5.7 威胁情报
组织现在必须收集和分析与其信息安全相关的威胁情报。这使成熟组织已经非正式执行的操作正式化。
实施: 订阅威胁源、监控安全公告、跟踪影响技术栈的漏洞。
5.23 云服务的信息安全
对安全使用、获取和管理云服务的明确要求。解决云特定风险。
实施: 云提供商安全评估、责任共担模型文档、云配置审查。
5.30 业务连续性的ICT就绪
确保ICT系统准备好支持业务连续性要求。加强韧性重点。
实施: 测试灾难恢复程序、验证备份恢复、确保冗余。
8.9 配置管理
要求对安全相关系统进行文档化的配置管理。防止配置漂移。
实施: 基础设施即代码、配置基线、变更跟踪。
8.10 信息删除
确保在不再需要时安全删除信息。支持数据最小化。
实施: 数据保留政策、安全删除程序、验证流程。
8.11 数据掩码
要求在适当时对敏感数据进行掩码。支持隐私和测试需求。
实施: 测试数据匿名化、日志编辑、适当时的令牌化。
8.12 数据泄漏防护
解决防止数据外泄和未经授权的披露。
实施: DLP工具、出口过滤、USB限制、电子邮件控制。
8.16 监控活动
正式化监控用户和系统活动的要求。
实施: SIEM、日志聚合、用户行为分析。
8.23 Web过滤
要求进行Web过滤以防止访问恶意内容。
实施: DNS过滤、代理服务器、URL分类。
8.28 安全编码
对软件开发中的安全编码原则的明确要求。
实施: OWASP指南、代码审查、SAST/DAST、安全培训。