机构名称:
¥ 3.0
级别0('Basic') - 3控制级别0'Basic'CRP通常分配给提供输出的供应商评估的网络风险非常低的地方。它要求供应商组织展示基本的网络安全实践。级别1(“基础”) - 101控制1级“基础” CRP通常是分配的,而对于提供输出的供应商的评估网络风险低至中等水平。它要求供应商组织以良好的实践来展示一项全面的网络安全计划。级别2(“高级”) - 139控制2级“高级” CRP通常分配给供应商进行高度评估的网络风险,以交付合同的产出。它要求供应商组织展示高级网络安全监督并计划推动强大的组织和网络实践。级别3('Expert') - 144控制3级“专家” CRP通常是分配的,而从交付合同产出的供应商那里有大量评估的网络风险。它要求供应商组织展示专家的网络安全能力,以充分利用“深入辩护”方法,以适当保护组织免受新的和不断发展的威胁。2.3每个CRP的控制要求在第3条中详细介绍。2.4对于第3条所引用的每个控制要求,供应商应确保他们具有记录和实施的控制权,并具有可审核的证据。2.5,如果特定情况下指定的控件不适当/不切实际,则应由供应商记录并在投标时将其标记给当局,或在任何合同活动期间立即确定。2.6,如果第3条中使用术语“函数”一词,则将此术语视为涉及持续操作至关重要的一般业务活动以及与交付合同产出有关的任何特定活动所必需的一般业务活动。2.7,如果第3条中使用术语“数据”一词,则将此术语视为包含供应商支持其功能的任何信息,将此术语视为包含任何生成,存储或处理的信息。2.8供应商应参考合同文件,包括最新版本的Defcon 658和“安全方面的信”(在已发行的情况下),以全面合同定义这些条款。
国防标准05-138-第4期日期
主要关键词
相关文件推荐
