一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限于此):信息安全方针风险评估报告适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全img审计规定文件及材料控制程序安全事件处理流程。
三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,由各个相关部门自行维护。
ISO27001的3个内容:
14个控制领域
39个控制目标
133个控制措施
4. [总结]CWE-1340 CISQ 数据保护检测视图, GDPR、CCPA和CMMC高度相关,并重点寻求通过软件弱点(CWE)来遵守与数据保护和隐私相关的监管指南的企业的相关性;
代码扫描工具可以通过检测CWE-1340 CISQ 数据保护检测视图中对应的软件弱点(CWE), 从而发现系统或设备是否存在数据/隐私泄漏;
这样的扫描将揭示与流程评估相关的数据保护/隐私控制是否得到了适当实施;
这样的扫描可以满足CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相关的过程评估;
这个的扫描可以实现工具对数据保护/隐私控制的自动化检测。
5. [参考]CISQ自动源码数据保护检测工作组
General Data Protection Regulation
California Consumer Privacy Act
Cybersecurity Maturity Model Certification
NIST.SP.800-53r5
NIST.SP.800-171r2
2020-02-27 网络安全成熟度模型 (CMMC) 解读:美国防部网空防御能力的重要变革