Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

 

View file
nameCompliance - Sechard uyumlulukları.xlsx

Madde

Sechard Tarafından Uygulanabilirlik

1.1 - Establish and Maintain Detailed Enterprise Asset Inventory

Uygulanabilir

1.2 - Address Unauthorized Assets

Uygulanabilir

1.3 - Utilize an Active Discovery Tool

Uygulanabilir

1.4 - Use Dynamic Host Configuration Protocol (DHCP) Logging to Update Enterprise Asset Inventory

Uygulanabilir Değil

1.5 - Use a Passive Asset Discovery Tool

Uygulanabilir

2.1 - Establish and Maintain a Software Inventory

Uygulanabilir

2.2 - Ensure Authorized Software is Currently Supported

Uygulanabilir Değil

2.3 - Address Unauthorized Software

Uygulanabilir

2.4 - Utilize Automated Software Inventory Tools

Uygulanabilir

2.5 - Allowlist Authorized Software

Uygulanabilir Değil

2.6 - Allowlist Authorized Libraries

Uygulanabilir Değil

2.7 - Allowlist Authorized Scripts

Uygulanabilir Değil

3.1 - Establish and Maintain a Data Management Process

Uygulanabilir Değil

3.2 - Establish and Maintain a Data Inventory

Uygulanabilir Değil

3.3 - Configure Data Access Control Lists

Uygulanabilir Değil

3.4 - Enforce Data Retention

Uygulanabilir Değil

3.5 - Securely Dispose of Data

Uygulanabilir Değil

3.6 - Encrypt Data on End-User Devices

Uygulanabilir Değil

3.7 - Establish and Maintain a Data Classification Scheme

Uygulanabilir Değil

3.8 - Document Data Flows

Uygulanabilir Değil

3.9 - Encrypt Data on Removable Media

Uygulanabilir Değil

3.10 - Encrypt Sensitive Data in Transit

Uygulanabilir Değil

3.11 - Encrypt Sensitive Data at Rest

Uygulanabilir Değil

3.12 - Segment Data Processing and Storage Based on Sensitivity

Uygulanabilir Değil

3.13 - Deploy a Data Loss Prevention Solution

Uygulanabilir Değil

3.14 - Log Sensitive Data Access

Uygulanabilir Değil

4.1 - Establish and Maintain a Secure Configuration Process

Uygulanabilir

4.2 - Establish and Maintain a Secure Configuration Process for Network Infrastructure

Uygulanabilir

4.3 - Configure Automatic Session Locking on Enterprise Assets

Uygulanabilir Değil

4.4 - Implement and Manage a Firewall on Servers

Uygulanabilir Değil

4.5 - Implement and Manage a Firewall on End-User Devices

Uygulanabilir Değil

4.6 - Securely Manage Enterprise Assets and Software

Uygulanabilir

4.7 - Manage Default Accounts on Enterprise Assets and Software

Uygulanabilir

4.8 - Uninstall or Disable Unnecessary Services on Enterprise Assets and Software

Uygulanabilir

4.9 - Configure Trusted DNS Servers on Enterprise Assets

Uygulanabilir Değil

4.10 - Enforce Automatic Device Lockout on Portable End-User Devices

Uygulanabilir Değil

4.11 - Enforce Remote Wipe Capability on Portable End-User Devices

Uygulanabilir Değil

4.12 - Separate Enterprise Workspaces on Mobile End-User Devices

Uygulanabilir Değil

5.1 - Establish and Maintain an Inventory of Accounts

Uygulanabilir

5.2 - Use Unique Passwords

Uygulanabilir Değil

5.3 - Disable Dormant Accounts

Uygulanabilir Değil

5.4 - Restrict Administrator Privileges to Dedicated Administrator Accounts

Uygulanabilir Değil

5.5 - Establish and Maintain an Inventory of Service Accounts

Uygulanabilir

5.6 - Centralize Account Management

Uygulanabilir

6.1 - Establish an Access Granting Process

Uygulanabilir Değil

6.2 - Establish an Access Revoking Process

Uygulanabilir Değil

6.3 - Require MFA for Externally-Exposed Applications

Uygulanabilir Değil

6.4 - Require MFA for Remote Network Access

Uygulanabilir Değil

6.5 - Require MFA for Administrative Access

Uygulanabilir Değil

6.6 - Establish and Maintain an Inventory of Authentication and Authorization Systems

Uygulanabilir

6.7 - Centralize Access Control

Uygulanabilir

6.8 - Define and Maintain Role-Based Access Control

Uygulanabilir Değil

7.1 - Establish and Maintain a Vulnerability Management Process

Uygulanabilir

7.2 - Establish and Maintain a Remediation Process

Uygulanabilir

7.3 - Perform Automated Operating System Patch Management

Uygulanabilir Değil

7.4 - Perform Automated Application Patch Management

Uygulanabilir Değil

7.5 - Perform Automated Vulnerability Scans of Internal Enterprise Assets

Uygulanabilir

7.6 - Perform Automated Vulnerability Scans of Externally-Exposed Enterprise Assets

Uygulanabilir Değil

7.7 - Remediate Detected Vulnerabilities

Uygulanabilir

8.1 - Establish and Maintain an Audit Log Management Process

Uygulanabilir Değil

8.2 - Collect Audit Logs

Uygulanabilir

8.3 - Ensure Adequate Audit Log Storage

Uygulanabilir Değil

8.4 - Standardize Time Synchronization

Uygulanabilir

8.5 - Collect Detailed Audit Logs

Uygulanabilir

8.6 - Collect DNS Query Audit Logs

Uygulanabilir Değil

8.7 - Collect URL Request Audit Logs

Uygulanabilir Değil

8.8 - Collect Command-Line Audit Logs

Uygulanabilir Değil

8.9 - Centralize Audit Logs

Uygulanabilir

8.10 - Retain Audit Logs

Uygulanabilir

8.11 - Conduct Audit Log Reviews

Uygulanabilir Değil

8.12 - Collect Service Provider Logs

Uygulanabilir Değil

9.1 - Ensure Use of Only Fully Supported Browsers and Email Clients

Uygulanabilir

9.2 - Use DNS Filtering Services

Uygulanabilir Değil

9.3 - Maintain and Enforce Network-Based URL Filters

Uygulanabilir Değil

9.4 - Restrict Unnecessary or Unauthorized Browser and Email Client Extensions

Uygulanabilir Değil

9.5 - Implement DMARC

Uygulanabilir Değil

9.6 - Block Unnecessary File Types

Uygulanabilir Değil

9.7 - Deploy and Maintain Email Server Anti-Malware Protections

Uygulanabilir Değil

10.1 - Deploy and Maintain Anti-Malware Software

Uygulanabilir Değil

10.2 - Configure Automatic Anti-Malware Signature Updates

Uygulanabilir Değil

10.3 - Disable Autorun and Autoplay for Removable Media

Uygulanabilir Değil

10.4 - Configure Automatic Anti-Malware Scanning of Removable Media

Uygulanabilir Değil

10.5 - Enable Anti-Exploitation Features

Uygulanabilir Değil

10.6 - Centrally Manage Anti-Malware Software

Uygulanabilir Değil

10.7 - Use Behavior-Based Anti-Malware Software

Uygulanabilir Değil

11.1 - Establish and Maintain a Data Recovery Process

Uygulanabilir Değil

11.2 - Perform Automated Backups

Uygulanabilir Değil

11.3 - Protect Recovery Data

Uygulanabilir

11.4 - Establish and Maintain an Isolated Instance of Recovery Data

Uygulanabilir Değil

11.5 - Test Data Recovery

Uygulanabilir Değil

12.1 - Ensure Network Infrastructure is Up-to-Date

Uygulanabilir Değil

12.2 - Establish and Maintain a Secure Network Architecture

Uygulanabilir Değil

12.3 - Securely Manage Network Infrastructure

Uygulanabilir Değil

12.4 - Establish and Maintain Architecture Diagram(s)

Uygulanabilir Değil

12.5 - Centralize Network Authentication Authorization and Auditing (AAA)

Uygulanabilir Değil

12.6 - Use of Secure Network Management and Communication Protocols

Uygulanabilir Değil

12.7 - Ensure Remote Devices Utilize a VPN and are Connecting to an Enterprise’s AAA Infrastructure

Uygulanabilir Değil

12.8 - Establish and Maintain Dedicated Computing Resources for All Administrative Work

Uygulanabilir Değil

13.1 - Centralize Security Event Alerting

Uygulanabilir

13.2 - Deploy a Host-Based Intrusion Detection Solution

Uygulanabilir Değil

13.3 - Deploy a Network Intrusion Detection Solution

Uygulanabilir Değil

13.4 - Perform Traffic Filtering Between Network Segments

Uygulanabilir Değil

13.5 - Manage Access Control for Remote Assets

Uygulanabilir Değil

13.6 - Collect Network Traffic Flow Logs

Uygulanabilir Değil

13.7 - Deploy a Host-Based Intrusion Prevention Solution

Uygulanabilir Değil

13.8 - Deploy a Network Intrusion Prevention Solution

Uygulanabilir Değil

13.9 - Deploy Port-Level Access Control

Uygulanabilir Değil

13.10 - Perform Application Layer Filtering

Uygulanabilir Değil

13.11 - Tune Security Event Alerting Thresholds

Uygulanabilir Değil

14.1 - Establish and Maintain a Security Awareness Program

Uygulanabilir Değil

14.2 - Train Workforce Members to Recognize Social Engineering Attacks

Uygulanabilir Değil

14.3 - Train Workforce Members on Authentication Best Practices

Uygulanabilir Değil

14.4 - Train Workforce on Data Handling Best Practices

Uygulanabilir Değil

14.5 - Train Workforce Members on Causes of Unintentional Data Exposure

Uygulanabilir Değil

14.6 - Train Workforce Members on Recognizing and Reporting Security Incidents

Uygulanabilir Değil

14.7 - Train Workforce on How to Identify and Report if Their Enterprise Assets are Missing Security Updates

Uygulanabilir Değil

14.8 - Train Workforce on the Dangers of Connecting to and Transmitting Enterprise Data Over Insecure Networks

Uygulanabilir Değil

14.9 - Conduct Role-Specific Security Awareness and Skills Training

Uygulanabilir Değil

15.1 - Establish and Maintain an Inventory of Service Providers

Uygulanabilir Değil

15.2 - Establish and Maintain a Service Provider Management Policy

Uygulanabilir Değil

15.3 - Classify Service Providers

Uygulanabilir Değil

15.4 - Ensure Service Provider Contracts Include Security Requirements

Uygulanabilir Değil

15.5 - Assess Service Providers

Uygulanabilir Değil

15.6 - Monitor Service Providers

Uygulanabilir Değil

15.7 - Securely Decommission Service Providers

Uygulanabilir Değil

16.1 - Establish and Maintain a Secure Application Development Process

Uygulanabilir Değil

16.2 - Establish and Maintain a Process to Accept and Address Software Vulnerabilities

Uygulanabilir Değil

16.3 - Perform Root Cause Analysis on Security Vulnerabilities

Uygulanabilir Değil

16.4 - Establish and Manage an Inventory of Third-Party Software Components

Uygulanabilir Değil

16.5 - Use Up-to-Date and Trusted Third-Party Software Components

Uygulanabilir Değil

16.6 - Establish and Maintain a Severity Rating System and Process for Application Vulnerabilities

Uygulanabilir

16.7 - Use Standard Hardening Configuration Templates for Application Infrastructure

Uygulanabilir Değil

16.8 - Separate Production and Non-Production Systems

Uygulanabilir Değil

16.9 - Train Developers in Application Security Concepts and Secure Coding

Uygulanabilir Değil

16.10 - Apply Secure Design Principles in Application Architectures

Uygulanabilir Değil

16.11 - Leverage Vetted Modules or Services for Application Security Components

Uygulanabilir Değil

16.12 - Implement Code-Level Security Checks

Uygulanabilir Değil

16.13 - Conduct Application Penetration Testing

Uygulanabilir Değil

16.14 - Conduct Threat Modeling

Uygulanabilir Değil

17.1 - Designate Personnel to Manage Incident Handling

Uygulanabilir Değil

17.2 - Establish and Maintain Contact Information for Reporting Security Incidents

Uygulanabilir Değil

17.3 - Establish and Maintain an Enterprise Process for Reporting Incidents

Uygulanabilir Değil

17.4 - Establish and Maintain an Incident Response Process

Uygulanabilir Değil

17.5 - Assign Key Roles and Responsibilities

Uygulanabilir

17.6 - Define Mechanisms for Communicating During Incident Response

Uygulanabilir Değil

17.7 - Conduct Routine Incident Response Exercises

Uygulanabilir Değil

17.8 - Conduct Post-Incident Reviews

Uygulanabilir Değil

17.9 - Establish and Maintain Security Incident Thresholds

Uygulanabilir Değil

18.1 - Establish and Maintain a Penetration Testing Program

Uygulanabilir Değil

18.2 - Perform Periodic External Penetration Tests

Uygulanabilir Değil

18.3 - Remediate Penetration Test Findings

Uygulanabilir

18.4 - Validate Security Measures

Uygulanabilir Değil

18.5 - Perform Periodic Internal Penetration Tests

Uygulanabilir Değil