji użytkownika | CMA_C1054 — automatyczne kończenie sesji użytkownika | Ręczne, wyłączone | 1.1.0 |
System zarządzania hasłami
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.4.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | Modyfikowanie | 1.3.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień | AuditIfNotExists, Disabled | 1.1.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | AuditIfNotExists, Disabled | 1.0.0 |
| Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków | AuditIfNotExists, Disabled | 1.1.0 |
| Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Wyłączanie wystawców uwierzytelnień po zakończeniu | CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie zasad haseł | CMA_0256 — ustanawianie zasad haseł | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie typów i procesów wystawców uwierzytelnianych | CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych | CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania | CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych | Ręczne, wyłączone | 1.1.0 |
| Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia | CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie | CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie wystawcami uwierzytelnień | CMA_C1321 — zarządzanie wystawcami uwierzytelnień | Ręczne, wyłączone | 1.1.0 |
| Ochrona haseł za pomocą szyfrowania | CMA_0408 — ochrona haseł za pomocą szyfrowania | Ręczne, wyłączone | 1.1.0 |
| Odświeżanie wystawców uwierzytelnienia | CMA_0425 — odświeżanie wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
| Ponowne uwierzytelnianie dla zmienionych grup i kont | CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont | Ręczne, wyłączone | 1.1.0 |
| Odwoływanie ról uprzywilejowanych zgodnie z potrzebami | CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami | Ręczne, wyłączone | 1.1.0 |
| Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia | Ręczne, wyłączone | 1.1.0 |
Korzystanie z uprzywilejowanych programów narzędziowych
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.4.4 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Ograniczanie dostępu do uprzywilejowanych kont | CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Kontrola dostępu do kodu źródłowego programu
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 A.9.4.5 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Autoryzowanie dostępu do funkcji zabezpieczeń i informacji | CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji | Ręczne, wyłączone | 1.1.0 |
| Autoryzowanie dostępu i zarządzanie nim | CMA_0023 — autoryzowanie dostępu i zarządzanie nim | Ręczne, wyłączone | 1.1.0 |
| Projektowanie modelu kontroli dostępu | CMA_0129 — projektowanie modelu kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Stosowanie dostępu z najniższymi uprawnieniami | CMA_0212 — stosowanie dostępu do najniższych uprawnień | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie dostępu logicznego | CMA_0245 — wymuszanie dostępu logicznego | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym | CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym | Ręczne, wyłączone | 1.1.0 |
| Wymagaj zatwierdzenia do utworzenia konta | CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych | Ręczne, wyłączone | 1.1.0 |
Poprawy
Działanie niezgodne i naprawcze
Identyfikator: ISO 27001:2013 C.10.1.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Działanie niezgodne i naprawcze
Identyfikator: ISO 27001:2013 C.10.1.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Działanie niezgodne i naprawcze
Id: ISO 27001:2013 C.10.1.f Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Działanie niezgodne i naprawcze
Id: ISO 27001:2013 C.10.1.g Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Kontekst organizacji
Określanie zakresu systemu zarządzania zabezpieczeniami informacji
IDENTYFIKATOR: ISO 27001:2013 C.4.3.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Określanie zakresu systemu zarządzania zabezpieczeniami informacji
Identyfikator: ISO 27001:2013 C.4.3.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Określanie zakresu systemu zarządzania zabezpieczeniami informacji
Identyfikator: ISO 27001:2013 C.4.3.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Określanie zobowiązań dotyczących umowy dostawcy | CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
| Kryteria akceptacji kontraktu pozyskiwania dokumentów | CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów | Ręczne, wyłączone | 1.1.0 |
| Dokument ochrony danych osobowych w umowach nabycia | CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania | CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania | CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia | CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia | CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm | Ręczne, wyłączone | 1.1.0 |
| Stosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | CMA_C1735 — zastosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że żądania dotyczące planowania kapitału i inwestycji obejmują niezbędne zasoby | CMA_C1734 — zapewnienie, że planowanie kapitału i żądania inwestycji obejmują niezbędne zasoby | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących prywatności dla wykonawców i dostawców usług | CMA_C1810 — określanie wymagań dotyczących prywatności dla wykonawców i dostawców usług | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
System zarządzania zabezpieczeniami informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.4.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Przywództwo
Przywództwo i zaangażowanie
Identyfikator: ISO 27001:2013 C.5.1.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Id: ISO 27001:2013 C.5.1.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Identyfikator: ISO 27001:2013 C.5.1.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji | CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji | Ręczne, wyłączone | 1.1.0 |
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Stosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | CMA_C1735 — zastosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że żądania dotyczące planowania kapitału i inwestycji obejmują niezbędne zasoby | CMA_C1734 — zapewnienie, że planowanie kapitału i żądania inwestycji obejmują niezbędne zasoby | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że informacje o programie ochrony prywatności są publicznie dostępne | CMA_C1867 — upewnij się, że informacje o programie prywatności są publicznie dostępne | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Identyfikator: ISO 27001:2013 C.5.1.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Identyfikator: ISO 27001:2013 C.5.1.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Id: ISO 27001:2013 C.5.1.f Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji | CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji | Ręczne, wyłączone | 1.1.0 |
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Stosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | CMA_C1735 — zastosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że żądania dotyczące planowania kapitału i inwestycji obejmują niezbędne zasoby | CMA_C1734 — zapewnienie, że planowanie kapitału i żądania inwestycji obejmują niezbędne zasoby | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu ochrony prywatności | CMA_0257 — ustanawianie programu ochrony prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Id: ISO 27001:2013 C.5.1.g Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Przywództwo i zaangażowanie
Identyfikator: ISO 27001:2013 C.5.1.h Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczanie starszego oficera ds. bezpieczeństwa informacji | CMA_C1733 - Wyznaczanie starszego oficera bezpieczeństwa informacji | Ręczne, wyłączone | 1.1.0 |
Zasady
Identyfikator: ISO 27001:2013 C.5.2.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Id: ISO 27001:2013 C.5.2.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Id: ISO 27001:2013 C.5.2.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Identyfikator: ISO 27001:2013 C.5.2.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur kontroli dostępu | CMA_0457 — przegląd zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją | CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur planowania awaryjnego | CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur integralności informacji | CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu | CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji | CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji | Ręczne, wyłączone | 1.1.0 |
| Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu | CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu | Ręczne, wyłączone | 1.1.0 |
| Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji | CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Identyfikator: ISO 27001:2013 C.5.2.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Id: ISO 27001:2013 C.5.2.f Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie zasad i procedur kontroli dostępu | CMA_0144 — opracowywanie zasad i procedur kontroli dostępu | Ręczne, wyłączone | 1.1.0 |
| Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie zasadami i procedurami | CMA_0292 — zarządzanie zasadami i procedurami | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Zasady
Id: ISO 27001:2013 C.5.2.g Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aktualizowanie planu ochrony prywatności, zasad i procedur | CMA_C1807 — aktualizowanie planu prywatności, zasad i procedur | Ręczne, wyłączone | 1.1.0 |
Role, obowiązki i władze organizacyjne
Id: ISO 27001:2013 C.5.3.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Planowanie
Ogólne
Identyfikator: ISO 27001:2013 C.6.1.1.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ogólne
Id: ISO 27001:2013 C.6.1.1.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ogólne
Id: ISO 27001:2013 C.6.1.1.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ogólne
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.6.1.1.d : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ogólne
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.6.1.1.e.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ogólne
Id: ISO 27001:2013 C.6.1.1.e.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.a.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.a.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie strategii zarządzania ryzykiem | CMA_0258 — ustanawianie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Id: ISO 27001:2013 C.6.1.2.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.c.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.c.2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.d.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.d.2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.2.d.3: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: ISO 27001:2013 C.6.1.2.e.1 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: ISO 27001:2013 C.6.1.2.e.2 Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Implementowanie strategii zarządzania ryzykiem | CMA_C1744 — implementowanie strategii zarządzania ryzykiem | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Identyfikator: ISO 27001:2013 C.6.1.3.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Id: ISO 27001:2013 C.6.1.3.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Id: ISO 27001:2013 C.6.1.3.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.3.d : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Identyfikator: ISO 27001:2013 C.6.1.3.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.6.1.3.f : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
Cele zabezpieczeń informacji i planowanie ich osiągnięcia
Identyfikator: ISO 27001:2013 C.6.2.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Pomoc techniczna
Zasoby
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.7.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dopasowywanie celów biznesowych i celów IT | CMA_0008 — dostosowywanie celów biznesowych i celów IT | Ręczne, wyłączone | 1.1.0 |
| Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji | CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji | Ręczne, wyłączone | 1.1.0 |
| Stosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | CMA_C1735 — zastosowanie przypadku biznesowego w celu zarejestrowania wymaganych zasobów | Ręczne, wyłączone | 1.1.0 |
| Upewnij się, że żądania dotyczące planowania kapitału i inwestycji obejmują niezbędne zasoby | CMA_C1734 — zapewnienie, że planowanie kapitału i żądania inwestycji obejmują niezbędne zasoby | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania | Ręczne, wyłączone | 1.1.0 |
| Zarządzanie alokacją zasobów | CMA_0293 — zarządzanie alokacją zasobów | Ręczne, wyłączone | 1.1.0 |
| Bezpieczne zaangażowanie ze strony kierownictwa | CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa | Ręczne, wyłączone | 1.1.0 |
Kompetencje
Identyfikator: ISO 27001:2013 C.7.2.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności | CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel | Ręczne, wyłączone | 1.1.0 |
| Monitorowanie ukończenia trenowania zabezpieczeń i prywatności | CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Kompetencje
Id: ISO 27001:2013 C.7.2.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Monitorowanie ukończenia trenowania zabezpieczeń i prywatności | CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
Kompetencje
Id: ISO 27001:2013 C.7.2.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Monitorowanie ukończenia trenowania zabezpieczeń i prywatności | CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności | Ręczne, wyłączone | 1.1.0 |
Kompetencje
Id: ISO 27001:2013 C.7.2.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zachowywanie rekordów treningowych | CMA_0456 — zachowywanie rekordów treningowych | Ręczne, wyłączone | 1.1.0 |
Świadomość
Identyfikator: ISO 27001:2013 C.7.3.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Świadomość
Id: ISO 27001:2013 C.7.3.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Świadomość
Identyfikator: ISO 27001:2013 C.7.3.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie akceptowalnych zasad i procedur użytkowania | CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie reguł zachowania i umów dotyczących dostępu | CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu | Ręczne, wyłączone | 1.1.0 |
| Zapewnianie szkolenia w zakresie prywatności | CMA_0415 — zapewnianie szkolenia w zakresie prywatności | Ręczne, wyłączone | 1.1.0 |
Komunikacja
Identyfikator: ISO 27001:2013 C.7.4.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Komunikacja
Id: ISO 27001:2013 C.7.4.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Komunikacja
Id: ISO 27001:2013 C.7.4.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Komunikacja
Id: ISO 27001:2013 C.7.4.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Komunikacja
Id: ISO 27001:2013 C.7.4.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji | CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Tworzenie i aktualizowanie
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.7.5.2.c : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie dostawcy usług udostępnionych spełniających kryteria | CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
Identyfikator: ISO 27001:2013 C.7.5.3.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
Identyfikator: ISO 27001:2013 C.7.5.3.b Własność: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
Id: ISO 27001:2013 C.7.5.3.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.7.5.3.d : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
Id: ISO 27001:2013 C.7.5.3.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
Kontrola udokumentowanych informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.7.5.3.f : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie i ustanawianie planu zabezpieczeń systemu | CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń | Ręczne, wyłączone | 1.1.0 |
| Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur planowania | CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania | Ręczne, wyłączone | 1.1.0 |
Operacja
Planowanie operacyjne i kontrola
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.8.1: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Automatyzowanie żądania zatwierdzenia proponowanych zmian | CMA_C1192 — automatyzowanie żądania zatwierdzenia proponowanych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | CMA_C1196 — automatyzowanie implementacji zatwierdzonych powiadomień o zmianach | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu w celu dokumentowania wdrożonych zmian | CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | CMA_C1194 — automatyzowanie procesu uniemożliwiającego implementację niezatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Automatyzowanie proponowanych zmian udokumentowanych | CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie analizy wpływu na zabezpieczenia | CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Wymuszanie ustawień konfiguracji zabezpieczeń | CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie i dokumentowanie procesów kontroli zmian | CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny wpływu na prywatność | CMA_0387 — przeprowadzanie oceny wpływu na prywatność | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji | CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji | Ręczne, wyłączone | 1.1.0 |
| Korygowanie wad systemu informacyjnego | CMA_0427 — korygowanie błędów systemu informacyjnego | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu | Ręczne, wyłączone | 1.1.0 |
| Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie od deweloperów zarządzania integralnością zmian | CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian | Ręczne, wyłączone | 1.1.0 |
| Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Ocena ryzyka związanego z bezpieczeństwem informacji
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.8.2: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie oceny ryzyka i dokumentowanie wyników | CMA_C1542 — przeprowadzanie oceny ryzyka i dokumentowanie wyników | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_0388 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka | CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
Leczenie ryzyka związanego z bezpieczeństwem informacji
Id: ISO 27001:2013 C.8.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Implementowanie ochrony granic systemu | CMA_0328 — implementowanie ochrony granic systemu | Ręczne, wyłączone | 1.1.0 |
| Zabezpieczanie interfejsu z systemami zewnętrznymi | CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Ocena wydajności
Monitorowanie, pomiar, analiza i ocena
Identyfikator: ISO 27001:2013 C.9.1.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Monitorowanie, pomiar, analiza i ocena
Identyfikator: ISO 27001:2013 C.9.1.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Monitorowanie, pomiar, analiza i ocena
Id: ISO 27001:2013 C.9.1.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Monitorowanie, pomiar, analiza i ocena
Identyfikator: ISO 27001:2013 C.9.1.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Monitorowanie, pomiar, analiza i ocena
Identyfikator: ISO 27001:2013 C.9.1.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Monitorowanie, pomiar, analiza i ocena
Id: ISO 27001:2013 C.9.1.f Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konfigurowanie listy dozwolonych wykrywania | CMA_0068 — konfigurowanie listy dozwolonych wykrywania | Ręczne, wyłączone | 1.1.0 |
| Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego | Ręczne, wyłączone | 1.1.0 |
| Poddawanie niezależnemu przeglądowi zabezpieczeń | CMA_0515 — przechodzi niezależny przegląd zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.9.2.a.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.9.2.a.2 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Id: ISO 27001:2013 C.9.2.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Id: ISO 27001:2013 C.9.2.c Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Identyfikator: ISO 27001:2013 C.9.2.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Opracowywanie planu oceny zabezpieczeń | CMA_C1144 — opracowywanie planu oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Id: ISO 27001:2013 C.9.2.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dostosowywanie poziomu przeglądu inspekcji, analizy i raportowania | CMA_C1123 — dostosowywanie poziomu przeglądu, analizy i raportowania inspekcji | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie zasad i procedur zabezpieczeń informacji | CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń | CMA_C1148 — stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie zasad zabezpieczeń informacji | CMA_0518 — aktualizowanie zasad zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.9.2.f : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dostarczanie wyników oceny zabezpieczeń | CMA_C1147 — dostarczanie wyników oceny zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
Inspekcja wewnętrzna
Id: ISO 27001:2013 C.9.2.g Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przestrzegaj zdefiniowanych okresów przechowywania | CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie zasad i procedur zabezpieczeń | CMA_0454 — zachowanie zasad i procedur zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Zachowywanie danych zakończonych użytkowników | CMA_0455 — zachowywanie zakończonych danych użytkownika | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Identyfikator: ISO 27001:2013 C.9.3.a Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Implementowanie planów działania i kamieni milowych na potrzeby procesu programu zabezpieczeń | CMA_C1737 — implementowanie planów działania i kamieni milowych na potrzeby procesu programu zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Identyfikator: ISO 27001:2013 C.9.3.b Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.9.3.c.1 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Ustanawianie programu zabezpieczeń informacji | CMA_0263 — ustanawianie programu zabezpieczeń informacji | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Id: ISO 27001:2013 C.9.3.c.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Opracowywanie poa&m | CMA_C1156 — opracowywanie koncepcji i programowania | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.9.3.c.3 : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Identyfikator: WŁASNOŚĆ ISO 27001:2013 C.9.3.c.4: Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Definiowanie metryk wydajności | CMA_0124 — definiowanie metryk wydajności | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Id: ISO 27001:2013 C.9.3.d Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
Id: ISO 27001:2013 C.9.3.e Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Przegląd zarządzania
IDENTYFIKATOR: WŁASNOŚĆ ISO 27001:2013 C.9.3.f : Współdzielona
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena mechanizmów kontroli zabezpieczeń | CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń | Ręczne, wyłączone | 1.1.0 |
| Przeprowadzanie oceny ryzyka | CMA_C1543 — przeprowadzanie oceny ryzyka | Ręczne, wyłączone | 1.1.0 |
| Aktualizowanie elementów POA&M | CMA_C1157 — aktualizowanie elementów POA&M | Ręczne, wyłączone | 1.1.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.