ISO 27001:2013 法規合規性內建方案的詳細數據
下列文章詳細說明 Azure 原則 法規合規性內建方案定義如何對應至 ISO 27001:2013 中的合規性網域和控件。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
以下是與 ISO 27001:2013 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 ISO 27001:2013 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
密碼編譯
使用密碼加密控制的原則
標識碼:ISO 27001:2013 A.10.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 記錄及散發隱私權原則 | CMA_0188 - 記錄併發佈隱私策略 | 手動、已停用 | 1.1.0 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權通知傳遞方法 | 手動、已停用 | 1.1.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權通知 | 手動、已停用 | 1.1.0 |
| 限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
金鑰管理
標識碼:ISO 27001:2013 A.10.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
| 決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
| 管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
實體和環境安全性
實體安全界限
標識碼:ISO 27001:2013 A.11.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
實體進入控制措施
標識碼:ISO 27001:2013 A.11.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
| 管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
保護辦公室、會議室和設施
標識碼:ISO 27001:2013 A.11.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
防範外部和環境威脅
標識碼:ISO 27001:2013 A.11.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
在安全區域工作
標識碼:ISO 27001:2013 A.11.1.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
傳遞和載入區域
標識碼:ISO 27001:2013 A.11.1.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
設備就位和保護
標識碼:ISO 27001:2013 A.11.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
支援公用程式
標識碼:ISO 27001:2013 A.11.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用自動緊急照明 | CMA_0209 - 採用自動緊急照明 | 手動、已停用 | 1.1.0 |
| 建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
纜線安全性
標識碼:ISO 27001:2013 A.11.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
設備維護
標識碼:ISO 27001:2013 A.11.2.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自動化遠端維護活動 | CMA_C1402 - 自動化遠端維護活動 | 手動、已停用 | 1.1.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 產生完整的遠端維護活動記錄 | CMA_C1403 - 產生完整的遠端維護活動記錄 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供及時維護支援 | CMA_C1425 - 提供及時維護支援 | 手動、已停用 | 1.1.0 |
移除資產
標識碼:ISO 27001:2013 A.11.2.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
設備與資產在內部部署的安全性
標識碼:ISO 27001:2013 A.11.2.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 請確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
安全處置或重新使用設備
標識碼:ISO 27001:2013 A.11.2.7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 確認在處理結束時刪除個人資料 | 手動、已停用 | 1.1.0 |
自動使用者設備
標識碼:ISO 27001:2013 A.11.2.8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
清理桌面和清除螢幕原則
標識碼:ISO 27001:2013 A.11.2.9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
作業安全性
已記錄的作業程序
標識碼:ISO 27001:2013 A.12.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 散發資訊系統文件 | CMA_C1584 - 散發資訊系統文件 | 手動、已停用 | 1.1.0 |
| 記錄客戶定義的動作 | CMA_C1582 - 記錄客戶定義的動作 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 取得系統管理文件 | CMA_C1580 - 取得系統管理文件 | 手動、已停用 | 1.1.0 |
| 取得使用者安全性功能文件 | CMA_C1581 - 取得使用者安全性功能文件 | 手動、已停用 | 1.1.0 |
| 保護系統管理員和使用者文件 | CMA_C1583 - 保護系統管理員和使用者文件 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
變更管理
標識碼:ISO 27001:2013 A.12.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
產能管理
標識碼:ISO 27001:2013 A.12.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 執行容量規劃 | CMA_C1252 - 執行容量規劃 | 手動、已停用 | 1.1.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
區隔開發、測試和作業環境
標識碼:ISO 27001:2013 A.12.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 請確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 實作控制項以保護 PII | CMA_C1839 - 實作控件以保護 PII | 手動、已停用 | 1.1.0 |
| 結合研究處理中的安全性和資料隱私權做法 | CMA_0331 - 在研究處理中納入安全性和數據隱私權做法 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
惡意程式碼的控制措施
標識碼:ISO 27001:2013 A.12.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供更新的安全性認知訓練 | CMA_C1090 - 提供更新的安全性認知訓練 | 手動、已停用 | 1.1.0 |
| 每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
| 每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
| 更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
資訊備份
標識碼:ISO 27001:2013 A.12.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存網站 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 確認在處理結束時刪除個人資料 | 手動、已停用 | 1.1.0 |
事件記錄
標識碼:ISO 27001:2013 A.12.4.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 授權、監視及控制 VoIP | CMA_0025 - 授權、監視及控制 VoIP | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 針對記錄的特權命令進行全文檢索分析 | CMA_0056 - 針對記錄的特權命令進行全文檢索分析 | 手動、已停用 | 1.1.0 |
| 設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機為不符合規範。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機擴展集為不相容。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 記錄處理個人資訊的法律基礎 | CMA_0206 - 記錄處理個人資訊的法律依據 | 手動、已停用 | 1.1.0 |
| 強制執行並稽核存取限制 | CMA_C1203 - 強制執行並稽核存取限制 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 為消費者要求實作方法 | CMA_0319 - 實作取用者要求的方法 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 監視帳戶活動 | CMA_0377 - 監視帳戶活動 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 取得監視系統活動的法律意見 | CMA_C1688 - 取得監視系統活動的法律意見 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 視需要提供監視資訊 | CMA_C1689 - 視需要提供監視資訊 | 手動、已停用 | 1.1.0 |
| 發佈 SORN 中的存取程序 | CMA_C1848 - 在 SORN 中發佈存取程式 | 手動、已停用 | 1.1.0 |
| 發佈存取隱私權法記錄的規則與法規 | CMA_C1847 - 發佈存取隱私權法案記錄的規則和法規 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱及更新 AU-02 中定義的事件 | CMA_C1106 - 檢閱及更新 AU-02 中定義的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱變更中是否有任何未經授權的變更 | CMA_C1204 - 檢閱變更中是否有任何未經授權的變更 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
保護記錄資訊
標識碼:ISO 27001:2013 A.12.4.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 定義處理者的職責 | CMA_0127 - 定義處理器的職責 | 手動、已停用 | 1.1.0 |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 記錄向第三方洩漏 PII 的情況 | CMA_0422 - 記錄向第三方披露 PII | 手動、已停用 | 1.1.0 |
| 針對 PII 分享及其結果訓練員工 | CMA_C1871 - 訓練人員分享 PII 及其後果 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 確認在處理結束時刪除個人資料 | 手動、已停用 | 1.1.0 |
系統管理員與操作員的記錄
標識碼:ISO 27001:2013 A.12.4.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 授權、監視及控制 VoIP | CMA_0025 - 授權、監視及控制 VoIP | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 針對記錄的特權命令進行全文檢索分析 | CMA_0056 - 針對記錄的特權命令進行全文檢索分析 | 手動、已停用 | 1.1.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機為不符合規範。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機擴展集為不相容。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 監視帳戶活動 | CMA_0377 - 監視帳戶活動 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 取得監視系統活動的法律意見 | CMA_C1688 - 取得監視系統活動的法律意見 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 視需要提供監視資訊 | CMA_C1689 - 視需要提供監視資訊 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
時鐘同步處理
標識碼:ISO 27001:2013 A.12.4.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 將稽核記錄編譯為全系統稽核 | CMA_C1140 - 將稽核記錄編譯為全系統稽核 | 手動、已停用 | 1.1.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機為不符合規範。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 如果虛擬機映像不在定義的清單中,且未安裝代理程式,則報告虛擬機擴展集為不相容。 隨著支援更新,OS 映射清單會隨著時間更新而更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 在稽核記錄上使用系統時鐘 | CMA_0535 - 在稽核記錄上使用系統時鐘 | 手動、已停用 | 1.1.0 |
在作業系統上安裝軟體
標識碼:ISO 27001:2013 A.12.5.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
管理技術弱點
標識碼:ISO 27001:2013 A.12.6.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 進行風險評量並散發其結果 | CMA_C1544 - 進行風險評量並散發其結果 | 手動、已停用 | 1.1.0 |
| 進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 選取安全性控制評量的其他測試 | CMA_C1149 - 選取安全性控制評量的其他測試 | 手動、已停用 | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
軟體安裝的限制
標識碼:ISO 27001:2013 A.12.6.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
資訊系統稽核控制
標識碼:ISO 27001:2013 A.12.7.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
通訊安全性
網路控制
標識碼:ISO 27001:2013 A.13.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
網路服務的安全性
標識碼:ISO 27001:2013 A.13.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
網路隔離
標識碼:ISO 27001:2013 A.13.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
資訊傳輸原則與程序
標識碼:ISO 27001:2013 A.13.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 明確通知使用共同作業運算裝置 | CMA_C1649 - 明確通知使用共同作業運算裝置 | 手動、已停用 | 1.1.1 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 禁止遠端啟用共同作業運算裝置 | CMA_C1648 - 禁止遠端啟用共同作業運算裝置 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
資訊傳輸的協定
標識碼:ISO 27001:2013 A.13.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權通知傳遞方法 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權通知 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
電子傳訊
標識碼:ISO 27001:2013 A.13.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
機密性或保密協定
標識碼:ISO 27001:2013 A.13.2.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
系統取得、開發與維護
資訊安全性需求分析和規格
標識碼:ISO 27001:2013 A.14.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義資訊安全性角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定操作概念文件 (CONOPS) | CMA_0141 - 制定操作概念文件 (CONOPS) | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊安全性架構 | CMA_C1504 - 檢閱並更新資訊安全性架構 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
保護公用網路的應用程式服務
標識碼:ISO 27001:2013 A.14.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
保護應用程式服務交易
標識碼:ISO 27001:2013 A.14.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
安全開發原則
標識碼:ISO 27001:2013 A.14.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義資訊安全性角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
| 需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
| 需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
系統變更控制程序
標識碼:ISO 27001:2013 A.14.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
作業系統平台變更後的應用程式技術檢閱
標識碼:ISO 27001:2013 A.14.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
軟體套件變更的限制
標識碼:ISO 27001:2013 A.14.2.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
安全的系統工程原則
標識碼:ISO 27001:2013 A.14.2.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
| 需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
| 需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
| 需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
保護開發環境
標識碼:ISO 27001:2013 A.14.2.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 定義資訊安全性角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
外包開發
標識碼:ISO 27001:2013 A.14.2.7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
系統安全性測試
標識碼:ISO 27001:2013 A.14.2.8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 請確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
系統接受度測試
標識碼:ISO 27001:2013 A.14.2.9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指派授權正式(AO) | CMA_C1158 - 指派授權正式 (AO) | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 確認資源已獲授權 | CMA_C1159 - 確認資源已獲授權 | 手動、已停用 | 1.1.0 |
| 請確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
保護測試資料
標識碼:ISO 27001:2013 A.14.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 請確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 確認在處理結束時刪除個人資料 | 手動、已停用 | 1.1.0 |
供應商關係
供應商關係的資訊安全性原則
標識碼:ISO 27001:2013 A.15.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
解決供應商協定內的安全性
標識碼:ISO 27001:2013 A.15.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
資訊與通訊技術供應鏈
標識碼:ISO 27001:2013 A.15.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
監控和檢閱供應商服務
標識碼:ISO 27001:2013 A.15.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
管理供應商服務的變更
標識碼:ISO 27001:2013 A.15.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
資訊安全性事件管理
責任和程序
標識碼:ISO 27001:2013 A.16.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 維護資料外洩記錄 | CMA_0351 - 維護資料外洩記錄 | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 保護事件回應計劃 | CMA_0405 - 保護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
報告資訊安全性事件
標識碼:ISO 27001:2013 A.16.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
報告資訊安全性弱點
標識碼:ISO 27001:2013 A.16.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
資訊安全性事件的評量和決策
標識碼:ISO 27001:2013 A.16.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
回應資訊安全性事件
標識碼:ISO 27001:2013 A.16.1.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
從資訊安全性事件學習
標識碼:ISO 27001:2013 A.16.1.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
證據集合
標識碼:ISO 27001:2013 A.16.1.7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
商務持續性管理的資訊安全性層面
規劃資訊安全性持續性
標識碼:ISO 27001:2013 A.17.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的計畫 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
實施資訊安全性持續性
標識碼:ISO 27001:2013 A.17.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的計畫 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 在任何中斷後復原並重新組成資源 | CMA_C1295 - 在任何中斷後復原並重新組成資源 | 手動、已停用 | 1.1.1 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
驗證、檢閱及評估資訊安全性持續性
標識碼:ISO 27001:2013 A.17.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
| 測試商務持續性和災害復原計劃 | CMA_0509 - 測試商務持續性和災害復原計劃 | 手動、已停用 | 1.1.0 |
資訊處理設備的可用性
標識碼:ISO 27001:2013 A.17.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的計畫 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
法規遵循
識別適用的法律與合約需求
標識碼:ISO 27001:2013 A.18.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 保護資訊安全性計畫 | CMA_C1732 - 保護資訊安全計劃計劃 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
智慧財產權
標識碼:ISO 27001:2013 A.18.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 要求遵守智慧財產權 | CMA_0432 - 要求遵守智慧財產權 | 手動、已停用 | 1.1.0 |
| 追蹤軟體授權使用量 | CMA_C1235 - 追蹤軟體授權使用量 | 手動、已停用 | 1.1.0 |
記錄保護
標識碼:ISO 27001:2013 A.18.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
個人識別資訊的隱私權與保護
標識碼:ISO 27001:2013 A.18.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
密碼編譯控制管理
標識碼:ISO 27001:2013 A.18.1.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
資訊安全性的獨立檢閱
標識碼:ISO 27001:2013 A.18.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
安全性原則和標準的合規性
標識碼:ISO 27001:2013 A.18.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
| 保護資訊安全性計畫 | CMA_C1732 - 保護資訊安全計劃計劃 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
技術合規性審核
標識碼:ISO 27001:2013 A.18.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
資訊安全原則
資訊安全的原則
標識碼:ISO 27001:2013 A.5.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
| 保護資訊安全性計畫 | CMA_C1732 - 保護資訊安全計劃計劃 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
檢閱資訊安全原則
標識碼:ISO 27001:2013 A.5.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 保護資訊安全性計畫 | CMA_C1732 - 保護資訊安全計劃計劃 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
資訊安全性的組織
資訊安全角色與責任
標識碼:ISO 27001:2013 A.6.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立設定計劃保護 | CMA_C1233 - 建立設定計劃保護 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義資訊安全性角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 指定個人以履行特定角色和責任 | CMA_C1747 - 指定個人履行特定角色和責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 開發設定項目識別計畫 | CMA_C1231 - 開發設定項目識別計畫 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄並實作隱私權合規程序 | CMA_0189 - 記錄並實施隱私權投訴程式 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確保公開提供隱私權計劃資訊 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 執行資訊系統的安全性狀態 | CMA_C1746 - 管理資訊系統的安全性狀態 | 手動、已停用 | 1.1.0 |
| 監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的計畫 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 保護資訊安全性計畫 | CMA_C1732 - 保護資訊安全計劃計劃 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
| 要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
權責區分
標識碼:ISO 27001:2013 A.6.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 定義存取授權以支援職能分工 | CMA_0116 - 定義存取授權以支援職能分工 | 手動、已停用 | 1.1.0 |
| 記錄職責區分 | CMA_0204 - 記錄職責區分 | 手動、已停用 | 1.1.0 |
| 個人職責劃分 | CMA_0492 - 個人職責劃分 | 手動、已停用 | 1.1.0 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
與授權單位連絡
標識碼:ISO 27001:2013 A.6.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理當局和特殊利益團體的聯繫人 | 手動、已停用 | 1.1.0 |
與特殊興趣群組聯繫
標識碼:ISO 27001:2013 A.6.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 向人員發出安全性警示 | CMA_C1705 - 向人員發出安全性警示 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立威脅情報計畫 | CMA_0260 - 建立威脅情報計畫 | 手動、已停用 | 1.1.0 |
| 產生內部安全性警示 | CMA_C1704 - 產生內部安全性警示 | 手動、已停用 | 1.1.0 |
| 實作安全性指示詞 | CMA_C1706 - 實作安全性指示詞 | 手動、已停用 | 1.1.0 |
| 管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理當局和特殊利益團體的聯繫人 | 手動、已停用 | 1.1.0 |
專案管理的資訊安全性
標識碼:ISO 27001:2013 A.6.1.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
| 配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義資訊安全性角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
| 確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
行動裝置原則
標識碼:ISO 27001:2013 A.6.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
遠距工作
標識碼:ISO 27001:2013 A.6.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
人力資源安全性
篩選
標識碼:ISO 27001:2013 A.7.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除具有機密資訊存取權的人員 | CMA_0054 - 清除具有機密資訊存取權的人員 | 手動、已停用 | 1.1.0 |
| 實作人員篩選 | CMA_0322 - 實作人員篩選 | 手動、已停用 | 1.1.0 |
| 以定義的頻率重新篩選個人 | CMA_C1512 - 以定義的頻率重新篩選個人 | 手動、已停用 | 1.1.0 |
雇用條款及條件
標識碼:ISO 27001:2013 A.7.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確保公開提供隱私權計劃資訊 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權通知傳遞方法 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權通知 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
管理責任
標識碼:ISO 27001:2013 A.7.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
| 要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
資訊安全性認知、教育與訓練
標識碼:ISO 27001:2013 A.7.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全員工開發和改進計劃 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供更新的安全性認知訓練 | CMA_C1090 - 提供更新的安全性認知訓練 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
紀律程序
標識碼:ISO 27001:2013 A.7.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作正式制裁流程 | CMA_0317 - 實作正式制裁流程 | 手動、已停用 | 1.1.0 |
| 制裁時通知人員 | CMA_0380 - 制裁時通知人員 | 手動、已停用 | 1.1.0 |
雇用職責終止或變更
標識碼:ISO 27001:2013 A.7.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
資產管理
資產詳細目錄
標識碼:ISO 27001:2013 A.8.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
資產擁有權
標識碼:ISO 27001:2013 A.8.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
可接受的資產使用
標識碼:ISO 27001:2013 A.8.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
資產退回
標識碼:ISO 27001:2013 A.8.1.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
資訊分類
標識碼:ISO 27001:2013 A.8.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
| 制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
| 確認安全性分類已核准 | CMA_C1540 - 確認安全性分類已核准 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
資訊標籤
標識碼:ISO 27001:2013 A.8.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
資產處理
標識碼:ISO 27001:2013 A.8.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發非對稱密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
卸載式媒體的管理
標識碼:ISO 27001:2013 A.8.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
媒體處置
標識碼:ISO 27001:2013 A.8.3.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
實體媒體傳輸
標識碼:ISO 27001:2013 A.8.3.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
存取控制
存取控制原則
標識碼:ISO 27001:2013 A.9.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
存取網路與網路服務
標識碼:ISO 27001:2013 A.9.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
使用者註冊和取消註冊
標識碼:ISO 27001:2013 A.9.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 指派系統識別碼 | CMA_0018 - 指派系統識別碼 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 防止在定義的時間週期重複使用識別碼 | CMA_C1314 - 防止在定義的時間週期重複使用識別碼 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
使用者存取佈建
標識碼:ISO 27001:2013 A.9.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
特殊存取權限管理
標識碼:ISO 27001:2013 A.9.2.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
管理使用者的秘密驗證資訊
標識碼:ISO 27001:2013 A.9.2.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
檢閱使用者存取權限
標識碼:ISO 27001:2013 A.9.2.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
移除或調整存取權限
標識碼:ISO 27001:2013 A.9.2.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
使用秘密驗證資訊
標識碼:ISO 27001:2013 A.9.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
資訊存取限制
標識碼:ISO 27001:2013 A.9.4.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
安全的登入程序
標識碼:ISO 27001:2013 A.9.4.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制限制連續失敗的登入嘗試 | CMA_C1044 - 強制限制連續失敗的登入嘗試 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 在驗證程式期間模糊意見反應資訊 | CMA_C1344 - 在驗證程式期間模糊意見反應資訊 | 手動、已停用 | 1.1.0 |
| 顯示錯誤訊息 | CMA_C1725 - 顯示錯誤訊息 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
密碼管理系統
標識碼:ISO 27001:2013 A.9.4.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦允許在指定的唯一密碼數目之後重複使用密碼,則電腦不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最長有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最長有效期設定為指定天數,則電腦不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最短有效期設定為指定天數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最短有效期設定為指定天數,則電腦不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核未將密碼長度下限限制為指定字元數的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼最短長度限制為指定的字元數,則電腦不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 2.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
使用特殊權限公用程式
標識碼:ISO 27001:2013 A.9.4.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
程式原始程式碼的存取控制
標識碼:ISO 27001:2013 A.9.4.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
改進
不相符性和矯正措施
標識碼:ISO 27001:2013 C.10.1.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
標識碼:ISO 27001:2013 C.10.1.e 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
標識碼:ISO 27001:2013 C.10.1.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
不相符性和矯正措施
標識碼:ISO 27001:2013 C.10.1.g 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
組織的內容
判斷資訊安全性管理系統的範圍
標識碼:ISO 27001:2013 C.4.3.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
判斷資訊安全性管理系統的範圍
標識碼:ISO 27001:2013 C.4.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
判斷資訊安全性管理系統的範圍
標識碼:ISO 27001:2013 C.4.3.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商務案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
| 確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確保資本規劃和投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
| 建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
| 控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
| 確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
資訊安全性管理系統
標識碼:ISO 27001:2013 C.4.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
領導階層
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
| 配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商務案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
| 確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確保資本規劃和投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確保公開提供隱私權計劃資訊 | 手動、已停用 | 1.1.0 |
| 在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
| 確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.e 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
| 配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商務案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
| 確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確保資本規劃和投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
| 在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
| 確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.g 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
領導力與承諾
標識碼:ISO 27001:2013 C.5.1.h 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 任命高級資訊安全官員 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新識別和驗證原則與程序 | CMA_C1299 - 檢閱並更新識別和驗證原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.e 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
原則
標識碼:ISO 27001:2013 C.5.2.g 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計劃、原則和程式 | 手動、已停用 | 1.1.0 |
組織角色、責任與授權單位
標識碼:ISO 27001:2013 C.5.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
規劃
一般
標識碼:ISO 27001:2013 C.6.1.1.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
標識碼:ISO 27001:2013 C.6.1.1.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
標識碼:ISO 27001:2013 C.6.1.1.c 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
標識碼:ISO 27001:2013 C.6.1.1.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
標識碼:ISO 27001:2013 C.6.1.1.e.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
一般
標識碼:ISO 27001:2013 C.6.1.1.e.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.a.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.a.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.c.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.c.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.d.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.d.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.d.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.e.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.6.1.2.e.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.c 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.e 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.6.1.3.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
資訊安全性目標和計畫達成目標
標識碼:ISO 27001:2013 C.6.2.e 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
支援
資源
標識碼:ISO 27001:2013 C.7.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使業務目標和 IT 目標保持一致 | CMA_0008 - 使業務目標和 IT 目標保持一致 | 手動、已停用 | 1.1.0 |
| 配置資源以判斷資訊系統需求 | CMA_C1561 - 配置資源以判斷資訊系統需求 | 手動、已停用 | 1.1.0 |
| 採用商業案例來記錄所需的資源 | CMA_C1735 - 採用商務案例來記錄所需的資源 | 手動、已停用 | 1.1.0 |
| 確認資本規劃與投資要求包含必要的資源 | CMA_C1734 - 確保資本規劃和投資要求包含必要的資源 | 手動、已停用 | 1.1.0 |
| 在預算檔中建立離散線條項目 | CMA_C1563 - 在預算檔中建立離散線條項目 | 手動、已停用 | 1.1.0 |
| 控管資源的配置 | CMA_0293 - 控管資源的配置 | 手動、已停用 | 1.1.0 |
| 確保領導者的承諾 | CMA_0489 - 確保領導者的承諾 | 手動、已停用 | 1.1.0 |
能力
標識碼:ISO 27001:2013 C.7.2.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
能力
標識碼:ISO 27001:2013 C.7.2.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
能力
標識碼:ISO 27001:2013 C.7.2.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
能力
標識碼:ISO 27001:2013 C.7.2.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
注意
標識碼:ISO 27001:2013 C.7.3.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
注意
標識碼:ISO 27001:2013 C.7.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
注意
標識碼:ISO 27001:2013 C.7.3.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
通訊
標識碼:ISO 27001:2013 C.7.4.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
標識碼:ISO 27001:2013 C.7.4.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
標識碼:ISO 27001:2013 C.7.4.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
標識碼:ISO 27001:2013 C.7.4.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
通訊
標識碼:ISO 27001:2013 C.7.4.e 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定授權的人員以張貼可公開存取的資訊 | CMA_C1083 - 指定授權的人員以張貼可公開存取的資訊 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
建立和更新
標識碼:ISO 27001:2013 C.7.5.2.c 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.c 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.e 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
控制記錄的資訊
標識碼:ISO 27001:2013 C.7.5.3.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
作業
作業規劃與控制
標識碼:ISO 27001:2013 C.8.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
資訊安全性風險評量
標識碼:ISO 27001:2013 C.8.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
資訊安全性風險處理
標識碼:ISO 27001:2013 C.8.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
效能評估
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.e 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
監視、測量、分析及評估
標識碼:ISO 27001:2013 C.9.1.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.a.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.a.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.c 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.e 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 調整稽核檢閱、分析及報告的層級 | CMA_C1123 - 調整稽核檢閱、分析及報告的層級 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 採用獨立評量器以進行安全性控制評量 | CMA_C1148 - 採用獨立評量器以進行安全性控制評量 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
內部稽核
標識碼:ISO 27001:2013 C.9.2.g 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.a 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 實作安全性計畫程式的動作計畫與里程碑 | CMA_C1737 - 針對安全性計劃程式實作行動計劃和里程碑 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.b 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.c.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.c.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.c.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.c.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 定義效能計量 | CMA_0124 - 定義效能計量 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.d 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.e 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
管理檢閱
標識碼:ISO 27001:2013 C.9.3.f 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。