机构名称:
¥ 3.0
0 级(“基础”)—— 3 项控制措施 0 级“基础”CRP 通常是在供应商交付输出时评估的网络风险非常低的情况下分配的。它要求供应商组织展示基本的网络安全实践。 1 级(“基础”)—— 101 项控制措施 1 级“基础”CRP 通常是在供应商交付输出时评估的网络风险为低到中等水平的情况下分配的。它要求供应商组织展示具有良好实践的全面网络安全计划。 2 级(“高级”)—— 139 项控制措施 2 级“高级”CRP 通常是在供应商交付合同输出时评估的网络风险高的情况下分配的。它要求供应商组织展示先进的网络安全监督和规划,以推动健全的组织和网络实践。 3 级(“专家”)——144 项控制措施 3 级“专家”CRP 通常在供应商交付合同输出时评估出存在大量网络风险时分配。它要求供应商组织展示专家网络安全能力,充分利用“纵深防御”方法,适当保护组织免受新威胁和不断演变的威胁。 2.3 第 3 条详细说明了每个 CRP 的控制要求。 2.4 对于第 3 条中提到的每项控制要求,供应商应确保他们已制定并实施了具有可审计证据的控制措施。 2.5 如果特定控制措施被认为不适用于特定情况/不切实际,供应商应记录在案并在投标时向主管部门提出,或者如果在任何合同活动期间发现,应立即向主管部门提出。 2.6 第 3 条中使用“职能”一词时,最好将其视为指持续运营所必需的一般业务活动和与交付合同输出相关的任何特定活动。 2.7 当第 3 条中使用“数据”一词时,最好将此术语视为包含供应商为支持其职能而生成、存储或处理的任何信息。2.8 供应商应参考合同文件,包括最新版本的 DEFCON 658 和安全方面函(如有发布),以获得这些术语的完整合同定义。
国防标准 05-138 第 4 期 日期:14 网络安全...
主要关键词
相关文件推荐
