NIST Auditor Checklist

NIST CSF Denetçi Kontrol Listesi
İşlev Kategori
KİMLİK (kimlik) Varlık Yönetimi (ID.AM): Kuruluşun iş
amaçlarına ulaşmasını sağlayan veriler,
personel, cihazlar, sistemler ve tesisler,
kuruluş hedeflerine ve kuruluşun risk
stratejisine göreli önemleriyle tutarlı
olarak tanımlanır ve yönetilir.
İş Ortamı (ID.BE): Kuruluşun misyonu,

amaçları, paydaşları ve faaliyetleri
anlaşılır ve önceliklendirilir; bu bilgiler
siber güvenlik rollerini, sorumluluklarını
ve risk yönetimi kararlarını bildirmek için
kullanılır.
Yönetim (ID.GV): Kuruluşun düzenleyici,

yasal, risk, çevresel ve operasyonel
gereksinimlerini yönetmek ve izlemek
için politikalar, prosedürler ve süreçler
anlaşılır ve siber güvenlik riski yönetimini
bilgilendirir.
Risk Değerlendirmesi (ID.RA): Kuruluş,
kurumsal operasyonlara (misyon,
işlevler, imaj veya itibar dahil), kurumsal
varlıklara ve bireylere yönelik siber
güvenlik riskini anlar.
Risk Yönetimi Stratejisi (ID.RM):

Kuruluşun öncelikleri, kısıtlamaları, risk
toleransları ve varsayımları belirlenir ve
operasyonel risk kararlarını desteklemek
için kullanılır.
Tedarik Zinciri Risk Yönetimi

(ID.SC):Kuruluşun öncelikleri,
kısıtlamaları, risk toleransları ve
varsayımları, tedarik zinciri riskinin
yönetimiyle ilişkili risk kararlarını
desteklemek için belirlenir ve kullanılır.
Kuruluş, tedarik zinciri risklerini
belirlemek, değerlendirmek ve yönetmek
için süreçleri oluşturmuş ve uygulamıştır.
KORUMA (PR) Kimlik Yönetimi, Kimlik Doğrulama ve
Erişim Kontrolü (PR.AC): Fiziksel ve
mantıksal varlıklara ve ilgili tesislere
erişim, yetkili kullanıcılar, süreçler ve
cihazlarla sınırlıdır ve yetkili faaliyetlere
ve işlemlere yetkisiz erişime ilişkin
değerlendirilen riskle tutarlı bir şekilde
yönetilir.
Farkındalık ve Eğitim (PR.AT): Kuruluşun

personeline ve ortaklarına siber güvenlik
bilinci eğitimi verilir ve siber güvenlikle
ilgili görev ve sorumluluklarını ilgili
politikalar, prosedürler ve anlaşmalarla
uyumlu olarak yerine getirmeleri için
eğitilir.
Veri Güvenliği (PR.DS): Bilgi ve kayıtlar

(veriler), bilgilerin gizliliğini, bütünlüğünü
ve kullanılabilirliğini korumak için
kuruluşun risk stratejisiyle tutarlı bir
şekilde yönetilir.
Bilgi Koruma Süreçleri ve Prosedürleri
(PR.IP): Güvenlik politikaları (amaç,
kapsam, roller, sorumluluklar, yönetim
taahhüdü ve kurumsal varlıklar
arasındaki koordinasyonu ele alan),
süreçler ve prosedürler sürdürülür ve
bilgi sistemleri ve varlıklarının
korunmasını yönetmek için kullanılır.
Bakım (PR.MA): Endüstriyel kontrol ve

bilgi sistemi bileşenlerinin bakım ve
onarımları, politika ve prosedürlere
uygun olarak gerçekleştirilir.
Bakım (PR.MA): Endüstriyel kontrol ve
bilgi sistemi bileşenlerinin bakım ve
onarımları, politika ve prosedürlere
uygun olarak gerçekleştirilir.
Koruyucu Teknoloji (PR.PT): Teknik

güvenlik çözümleri, ilgili politikalar,
prosedürler ve anlaşmalarla tutarlı olarak
sistemlerin ve varlıkların güvenliğini ve
esnekliğini sağlamak için yönetilir.
ALGILA (DE) Anormallikler ve Olaylar (DE.AE):

Anormal aktivite tespit edilir ve olayların
potansiyel etkisi anlaşılır.
Güvenlik Sürekli İzleme (DE.CM): Bilgi

sistemi ve varlıklar, siber güvenlik
olaylarını tanımlamak ve koruyucu
önlemlerin etkinliğini doğrulamak için
izlenir.
Algılama İşlemleri (DE.DP):Anormal
olayların farkındalığını sağlamak için
algılama süreçleri ve prosedürleri
korunur ve test edilir.
YANIT (RS) Müdahale Planlaması (RS.RP): Tespit

edilen siber güvenlik olaylarına
müdahale edilmesini sağlamak için
İletişim (RS.CO): Müdahale faaliyetleri,
iç ve dış paydaşlarla koordine edilir
(örneğin, kolluk kuvvetlerinin dış
desteği).
Analiz (RS.AN): Etkili müdahaleyi

sağlamak ve kurtarma faaliyetlerini
desteklemek için analiz yapılır.
Azaltma (RS.MI): Bir olayın yayılmasını

önlemek, etkilerini azaltmak ve olayı
çözmek için faaliyetler gerçekleştirilir.
İyileştirmeler (RS.IM): Organizasyonel
müdahale faaliyetleri, mevcut ve önceki
tespit/yanıt faaliyetlerinden öğrenilen
derslerin dahil edilmesiyle geliştirilir.
KURTARMA (RC) Kurtarma Planlaması (RC.RP):Siber

güvenlik olaylarından etkilenen
sistemlerin veya varlıkların geri
İyileştirmeler (RC.IM): Kurtarma
planlaması ve süreçleri, öğrenilen
derslerin gelecekteki faaliyetlere dahil
edilmesiyle iyileştirilir.
İletişim (RC.CO): Geri yükleme

faaliyetleri, iç ve dış taraflarla (örn.
koordinasyon merkezleri, İnternet Servis
Sağlayıcıları, saldırı sistemlerinin
sahipleri, kurbanlar, diğer CSIRT'ler ve
satıcılar) koordine edilir.
istesi
alt kategori Uyumlu
ID.AM-1: Kuruluş içindeki fiziksel cihazlar ve Evet
sistemler envantere alınır
ID.AM-2: Kurum içindeki yazılım platformları Evet
ve uygulamalarının envanteri çıkarılır.
ID.AM-3: Kurumsal iletişim ve veri akışları Numara

eşlenir
ID.AM-4: Dış bilgi sistemleri kataloglanır Evet
ID.AM-5: Kaynaklar (örn. donanım, cihazlar, Evet

veriler, zaman, personel ve yazılım)
sınıflandırmalarına, kritikliklerine ve iş
değerlerine göre önceliklendirilir
ID.AM-6: Tüm işgücü ve üçüncü taraf Numara

paydaşlar (örneğin tedarikçiler, müşteriler,
ortaklar) için siber güvenlik rolleri ve
sorumlulukları belirlenir.
ID.BE-1: Kuruluşun tedarik zincirindeki rolü Numara

belirlenir ve iletilir
Kimlik.BE-2: Kuruluşun kritik altyapı ve sanayi Numara
sektöründeki yeri belirlenir ve iletilir.
ID.BE-3:Organizasyonel misyon, hedefler ve Numara

faaliyetler için öncelikler belirlenir ve iletilir
ID.BE-4: Kritik hizmetlerin sağlanması için Numara

bağımlılıklar ve kritik işlevler belirlenir
ID.BE-5: Tüm çalışma durumları için kritik Numara

hizmetlerin sunulmasını desteklemek için
esneklik gereksinimleri belirlenir (örn.
baskı/saldırı altında, kurtarma sırasında,
normal operasyonlar sırasında)
Kimlik.GV-1: Kurumsal siber güvenlik Numara

politikası oluşturulur ve iletilir
Kimlik.GV-2: Siber güvenlik rolleri ve Numara
sorumlulukları, iç roller ve dış ortaklarla
koordine edilir ve hizalanır
Kimlik.GV-3:Gizlilik ve sivil özgürlük Numara
yükümlülükleri dahil olmak üzere siber
güvenlikle ilgili yasal ve düzenleyici
gereklilikler anlaşılır ve yönetilir
Kimlik.GV-4: Yönetişim ve risk yönetimi Evet
süreçleri siber güvenlik risklerini ele alır
ID.RA-1: Varlık güvenlik açıkları tanımlanır ve Evet w/CC
belgelenir
ID.RA-2: Bilgi paylaşım forumlarından ve Evet
kaynaklarından siber tehdit istihbaratı alınır
ID.RA-3: Hem dahili hem de harici tehditler Evet

tanımlanır ve belgelenir
ID.RA-4: Potansiyel iş etkileri ve olasılıkları Evet

belirlenir
ID.RA-5: Riski belirlemek için tehditler, Evet
güvenlik açıkları, olasılıklar ve etkiler kullanılır.
ID.RA-6: Risk yanıtları belirlenir ve Evet
önceliklendirilir
ID.RM-1: Risk yönetimi süreçleri, kurumsal Numara
paydaşlar tarafından oluşturulur, yönetilir ve
kabul edilir.
ID.RM-2: Kurumsal risk toleransı belirlenir ve Numara
açıkça ifade edilir
Kimlik.RM-3: Kuruluşun risk toleransı Numara
belirlemesi, kritik altyapıdaki rolü ve sektöre
özel risk analizi ile bilgilendirilir.
Kimlik.SC-1: Siber tedarik zinciri risk yönetimi Numara

süreçleri, kurumsal paydaşlar tarafından
tanımlanır, kurulur, değerlendirilir, yönetilir ve
kabul edilir.
Kimlik.SC-2: Bilgi sistemleri, bileşenleri ve Evet

hizmetlerinin tedarikçileri ve üçüncü taraf
ortakları bir siber tedarik zinciri risk
değerlendirme süreci kullanılarak tanımlanır,
önceliklendirilir ve değerlendirilir
Kimlik.SC-3: Tedarikçiler ve üçüncü taraf Numara

ortaklarla yapılan sözleşmeler, bir kuruluşun
siber güvenlik programının ve Siber Tedarik
Zinciri Risk Yönetim Planının hedeflerini
karşılamak için tasarlanmış uygun önlemleri
uygulamak için kullanılır.
Kimlik.SC-4:Tedarikçiler ve üçüncü taraf Numara

ortaklar, sözleşme yükümlülüklerini yerine
getirdiklerini doğrulamak için denetimler, test
sonuçları veya diğer değerlendirme biçimleri
kullanılarak rutin olarak değerlendirilir.
Kimlik.SC-5: Müdahale ve kurtarma Numara
planlaması ve testleri, tedarikçiler ve üçüncü
taraf sağlayıcılarla yapılır.
PR.AC-1: Yetkili cihazlar, kullanıcılar ve Numara
süreçler için kimlikler ve kimlik bilgileri verilir,
yönetilir, doğrulanır, iptal edilir ve denetlenir
PR.AC-2: Varlıklara fiziksel erişim yönetilir ve Numara

korunur
PR.AC-3: Uzaktan erişim yönetiliyor Numara
PR.AC-4:Erişim izinleri ve yetkileri, en az Evet

ayrıcalık ve görevler ayrılığı ilkelerini içerecek
şekilde yönetilir.
PR.AC-5: Ağ bütünlüğü korunur (örneğin, ağ Numara

ayrımı, ağ segmentasyonu)
PR.AC-6: Kimlikler kanıtlanır ve kimlik Numara

bilgilerine bağlıdır ve etkileşimlerde ileri
sürülür
PR.AC-7: Kullanıcılar, cihazlar ve diğer Evet
varlıkların kimliği, işlemin riski (örneğin,
kişilerin güvenlik ve gizlilik riskleri ve diğer
kurumsal riskler) ile orantılı olarak doğrulanır
(örneğin, tek faktörlü, çok faktörlü)
PR.AT-1: Tüm kullanıcılar bilgilendirilir ve Numara

eğitilir
PR.AT-2: Ayrıcalıklı kullanıcılar rollerini ve Numara
sorumluluklarını anlar
PR.AT-3:Üçüncü taraf paydaşlar (örneğin Numara
tedarikçiler, müşteriler, ortaklar) rollerini ve
PR.AT-4: Üst düzey yöneticiler rollerini ve Numara
PR.AT-5: Fiziksel ve siber güvenlik personeli Numara
rollerini ve sorumluluklarını anlar
PR.DS-1: Kullanılmayan veriler korunur Numara
PR.DS-2: Aktarılan veriler korunur Numara
PR.DS-3: Varlıklar, kaldırma, transferler ve Numara

elden çıkarma boyunca resmi olarak yönetilir
PR.DS-4: Kullanılabilirliğin korunmasını Numara

sağlamak için yeterli kapasite
PR.DS-5: Veri sızıntılarına karşı korumalar Numara
uygulanır
PR.DS-6: Yazılım, bellenim ve bilgi Numara
bütünlüğünü doğrulamak için bütünlük
kontrol mekanizmaları kullanılır.
PR.DS-7:Geliştirme ve test ortam(lar)ı üretim Numara
ortamından ayrıdır
PR.DS-8: Donanım bütünlüğünü doğrulamak Numara

için bütünlük kontrol mekanizmaları kullanılır
PR.IP-1: Bilgi teknolojisi/endüstriyel kontrol Numara
sistemlerinin temel bir konfigürasyonu,
güvenlik ilkelerini (örneğin en az işlevsellik
kavramı) içeren bir şekilde oluşturulur ve
sürdürülür.
PR.IP-2: Sistemleri yönetmek için bir Sistem Numara

Geliştirme Yaşam Döngüsü uygulanır
PR.IP-3: Konfigürasyon değişikliği kontrol Numara
süreçleri mevcut
PR.IP-4: Bilgilerin yedekleri yürütülür, korunur Numara
ve test edilir
PR.IP-5:Kurumsal varlıklar için fiziksel çalışma Numara
ortamına ilişkin politika ve düzenlemeler
karşılanır
PR.IP-6: Veriler politikaya göre yok edilir Numara
PR.IP-7: Koruma süreçleri iyileştirildi Numara
PR.IP-8: Koruma teknolojilerinin etkinliği Numara

paylaşılıyor
PR.IP-9: Müdahale planları (Olay Müdahalesi Numara
ve İş Sürekliliği) ve kurtarma planları (Olay
Kurtarma ve Olağanüstü Durum Kurtarma)
yürürlüktedir ve yönetilmektedir
PR.IP-10: Müdahale ve kurtarma planları test Numara

edilir
PR.IP-11: Siber güvenlik, insan kaynakları Numara
uygulamalarına dahil edilir (örneğin,
provizyondan çıkarma, personel taraması)
PR.IP-12: Bir güvenlik açığı yönetim planı Numara
geliştirildi ve uygulandı
PR.MA-1:Organizasyonel varlıkların bakım ve Numara
onarımı, onaylı ve kontrollü araçlarla yapılır ve
kaydedilir
PR.MA-2: Kurumsal varlıkların uzaktan Numara
bakımı, yetkisiz erişimi önleyecek şekilde
onaylanır, günlüğe kaydedilir ve
gerçekleştirilir.
PR.PT-1: Denetim/kayıt kayıtları politikaya Numara

uygun olarak belirlenir, belgelenir, uygulanır
ve gözden geçirilir
PR.PT-2: Çıkarılabilir medya korunur ve Numara
kullanımı politikaya göre kısıtlanır
PR.PT-3: En az işlevsellik ilkesi, sistemlerin Numara
yalnızca temel yetenekleri sağlayacak şekilde
yapılandırılmasıyla birleştirilir.
PR.PT-4: İletişim ve kontrol ağları korunur Numara
PR.PT-5:Normal ve olumsuz durumlarda Numara

esneklik gereksinimlerine ulaşmak için
mekanizmalar (örn. arıza güvenliği, yük
dengeleme, çalışırken değiştirme)
uygulanmaktadır.
DE.AE-1: Kullanıcılar ve sistemler için ağ Evet
operasyonları ve beklenen veri akışlarına
ilişkin bir temel oluşturulur ve yönetilir
DE.AE-2: Tespit edilen olaylar, saldırı Numara
hedeflerini ve yöntemlerini anlamak için analiz
edilir
DE.AE-3: Olay verileri, birden fazla kaynaktan Numara
ve sensörden toplanır ve ilişkilendirilir
DE.AE-4: Olayların etkisi belirlenir Numara
DE.AE-5: Olay uyarı eşikleri oluşturuldu Numara
DE.CM-1:Ağ, olası siber güvenlik olaylarını Evet

tespit etmek için izlenir
DE.CM-2: Potansiyel siber güvenlik olaylarını Evet
tespit etmek için fiziksel ortam izlenir

tespit etmek için personel faaliyetleri izlenir
DE.CM-4: Kötü amaçlı kod algılandı Numara
DE.CM-5: Yetkisiz mobil kod algılandı Evet

tespit etmek için harici hizmet sağlayıcı
etkinliği izlenir
DE.CM-7: Yetkisiz personel, bağlantılar, Evet
cihazlar ve yazılımlar için izleme yapılır
DE.CM-8: Güvenlik açığı taramaları Evet
gerçekleştirilir
DE.DP-1: Tespit için roller ve sorumluluklar, Numara
hesap verebilirliği sağlamak için iyi
tanımlanmıştır
DE.DP-2: Algılama faaliyetleri geçerli tüm Numara
gerekliliklere uygundur
DE.DP-3: Algılama süreçleri test edilir Evet
DE.DP-4: Olay algılama bilgileri iletilir Numara
DE.DP-5: Algılama süreçleri sürekli olarak Numara

iyileştirilir
RS.RP-1: Müdahale planı, bir olay sırasında Numara
veya sonrasında yürütülür
RS.CO-1:Personel, bir yanıt gerektiğinde Numara
rollerini ve işlem sırasını bilir
RS.CO-2: Olaylar, belirlenen kriterlere uygun Numara

olarak raporlanır
RS.CO-3: Bilgi, müdahale planlarıyla tutarlı Numara
olarak paylaşılır
RS.CO-4: Paydaşlarla koordinasyon, müdahale Numara
planlarıyla tutarlı bir şekilde gerçekleşir
RS.CO-5: Daha geniş siber güvenlik durumsal Numara
farkındalığı elde etmek için dış paydaşlarla
gönüllü bilgi paylaşımı gerçekleşir
RS.AN-1: Algılama sistemlerinden gelen Numara
bildirimler incelenir
RS.AN-2: Olayın etkisi anlaşıldı Evet
RS.AN-3: Adli tıp yapılır Numara
RS.AN-4: Olaylar, müdahale planlarıyla tutarlı Evet

olarak kategorize edilir
RS.AN-5:Kuruma iç ve dış kaynaklardan (ör. Numara
dahili testler, güvenlik bültenleri veya güvenlik
araştırmacıları) açıklanan güvenlik açıklarını
almak, analiz etmek ve bunlara yanıt vermek
için süreçler oluşturulur.
RS.MI-1: Olaylar kontrol altına alındı Numara
RS.MI-2: Olaylar hafifletildi Evet
RS.MI-3: Yeni tanımlanan güvenlik açıkları Numara

azaltılır veya kabul edilen riskler olarak
belgelenir
RS.IM-1: Müdahale planları öğrenilen dersleri Numara
içerir
RS.IM-2: Yanıt stratejileri güncellendi Numara
RC.RP-1: Kurtarma planı, bir siber güvenlik Evet

olayı sırasında veya sonrasında yürütülür
RC.IM-1: Kurtarma planları öğrenilen dersleri Numara
içerir
RC.IM-2: Kurtarma stratejileri güncellendi Numara
RC.CO-1: Halkla ilişkiler yönetiliyor Evet
RC.CO-2: İtibar bir olaydan sonra onarılır Numara
RC.CO-3:Kurtarma faaliyetleri, iç ve dış Numara

paydaşların yanı sıra yönetici ve yönetim
ekiplerine iletilir
Referanslar Konular
Uygunluk Kanıtı, Varlık Envanteri Çalışma Sayfası
Uygunluk Kanıtı, Uygulama Envanteri Çalışma Sayfası
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını Risk Tedavi Planına bakınız.
Tanımlayın
Uygunluk Kanıtı, Dış Bilgi Sistemi Çalışma Sayfası
Uygunluk Kanıtı, Politikalar ve Prosedürler
Uygunluk Kanıtı, Politikalar ve Prosedürler Risk Tedavi Planına bakınız.
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını Risk Tedavi Planına ve Telafi Edici Kontrol Çalışma
Tanımlayın Sayfasına bakın.
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını
Tanımlayın
Risk Analizi, Risk Tedavi Planı, Sorun Raporuna Göre

Dış Güvenlik Açığı Tarama Ayrıntısı, Windows Yama
Özeti, Tam Ayrıntı Excel Dışa Aktarma
Risk Analizi, Risk Tedavi Planı
Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını

Tanımlayın
Tanımlayın
Tanımlayın
Tanımlayın
Uygunluk Kanıtı, NIST CSF - Koruma Çalışma Sayfası Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, NIST CSF - Koruma Çalışma Sayfası
Uygunluk Kanıtı, NIST CSF - Koruma Çalışma Sayfası
Uygunluk Kanıtı, NIST CSF - Algılama Çalışma Sayfası
Uygunluk Kanıtı, NIST CSF - Algılama Çalışma Sayfası Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, Antivirüs Doğrulama Çalışma Sayfası Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, NIST CSF - Algılama Çalışma Sayfası,

Antivirüs Doğrulama Çalışma Sayfası

Uygunluk Kanıtı, Sorun Raporuna Göre Dış Güvenlik
Açığı Tarama Ayrıntısı
Uygunluk Kanıtı, NIST CSF - Algılama Çalışma Sayfası, Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, NIST CSF - Yanıt Çalışma Sayfası Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, NIST CSF - Yanıt Çalışma Sayfası
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını Kurtar
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını Kurtar Risk Tedavi Planına bakınız.
Uygunluk Kanıtı, NIST CSF - Çalışma Sayfasını Kurtar

NIST Auditor Checklist

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NIST Auditor Checklist

Uploaded by

Copyright:

Available Formats

NIST CSF Denetçi Kontrol Listesi

İş Ortamı (ID.BE): Kuruluşun misyonu,

Yönetim (ID.GV): Kuruluşun düzenleyici,

Risk Yönetimi Stratejisi (ID.RM):

Tedarik Zinciri Risk Yönetimi

Farkındalık ve Eğitim (PR.AT): Kuruluşun

Veri Güvenliği (PR.DS): Bilgi ve kayıtlar

Bakım (PR.MA): Endüstriyel kontrol ve

Koruyucu Teknoloji (PR.PT): Teknik

ALGILA (DE) Anormallikler ve Olaylar (DE.AE):

Güvenlik Sürekli İzleme (DE.CM): Bilgi

YANIT (RS) Müdahale Planlaması (RS.RP): Tespit

Analiz (RS.AN): Etkili müdahaleyi

Azaltma (RS.MI): Bir olayın yayılmasını

KURTARMA (RC) Kurtarma Planlaması (RC.RP):Siber

İletişim (RC.CO): Geri yükleme

ID.AM-3: Kurumsal iletişim ve veri akışları Numara

ID.AM-5: Kaynaklar (örn. donanım, cihazlar, Evet

ID.AM-6: Tüm işgücü ve üçüncü taraf Numara

ID.BE-1: Kuruluşun tedarik zincirindeki rolü Numara

ID.BE-3:Organizasyonel misyon, hedefler ve Numara

ID.BE-4: Kritik hizmetlerin sağlanması için Numara

ID.BE-5: Tüm çalışma durumları için kritik Numara

Kimlik.GV-1: Kurumsal siber güvenlik Numara

ID.RA-3: Hem dahili hem de harici tehditler Evet

ID.RA-4: Potansiyel iş etkileri ve olasılıkları Evet

Kimlik.SC-1: Siber tedarik zinciri risk yönetimi Numara

Kimlik.SC-2: Bilgi sistemleri, bileşenleri ve Evet

Kimlik.SC-3: Tedarikçiler ve üçüncü taraf Numara

Kimlik.SC-4:Tedarikçiler ve üçüncü taraf Numara

PR.AC-2: Varlıklara fiziksel erişim yönetilir ve Numara

PR.AC-4:Erişim izinleri ve yetkileri, en az Evet

PR.AC-5: Ağ bütünlüğü korunur (örneğin, ağ Numara

PR.AC-6: Kimlikler kanıtlanır ve kimlik Numara

PR.AT-1: Tüm kullanıcılar bilgilendirilir ve Numara

PR.DS-1: Kullanılmayan veriler korunur Numara

PR.DS-2: Aktarılan veriler korunur Numara

PR.DS-3: Varlıklar, kaldırma, transferler ve Numara

PR.DS-4: Kullanılabilirliğin korunmasını Numara

PR.DS-8: Donanım bütünlüğünü doğrulamak Numara

PR.IP-2: Sistemleri yönetmek için bir Sistem Numara

PR.IP-7: Koruma süreçleri iyileştirildi Numara

PR.IP-8: Koruma teknolojilerinin etkinliği Numara

PR.IP-10: Müdahale ve kurtarma planları test Numara

PR.PT-1: Denetim/kayıt kayıtları politikaya Numara

PR.PT-5:Normal ve olumsuz durumlarda Numara

DE.AE-4: Olayların etkisi belirlenir Numara

DE.AE-5: Olay uyarı eşikleri oluşturuldu Numara

DE.CM-1:Ağ, olası siber güvenlik olaylarını Evet

DE.CM-3: Potansiyel siber güvenlik olaylarını Evet

DE.CM-5: Yetkisiz mobil kod algılandı Evet

DE.CM-6: Potansiyel siber güvenlik olaylarını Evet

DE.DP-4: Olay algılama bilgileri iletilir Numara

DE.DP-5: Algılama süreçleri sürekli olarak Numara

RS.CO-2: Olaylar, belirlenen kriterlere uygun Numara

RS.AN-3: Adli tıp yapılır Numara

RS.AN-4: Olaylar, müdahale planlarıyla tutarlı Evet

RS.MI-1: Olaylar kontrol altına alındı Numara

RS.MI-2: Olaylar hafifletildi Evet

RS.MI-3: Yeni tanımlanan güvenlik açıkları Numara

RC.RP-1: Kurtarma planı, bir siber güvenlik Evet

RC.CO-1: Halkla ilişkiler yönetiliyor Evet

RC.CO-2: İtibar bir olaydan sonra onarılır Numara