Page Comparison

...

CIS V8 Compliance, kuruluşların siber saldırılara karşı korunma kapasitelerini geliştirmek için önemli bir araçtır.

View file

name	Compliance - Sechard uyumlulukları.xlsx

Madde	Sechard Tarafından Uygulanabilirlik
1.1 - Establish and Maintain Detailed Enterprise Asset Inventory	Uygulanabilir
1.2 - Address Unauthorized Assets	Uygulanabilir
1.3 - Utilize an Active Discovery Tool	Uygulanabilir
1.4 - Use Dynamic Host Configuration Protocol (DHCP) Logging to Update Enterprise Asset Inventory	Uygulanabilir Değil
1.5 - Use a Passive Asset Discovery Tool	Uygulanabilir
2.1 - Establish and Maintain a Software Inventory	Uygulanabilir
2.2 - Ensure Authorized Software is Currently Supported	Uygulanabilir Değil
2.3 - Address Unauthorized Software	Uygulanabilir
2.4 - Utilize Automated Software Inventory Tools	Uygulanabilir
2.5 - Allowlist Authorized Software	Uygulanabilir Değil
2.6 - Allowlist Authorized Libraries	Uygulanabilir Değil
2.7 - Allowlist Authorized Scripts	Uygulanabilir Değil
3.1 - Establish and Maintain a Data Management Process	Uygulanabilir Değil
3.2 - Establish and Maintain a Data Inventory	Uygulanabilir Değil
3.3 - Configure Data Access Control Lists	Uygulanabilir Değil
3.4 - Enforce Data Retention	Uygulanabilir Değil
3.5 - Securely Dispose of Data	Uygulanabilir Değil
3.6 - Encrypt Data on End-User Devices	Uygulanabilir Değil
3.7 - Establish and Maintain a Data Classification Scheme	Uygulanabilir Değil
3.8 - Document Data Flows	Uygulanabilir Değil
3.9 - Encrypt Data on Removable Media	Uygulanabilir Değil
3.10 - Encrypt Sensitive Data in Transit	Uygulanabilir Değil
3.11 - Encrypt Sensitive Data at Rest	Uygulanabilir Değil
3.12 - Segment Data Processing and Storage Based on Sensitivity	Uygulanabilir Değil
3.13 - Deploy a Data Loss Prevention Solution	Uygulanabilir Değil
3.14 - Log Sensitive Data Access	Uygulanabilir Değil
4.1 - Establish and Maintain a Secure Configuration Process	Uygulanabilir
4.2 - Establish and Maintain a Secure Configuration Process for Network Infrastructure	Uygulanabilir
4.3 - Configure Automatic Session Locking on Enterprise Assets	Uygulanabilir Değil
4.4 - Implement and Manage a Firewall on Servers	Uygulanabilir Değil
4.5 - Implement and Manage a Firewall on End-User Devices	Uygulanabilir Değil
4.6 - Securely Manage Enterprise Assets and Software	Uygulanabilir
4.7 - Manage Default Accounts on Enterprise Assets and Software	Uygulanabilir
4.8 - Uninstall or Disable Unnecessary Services on Enterprise Assets and Software	Uygulanabilir
4.9 - Configure Trusted DNS Servers on Enterprise Assets	Uygulanabilir Değil
4.10 - Enforce Automatic Device Lockout on Portable End-User Devices	Uygulanabilir Değil
4.11 - Enforce Remote Wipe Capability on Portable End-User Devices	Uygulanabilir Değil
4.12 - Separate Enterprise Workspaces on Mobile End-User Devices	Uygulanabilir Değil
5.1 - Establish and Maintain an Inventory of Accounts	Uygulanabilir
5.2 - Use Unique Passwords	Uygulanabilir Değil
5.3 - Disable Dormant Accounts	Uygulanabilir Değil
5.4 - Restrict Administrator Privileges to Dedicated Administrator Accounts	Uygulanabilir Değil
5.5 - Establish and Maintain an Inventory of Service Accounts	Uygulanabilir
5.6 - Centralize Account Management	Uygulanabilir
6.1 - Establish an Access Granting Process	Uygulanabilir Değil
6.2 - Establish an Access Revoking Process	Uygulanabilir Değil
6.3 - Require MFA for Externally-Exposed Applications	Uygulanabilir Değil
6.4 - Require MFA for Remote Network Access	Uygulanabilir Değil
6.5 - Require MFA for Administrative Access	Uygulanabilir Değil
6.6 - Establish and Maintain an Inventory of Authentication and Authorization Systems	Uygulanabilir
6.7 - Centralize Access Control	Uygulanabilir
6.8 - Define and Maintain Role-Based Access Control	Uygulanabilir Değil
7.1 - Establish and Maintain a Vulnerability Management Process	Uygulanabilir
7.2 - Establish and Maintain a Remediation Process	Uygulanabilir
7.3 - Perform Automated Operating System Patch Management	Uygulanabilir Değil
7.4 - Perform Automated Application Patch Management	Uygulanabilir Değil
7.5 - Perform Automated Vulnerability Scans of Internal Enterprise Assets	Uygulanabilir
7.6 - Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets	Uygulanabilir Değil
7.7 - Remediate Detected Vulnerabilities	Uygulanabilir
8.1 - Establish and Maintain an Audit Log Management Process	Uygulanabilir Değil
8.2 - Collect Audit Logs	Uygulanabilir
8.3 - Ensure Adequate Audit Log Storage	Uygulanabilir Değil
8.4 - Standardize Time Synchronization	Uygulanabilir
8.5 - Collect Detailed Audit Logs	Uygulanabilir
8.6 - Collect DNS Query Audit Logs	Uygulanabilir Değil
8.7 - Collect URL Request Audit Logs	Uygulanabilir Değil
8.8 - Collect Command-Line Audit Logs	Uygulanabilir Değil
8.9 - Centralize Audit Logs	Uygulanabilir
8.10 - Retain Audit Logs	Uygulanabilir
8.11 - Conduct Audit Log Reviews	Uygulanabilir Değil
8.12 - Collect Service Provider Logs	Uygulanabilir Değil
9.1 - Ensure Use of Only Fully Supported Browsers and Email Clients	Uygulanabilir
9.2 - Use DNS Filtering Services	Uygulanabilir Değil
9.3 - Maintain and Enforce Network-Based URL Filters	Uygulanabilir Değil
9.4 - Restrict Unnecessary or Unauthorized Browser and Email Client Extensions	Uygulanabilir Değil
9.5 - Implement DMARC	Uygulanabilir Değil
9.6 - Block Unnecessary File Types	Uygulanabilir Değil
9.7 - Deploy and Maintain Email Server Anti-Malware Protections	Uygulanabilir Değil
10.1 - Deploy and Maintain Anti-Malware Software	Uygulanabilir Değil
10.2 - Configure Automatic Anti-Malware Signature Updates	Uygulanabilir Değil
10.3 - Disable Autorun and Autoplay for Removable Media	Uygulanabilir Değil
10.4 - Configure Automatic Anti-Malware Scanning of Removable Media	Uygulanabilir Değil
10.5 - Enable Anti-Exploitation Features	Uygulanabilir Değil
10.6 - Centrally Manage Anti-Malware Software	Uygulanabilir Değil
10.7 - Use Behavior-Based Anti-Malware Software	Uygulanabilir Değil
11.1 - Establish and Maintain a Data Recovery Process	Uygulanabilir Değil
11.2 - Perform Automated Backups	Uygulanabilir Değil
11.3 - Protect Recovery Data	Uygulanabilir
11.4 - Establish and Maintain an Isolated Instance of Recovery Data	Uygulanabilir Değil
11.5 - Test Data Recovery	Uygulanabilir Değil
12.1 - Ensure Network Infrastructure is Up-to-Date	Uygulanabilir Değil
12.2 - Establish and Maintain a Secure Network Architecture	Uygulanabilir Değil
12.3 - Securely Manage Network Infrastructure	Uygulanabilir Değil
12.4 - Establish and Maintain Architecture Diagram(s)	Uygulanabilir Değil
12.5 - Centralize Network Authentication Authorization and Auditing (AAA)	Uygulanabilir Değil
12.6 - Use of Secure Network Management and Communication Protocols	Uygulanabilir Değil
12.7 - Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure	Uygulanabilir Değil
12.8 - Establish and Maintain Dedicated Computing Resources for All Administrative Work	Uygulanabilir Değil
13.1 - Centralize Security Event Alerting	Uygulanabilir
13.2 - Deploy a Host-Based Intrusion Detection Solution	Uygulanabilir Değil
13.3 - Deploy a Network Intrusion Detection Solution	Uygulanabilir Değil
13.4 - Perform Traffic Filtering Between Network Segments	Uygulanabilir Değil
13.5 - Manage Access Control for Remote Assets	Uygulanabilir Değil
13.6 - Collect Network Traffic Flow Logs	Uygulanabilir Değil
13.7 - Deploy a Host-Based Intrusion Prevention Solution	Uygulanabilir Değil
13.8 - Deploy a Network Intrusion Prevention Solution	Uygulanabilir Değil
13.9 - Deploy Port-Level Access Control	Uygulanabilir Değil
13.10 - Perform Application Layer Filtering	Uygulanabilir Değil
13.11 - Tune Security Event Alerting Thresholds	Uygulanabilir Değil
14.1 - Establish and Maintain a Security Awareness Program	Uygulanabilir Değil
14.2 - Train Workforce Members to Recognize Social Engineering Attacks	Uygulanabilir Değil
14.3 - Train Workforce Members on Authentication Best Practices	Uygulanabilir Değil
14.4 - Train Workforce on Data Handling Best Practices	Uygulanabilir Değil
14.5 - Train Workforce Members on Causes of Unintentional Data Exposure	Uygulanabilir Değil
14.6 - Train Workforce Members on Recognizing and Reporting Security Incidents	Uygulanabilir Değil
14.7 - Train Workforce on How to Identify and Report if Their Enterprise Assets are Missing Security Updates	Uygulanabilir Değil
14.8 - Train Workforce on the Dangers of Connecting to and Transmitting Enterprise Data Over Insecure Networks	Uygulanabilir Değil
14.9 - Conduct Role-Specific Security Awareness and Skills Training	Uygulanabilir Değil
15.1 - Establish and Maintain an Inventory of Service Providers	Uygulanabilir Değil
15.2 - Establish and Maintain a Service Provider Management Policy	Uygulanabilir Değil
15.3 - Classify Service Providers	Uygulanabilir Değil
15.4 - Ensure Service Provider Contracts Include Security Requirements	Uygulanabilir Değil
15.5 - Assess Service Providers	Uygulanabilir Değil
15.6 - Monitor Service Providers	Uygulanabilir Değil
15.7 - Securely Decommission Service Providers	Uygulanabilir Değil
16.1 - Establish and Maintain a Secure Application Development Process	Uygulanabilir Değil
16.2 - Establish and Maintain a Process to Accept and Address Software Vulnerabilities	Uygulanabilir Değil
16.3 - Perform Root Cause Analysis on Security Vulnerabilities	Uygulanabilir Değil
16.4 - Establish and Manage an Inventory of Third-Party Software Components	Uygulanabilir Değil
16.5 - Use Up-to-Date and Trusted Third-Party Software Components	Uygulanabilir Değil
16.6 - Establish and Maintain a Severity Rating System and Process for Application Vulnerabilities	Uygulanabilir
16.7 - Use Standard Hardening Configuration Templates for Application Infrastructure	Uygulanabilir Değil
16.8 - Separate Production and Non-Production Systems	Uygulanabilir Değil
16.9 - Train Developers in Application Security Concepts and Secure Coding	Uygulanabilir Değil
16.10 - Apply Secure Design Principles in Application Architectures	Uygulanabilir Değil
16.11 - Leverage Vetted Modules or Services for Application Security Components	Uygulanabilir Değil
16.12 - Implement Code-Level Security Checks	Uygulanabilir Değil
16.13 - Conduct Application Penetration Testing	Uygulanabilir Değil
16.14 - Conduct Threat Modeling	Uygulanabilir Değil
17.1 - Designate Personnel to Manage Incident Handling	Uygulanabilir Değil
17.2 - Establish and Maintain Contact Information for Reporting Security Incidents	Uygulanabilir Değil
17.3 - Establish and Maintain an Enterprise Process for Reporting Incidents	Uygulanabilir Değil
17.4 - Establish and Maintain an Incident Response Process	Uygulanabilir Değil
17.5 - Assign Key Roles and Responsibilities	Uygulanabilir
17.6 - Define Mechanisms for Communicating During Incident Response	Uygulanabilir Değil
17.7 - Conduct Routine Incident Response Exercises	Uygulanabilir Değil
17.8 - Conduct Post-Incident Reviews	Uygulanabilir Değil
17.9 - Establish and Maintain Security Incident Thresholds	Uygulanabilir Değil
18.1 - Establish and Maintain a Penetration Testing Program	Uygulanabilir Değil
18.2 - Perform Periodic External Penetration Tests	Uygulanabilir Değil
18.3 - Remediate Penetration Test Findings	Uygulanabilir
18.4 - Validate Security Measures	Uygulanabilir Değil
18.5 - Perform Periodic Internal Penetration Tests	Uygulanabilir Değil

Versions Compared

Old Version 1

New Version Current

Key