云控制矩陣4.0（中英版）本文由云安全聯盟大中華區（CSAGCR）CCM4.0翻譯專家組對《CloudControlsMatrixv4》進行翻譯審校。翻譯審校工作專家（以下排名按字母先后排序）?2021云安全聯盟大中華區-保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網（）。但必須遵守以下條件a）本文僅可用作個人、信息獲取，非商業用途；（b）不得以任何方式篡改本文內容c）本文不得轉發d）該商標、版權或其他聲明不得刪除。在遵循中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。?2021云安全聯盟大中華區-版權所有第2頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRCLOUDCONTROLSMATRIXVERSION4.0ControlTitleCLOUDCONTROLSMATRIXVERSION4.0ControlTitleControlIDUpdatedControlSpecification控制措施控制編號更新的控制措施規范云控制矩陣4.0Audit&Assurance-A&A審計&保障AuditandAssurancePolicyandProcedures審計與保障的策略及規程A&A-01Establish,document,approve,communicate,apply,evaluateandmaintainauditandassurancepoliciesandproceduresandstandards.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護審計和保障策略、規程和標準。至少每年一次審查和更新公司的策略和規程。IndependentAssessments獨立評估A&A-02Conductindependentauditandassuranceassessmentsaccordingtorelevantstandardsatleastannually.每年至少一次，根據相關標準進行獨立審計和保障評估RiskBasedPlanningAssessment基于風險規劃評估A&A-03Performindependentauditandassuranceassessmentsaccordingtorisk-basedplansandpolicies.根據基于風險的計劃和策略執行獨立的審計和保證評估RequirementsCompliance符合性需求A&A-04Verifycompliancewithallrelevantstandards,regulations,legal/contractual,andstatutoryrequirementsapplicabletotheaudit.驗證符合所有適用于審計的相關標準、法規、法律/合同和法定要求AuditManagementProcess審計管理過程A&A-05DefineandimplementanAuditManagementprocesstosupportauditplanning,riskanalysis,securitycontrolassessment,conclusion,remediationschedules,reportgeneration,andreviewofpastreportsandsupportingevidence.定義和實施審計管理過程，以支持審計計劃、風險分析、安全控制評估、結論、補救計劃、報告生成，以及對過去報告和相關證據的審查。Remediation補救A&A-06Establish,document,approve,communicate,apply,evaluateandmaintainarisk-basedcorrectiveactionplantoremediateauditfindings,reviewandreportremediationstatustorelevantstakeholders.建立、記錄、批準、溝通、應用、評估和維護基于風險的糾正行動計劃，以修正審計發現，審查并向相關利益相關者報告修正狀況。Application&InterfaceSecurity-AIS應用程序和接口安全ApplicationandInterfaceSecurityPolicyandProcedures應用和接口安全策略和規程AIS-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforapplicationsecuritytoprovideguidancetotheappropriateplanning,deliveryandsupportoftheorganization'sapplicationsecuritycapabilities.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、申請、評估和維護應用程序安全策略和規程，為組織的應用程序安全能力的適當規劃、交付和支持提供指導。每年至少一次審查和更新公司的策略和規程。ApplicationSecurityBaselineRequirements應用程序安全基線需求AIS-02Establish,documentandmaintainbaselinerequirementsforsecuringdifferentapplications.建立、記錄和維護保護不同應用程序的基線要求。ApplicationSecurityMetrics應用程序安全指標AIS-03Defineandimplementtechnicalandoperationalmetricsinalignmentwithbusinessobjectives,securityrequirements,andcomplianceobligations.根據業務目標、安全需求和合規義務，定義和實施技術和運行的指標。SecureApplicationDesignandDevelopment應用程序安全設計和開發AIS-04DefineandimplementaSDLCprocessforapplicationdesign,development,deployment,andoperationinaccordancewithsecurityrequirementsdefinedbytheorganization.根據組織定義的安全需求，定義并實現應用程序設計、開發、部署和運行的SDLC過程AutomatedApplicationSecurityTesting自動應用程序安全測試AIS-05Implementatestingstrategy,includingcriteriaforacceptanceofnewinformationsystems,upgradesandnewversions,whichprovidesapplicationsecurityassuranceandmaintainscompliancewhileenablingorganizationalspeedofdeliverygoals.Automatewhenapplicableandpossible.實現一個測試戰略，包括新的信息系統、升級和新版本的接受準則，這提供了應用程序的安全保障，并在實現組織交付速度目標的同時保持遵從性。在適用和可能的情況下，自動化。AutomatedSecureApplicationDeployment自動應用程序安全部署AIS-06Establishandimplementstrategiesandcapabilitiesforsecure,standardized,andcompliantapplicationdeployment.Automatewherepossible.為安全、標準化和兼容的應用程序部署建立和實施戰略和能力。盡可能自動化。?2021云安全聯盟大中華區-版權所有第3頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRApplicationVulnerabilityRemediation應用程序漏洞修復AIS-07Defineandimplementaprocesstoremediateapplicationsecurityvulnerabilities,automatingremediationwhenpossible.定義并實施修復應用程序安全脆弱性的過程，并在可能時自動修復。ssCtiityMaagementndOpetinlRsilieeBCR業BusinessContinuityManagementPolicyandProcedures業務連續性管理策略和規程BCR-01Establish,document,approve,communicate,apply,evaluateandmaintainbusinesscontinuitymanagementandoperationalresiliencepoliciesandprocedures.Reviewandupdatethepoliciesandproceduresatleastannually.建立、歸檔、批準、溝通、應用、評估和維護業務連續性管理和運營彈性策略和規程。每年至少審查和更新公司的策略和規程。RiskAssessmentandImpactAnalysis風險評估和影響分析BCR-02Determinetheimpactofbusinessdisruptionsandriskstoestablishcriteriafordevelopingbusinesscontinuityandoperationalresiliencestrategiesandcapabilities.確定業務中斷的風險和影響，為開發業務連續性和運營彈性策略和能力建立標準。BusinessContinuityStrategy業務連續性策略BCR-03Establishstrategiestoreducetheimpactof,withstand,andrecoverfrombusinessdisruptionswithinriskappetite.在風險偏好范圍內建立戰略，以減少、抵御和恢復業務中斷的影響。BusinessContinuityPlanning業務連續性計劃BCR-04Establish,document,approve,communicate,apply,evaluateandmaintainabusinesscontinuityplanbasedontheresultsoftheoperationalresiliencestrategiesandcapabilities.建立、記錄、批準、溝通、應用、評估和維護基于運營彈性策略和能力結果的業務連續性計劃。Documentation文檔記錄BCR-05Develop,identify,andacquiredocumentationthatisrelevanttosupportthebusinesscontinuityandoperationalresilienceprograms.Makethedocumentationavailabletoauthorizedstakeholdersandreviewperiodically.開發、識別和獲取與支持業務連續性和運營彈性計劃相關的文件。將文件提供給授權的利益相關者，并定期審查。BusinessContinuityExercises業務連續性的演習BCR-06Exerciseandtestbusinesscontinuityandoperationalresilienceplansatleastannuallyoruponsignificantchanges.至少每年或在重大變更時，對業務連續性和運營彈性計劃進行測試和演習。Communication溝通BCR-07Establishcommunicationwithstakeholdersandparticipantsinthecourseofbusinesscontinuityandresilienceprocedures.在業務連續性和韌性規程的過程中與利益相關者和參與者建立溝通。Backup備份BCR-08Periodicallybackupdatastoredinthecloud.Ensuretheconfidentiality,integrityandavailabilityofthebackup,andverifydatarestorationfrombackupforresiliency.定期備份存儲在云中的數據。確保備份的機密性、完整性和可用性；并為了韌性，驗證從備份恢復的數據。DisasterResponsePlan災難響應計劃BCR-09Establish,document,approve,communicate,apply,evaluateandmaintainadisasterresponseplantorecoverfromnaturalandman-madedisasters.Updatetheplanatleastannuallyoruponsignificantchanges.建立、記錄、批準、溝通、應用、評估和維護災難響應計劃，以從自然和人為災害中恢復。至少每年更新一次計劃，或在重大變更時更新。ResponsePlanExercise響應計劃演習BCR-10Exercisethedisasterresponseplanannuallyoruponsignificantchanges,includingifpossiblelocalemergencyauthorities.每年或發生重大變化時演練災難響應計劃，如果可能，聯合當地應急官方機構EquipmentRedundancy設備冗余BCR-11Supplementbusiness-criticalequipmentwithredundantequipmentindependentlylocatedatareasonableminimumdistanceinaccordancewithapplicableindustrystandards.根據適用的行業標準，用獨立設置的、合理的最小距離的冗余設備補充關鍵業務設備。ChageCtolandConfigatiMnagmntCCC變更控制和配置管理ChangeManagementPolicyandProcedures變更管理策略和規程CCC-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresformanagingtherisksassociatedwithapplyingchangestoorganizationassets,includingapplication,systems,infrastructure,configuration,etc.,regardlessofwhethertheassetsaremanagedinternallyorexternally(i.e.,outsourced).Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護用于變更管理的策略和規程，為管理申請變更對組織的相關風險，包括應用程序、系統、基礎設施、配置等，無論資產是在內部管理還是在外部管理（即外包）。至少每年審查和更新公司的策略和規程。QualityTesting質量測試CCC-02Followadefinedqualitychangecontrol,approvalandtestingprocesswithestablishedbaselines,testing,andreleasestandards.遵循已制定的質量變更控制、批準和測試過程，以及已建立的基線、測試和發布標準。?2021云安全聯盟大中華區-版權所有第4頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRChangeManagementTechnology變更管理技術CCC-03Managetherisksassociatedwithapplyingchangestoorganizationassets,includingapplication,systems,infrastructure,configuration,etc.,regardlessofwhethertheassetsaremanagedinternallyorexternally(i.e.,outsourced).通過變更管理技術來管理組織資產變更相關的風險，包括應用程序、系統、基礎架構、配置等，無論資產是內部管理的還是外部管理的（即外包）。UnauthorizedChangeProtection未經授權的變更保護CCC-04Restricttheunauthorizedaddition,removal,update,andmanagementoforganizationassets.實施變更管理技術，限制未經授權添加、刪除、更新和管理組織資產。ChangeAgreements變更協議CCC-05IncludeprovisionslimitingchangesdirectlyimpactingCSCsownedenvironments/tenantstoexplicitlyauthorizedrequestswithinservicelevelagreementsbetweenCSPsandCSCs.對于直接影響客戶環境或租戶環境的變更，在云服務提供商（CSP）和客戶（CSC）間的服務水平協議中，要包含限制條款，以明確授權請求。ChangeManagementBaseline變更管理基線CCC-06Establishchangemanagementbaselinesforallrelevantauthorizedchangesonorganizationassets.對于所有組織資產的變更授權建立變更管理基線。DetectionofBaselineDeviation基線偏差檢測CCC-07Implementdetectionmeasureswithproactivenotificationincaseofchangesdeviatingfromtheestablishedbaseline.實施基線偏離檢測，在在發生偏離既定基線的變化時主動告警。ExceptionManagement例外管理CCC-08Implementaprocedureforthemanagementofexceptions,includingemergencies,inthechangeandconfigurationprocess.AligntheprocedurewiththerequirementsofGRC-04:PolicyExceptionProcess.在變更和配置過程中實施一個例外管理規程（包括緊急情況）。該規程與“GRC-04：策略例外過程”的要求一致。ChangeRestoration變更恢復CCC-09Defineandimplementaprocesstoproactivelyrollbackchangestoapreviousknowngoodstateincaseoferrorsorsecurityconcerns.定義并實施過程，在變更出現錯誤或安全問題時主動回退，并將系統/服務恢復到上一個已知的良好狀態。Cryptography,Encryption&KeyManagement密碼學、加密與密鑰管理EncryptionandKeyManagementPolicyandProcedures密碼學、加密與密鑰管理的策略及規程CEK-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforCryptography,EncryptionandKeyManagement.Reviewandupdatethepoliciesandproceduresatleastannually.制定、記錄、批準、交流、應用、評估和維護密碼學、加密與密鑰管理的策略及規程。至少每年審查和更新策略及規程。CEKRolesandResponsibilities密碼學、加密與密鑰管理的作用及責任CEK-02Defineandimplementcryptographic,encryptionandkeymanagementrolesandresponsibilities.定義并實施密碼學、加密與密鑰管理的角色及責任。DataEncryption數據加密CEK-03Providecryptographicprotectiontodataat-restandin-transit,usingcryptographiclibrariescertifiedtoapprovedstandards.使用經過標準認證的密碼（算法）庫，為靜態和傳輸中的數據提供密碼保護。EncryptionAlgorithm加密算法CEK-04Useencryptionalgorithmsthatareappropriatefordataprotection,consideringtheclassificationofdata,associatedrisks,andusabilityoftheencryptiontechnology.考慮數據分級、相關風險和加密技術的可用性，使用適合數據保護的加密算法。EncryptionChangeManagement加密變更管理CEK-05Establishastandardchangemanagementprocedure,toaccommodatechangesfrominternalandexternalsources,forreview,approval,implementationandcommunicationofcryptographic,encryptionandkeymanagementtechnologychanges.建立標準的變更管理規程，以適應來自內部和外部的變更，用于審查、批準、執行和通報密碼學、加密與密鑰管理技術的變更。EncryptionChangeCostBenefitAnalysis加密變更成本效益分析CEK-06Manageandadoptchangestocryptography-,encryption-,andkeymanagement-relatedsystems(includingpoliciesandprocedures)thatfullyaccountfordownstreameffectsofproposedchanges,includingresidualrisk,cost,andbenefitsanalysis.管理和采用對密碼學、加密與密鑰管理相關系統（包括策略及規程）的變更，以充分考慮擬議變更的下游影響，包括剩余風險、成本和效益分析。?2021云安全聯盟大中華區-版權所有第5頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCREncryptionRiskManagement加密風險管理CEK-07Establishandmaintainanencryptionandkeymanagementriskprogramthatincludesprovisionsforriskassessment,risktreatment,riskcontext,monitoring,andfeedback.建立并維護一個加密和密鑰管理風險程序，包括風險評估、風險處理、風險關聯、監控和反饋的規定。CSCKeyManagementCapabiilityCSC密鑰管理能力CEK-08CSPsmustprovidethecapabilityforCSCstomanagetheirowndataencryptionkeys.云服務提供商（CSP）必須為客戶（CSC）提供管理自己的數據加密密鑰的能力。EncryptionandKeyManagementAudit加密與密鑰管理審計CEK-09Auditencryptionandkeymanagementsystems,policies,andprocesseswithafrequencythatisproportionaltotheriskexposureofthesystemwithauditoccurringpreferablycontinuouslybutatleastannuallyandafteranysecurityevent(s).審計加密和密鑰管理系統、策略和規程的頻率與系統的風險暴露程度成正比，審計最好是連續進行，但至少每年一次，并在任何安全事態后進行。KeyGeneration密鑰生成CEK-10GenerateCryptographickeysusingindustryacceptedcryptographiclibrariesspecifyingthealgorithmstrengthandtherandomnumbergeneratorused.使用行業認可的密碼（算法）庫生成加密密鑰，指定算法強度和使用的隨機數生成器。KeyPurpose密鑰用途CEK-11Managecryptographicsecretandprivatekeysthatareprovisionedforauniquepurpose.管理為特殊用途而準備的密鑰和私鑰。KeyRotation密鑰輪換CEK-12Rotatecryptographickeysinaccordancewiththecalculatedcryptoperiod,whichincludesprovisionsforconsideringtheriskofinformationdisclosureandlegalandregulatoryrequirements.按照計算出的加密周期輪換密鑰，其中包括考慮信息披露風險和法律及監管要求的規定。KeyRevocation密鑰廢除CEK-13Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestorevokeandremovecryptographickeyspriortotheendofitsestablishedcryptoperiod,whenakeyiscompromised,oranentityisnolongerpartoftheorganization,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估在既定的加密期結束前、在密鑰泄密時或在某一實體不再是組織的一部分時，撤銷及刪除密鑰的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyDestruction密鑰銷毀CEK-14Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestodestroykeysstoredoutsideasecureenvironmentandrevokekeysstoredinHardwareSecurityModules(HSMs)whentheyarenolongerneeded,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估銷毀儲存在安全環境之外的密鑰和在不再需要時撤銷儲存在硬件安全模塊中的密鑰的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyActivation密鑰激活CEK-15Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestocreatekeysinapre-activatedstatewhentheyhavebeengeneratedbutnotauthorizedforuse,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估在密鑰已生成但未被授權使用時，在預激活狀態下生成密鑰的過程、規程和技術措施，其中包括法律和監管要求的規定。KeySuspension密鑰停止CEK-16Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestomonitor,reviewandapprovekeytransitionsfromanystateto/fromsuspension,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估監測、審查和批準密鑰從任何狀態到/從暫停狀態的關鍵過渡的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyDeactivation密鑰注銷CEK-17Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestodeactivatekeysatthetimeoftheirexpirationdate,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估在密鑰到期時停用密鑰的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyArchival密鑰歸檔CEK-18Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestomanagearchivedkeysinasecurerepositoryrequiringleastprivilegeaccess,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估管理需要最低權限訪問的安全儲存庫中已歸檔密鑰的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyCompromise密鑰泄密CEK-19Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestousecompromisedkeystoencryptinformationonlyincontrolledcircumstance,andthereafterexclusivelyfordecryptingdataandneverforencryptingdata,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估僅在受控情況下使用泄密密鑰對信息進行加密，及此后僅用于對數據進行解密，絕不用于對數據進行加密的過程、規程和技術措施，其中包括法律和監管要求的規定。?2021云安全聯盟大中華區-版權所有第6頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRKeyRecovery密鑰找回CEK-20Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestoassesstherisktooperationalcontinuityversustheriskofthekeyingmaterialandtheinformationitprotectsbeingexposedifcontrolofthekeyingmaterialislost,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估在失去對密鑰材料的控制時，業務連續性風險與密鑰材料及其保護的信息暴露風險的過程、規程和技術措施，其中包括法律和監管要求的規定。KeyInventoryManagement密鑰清單管理CEK-21Define,implementandevaluateprocesses,proceduresandtechnicalmeasuresinorderforthekeymanagementsystemtotrackandreportallcryptographicmaterialsandchangesinstatus,whichincludeprovisionsforlegalandregulatoryrequirements.定義、執行和評估使密鑰管理系統能夠跟蹤和報告所有密碼材料和狀態的變化的過程、規程和技術措施，其中包括法律和監管要求的規定。DatacenterSecurity-DCS數據中心安全Off-SiteEquipmentDisposalPolicyandProcedures處置場外設備的策略和規程DCS-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforthesecuredisposalofequipmentusedoutsidetheorganization'spremises.Iftheequipmentisnotphysicallydestroyedadatadestructionprocedurethatrendersrecoveryofinformationimpossiblemustbeapplied.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護用于安全處置組織場所以外設備的策略和規程。如果設備未被物理銷毀，則必須采用數據銷毀規程，使信息無法恢復。每年至少審查和更新公司的策略和規程。Off-SiteTransferAuthorizationPolicyandProcedures場外傳輸授權策略和規程DCS-02Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresfortherelocationortransferofhardware,software,ordata/informationtoanoffsiteoralternatelocation.Therelocationortransferrequestrequiresthewrittenorcryptographicallyverifiableauthorization.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護用于硬件、軟件或數據/信息搬遷或傳輸到場外或備用位置的策略和規程。搬遷或傳輸到場外之前必須經過書面或可加密驗證的授權。至少每年一次審查和更新公司的策略和規程。SecureAreaPolicyandProcedures安全區策略和規程DCS-03Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresformaintainingasafeandsecureworkingenvironmentinoffices,rooms,andfacilities.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護用于辦公室、房間和設施內維護安全工作環境的策略和規程。至少每年一次審查和更新公司的策略和規程。SecureMediaTransportationPolicyandProcedures安全的媒介傳輸策略和規程DCS-04Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresforthesecuretransportationofphysicalmedia.Reviewandupdatethepoliciesandproceduresatleastannually.建立、記錄、批準、溝通、應用、評估和維護用于安全傳輸物理媒介的策略和規程。至少每年一次審查和更新公司的策略和規程。AssetsClassification資產分級DCS-05Classifyanddocumentthephysical,andlogicalassets(e.g.,applications)basedontheorganizationalbusinessrisk.根據組織業務風險對物理和邏輯資產（例如應用程序）進行分級和記錄。AssetsCataloguingandTracking資產分類與跟蹤DCS-06CatalogueandtrackallrelevantphysicalandlogicalassetslocatedatalloftheCSP'ssiteswithinasecuredsystem.記錄并跟蹤每一個安全系統中所有位于云服務提供商站點的所有物理和邏輯資產。ControlledAccessPoints受控接入點DCS-07Implementphysicalsecurityperimeterstosafeguardpersonnel,data,andinformationsystems.Establishphysicalsecurityperimetersbetweentheadministrativeandbusinessareasandthedatastorageandprocessingfacilitiesareas.實施物理安全邊界以保護人員、數據和信息系統。在管理區域和業務區域以及數據存儲區域和數據處理區域之間建立物理安全邊界。EquipmentIdentification設備標識DCS-08Useequipmentidentificationasamethodforconnectionauthentication.使用設備標識作為連接身份鑒別的方法。SecureAreaAuthorization安全區域授權DCS-09Allowonlyauthorizedpersonnelaccesstosecureareas,withallingressandegresspointsrestricted,documented,andmonitoredbyphysicalaccesscontrolmechanisms.Retainaccesscontrolrecordsonaperiodicbasisasdeemedappropriatebytheorganization.只允許授權人員訪問安全區域，通過物理訪問控制機制限制、記錄和監視所有入口和出口。按組織要求保留訪問控制記錄。SurveillanceSystem監視系統DCS-10Implement,maintain,andoperatedatacentersurveillancesystemsattheexternalperimeterandatalltheingressandegresspointstodetectunauthorizedingressandegressattempts.在外部邊界以及所有入口和出口點實施、維護和運行數據中心監視系統，以檢測未經授權的出入嘗試。?2021云安全聯盟大中華區-版權所有第7頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRUnauthorizedAccessResponseTraining未授權訪問響應培訓DCS-11Traindatacenterpersonneltorespondtounauthorizedingressoregressattempts.培訓數據中心的人員響應未授權的出入嘗試。CablingSecurity布線安全DCS-12Define,implementandevaluateprocesses,proceduresandtechnicalmeasuresthatensurearisk-basedprotectionofpowerandtelecommunicationcablesfromathreatofinterception,interferenceordamageatallfacilities,officesandrooms.定義、實施、評估過程、規程和技術措施，以確保所有設施、辦公室、房間的電力和電信電纜有基于風險的保護，不會受到攔截、干擾或損壞的威脅。EnvironmentalSystems環境系統DCS-13Implementandmaintaindatacenterenvironmentalcontrolsystemsthatmonitor,maintainandtestforcontinualeffectivenessthetemperatureandhumidityconditionswithinacceptedindustrystandards.實施和維護數據中心環境控制系統，以監控、維護和測試溫度和濕度控制的是否符合業界標準以及控制的持續有效性。SecureUtilities安全的公用事業DCS-14Secure,monitor,maintain,andtestutilitiesservicesforcontinualeffectivenessatplannedintervals.定期監控、維護和測試公用事業（設施）的安全，確保其能夠提供持續的服務。EquipmentLocation設備位置DCS-15Keepbusiness-criticalequipmentawayfromlocationssubjecttohighprobabilityforenvironmentalriskevents.使關鍵業務設備遠離極易發生環境風險事態的位置。DataSecurityandPrivacyLifecycleManagement-DSP數據安全和隱私生命周期管理SecurityandPrivacyPolicyandProcedures安全、隱私策略和程序DSP-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresfortheclassification,protectionandhandlingofdatathroughoutitslifecycle,andaccordingtoallapplicablelawsandregulations,standards,andrisklevel.Reviewandupdatethepoliciesandproceduresatleastannually.根據所有適用的法律法規、標準和風險等級，建立、記錄、批準、溝通、應用、評估和維護在數據的整個生命周期中對數據進行分級、保護和處理的策略和規程。至少每年審查和更新策略和規程。SecureDisposal安全處置DSP-02Applyindustryacceptedmethodsforthesecuredisposalofdatafromstoragemediasuchthatdataisnotrecoverablebyanyforensicmeans.應用業界公認的方法來安全處置存儲介質中的數據，使數據無法通過任何取證手段恢復。DataInventory數據清單DSP-03Createandmaintainadatainventory,atleastforanysensitivedataandpersonaldata.創建和維護一個至少針對任何敏感數據和個人數據的數據清單。DataClassification數據分級DSP-04Classifydataaccordingtoitstypeandsensitivitylevel.根據數據類型和敏感程度對數據進行分級。DataFlowDocumentation數據流文檔DSP-05Createdataflowdocumentationtoidentifywhatdataisprocessed,storedortransmittedwhere.Reviewdataflowdocumentationatdefinedintervals,atleastannually,andafteranychange.創建數據流文檔，以確定在何處處理、存儲或傳輸哪些數據。在規定的時間間隔，至少每年，以及在任何變更之后，審查數據流文檔。DataOwnershipandStewardship數據所有權和管理權DSP-06Documentownershipandstewardshipofallrelevantdocumentedpersonalandsensitivedata.Performreviewatleastannually.記錄所有相關記錄的個人和敏感數據的所有權和管理權。至少每年進行一次審查。DataProtectionbyDesignandDefault設計和默認數據保護DSP-07Developsystems,products,andbusinesspracticesbaseduponaprincipleofsecuritybydesignandindustrybestpractices.根據設計安全原則和行業最佳實踐，開發系統、產品和業務實踐。DataPrivacybyDesignandDefault設計和默認數據隱私DSP-08Developsystems,products,andbusinesspracticesbaseduponaprincipleofprivacybydesignandindustrybestpractices.Ensurethatsystems'privacysettingsareconfiguredbydefault,accordingtoallapplicablelawsandregulations.根據設計隱私原則和行業最佳實踐，開發系統、產品和業務實踐。根據所有適用的法律法規，確保系統的隱私設置默認配置。DataProtectionImpactAssessment數據保護影響評估DSP-09ConductaDataProtectionImpactAssessment(DPIA)toevaluatetheorigin,nature,particularityandseverityoftherisksupontheprocessingofpersonaldata,accordingtoanyapplicablelaws,regulationsandindustrybestpractices.根據任何適用的法律、法規和行業最佳實踐執行數據保護影響評估（DPIA）來評估處理個人數據時風險的來源、性質、特殊性和嚴重性。SensitiveDataTransfer敏感數據傳輸DSP-10Define,implementandevaluateprocesses,proceduresandtechnicalmeasuresthatensureanytransferofpersonalorsensitivedataisprotectedfromunauthorizedaccessandonlyprocessedwithinscopeaspermittedbytherespectivelawsandregulations.定義、實施和評估過程、規程和技術措施，以確保個人或敏感數據在傳輸中不受未授權訪問并且僅在相關法律法規允許的范圍內被處理。?2021云安全聯盟大中華區-版權所有第8頁官網：WWW.C-CSA.CN郵箱：INFO@C-CSA.CN公眾號：CSAGCRPersonalDataAccess,Reversal,RectificationandDeletion個人數據訪問，撤銷，糾正和刪除DSP-11Defineandimplement,processes,proceduresandtechnicalmeasurestoenabledatasubjectstorequestaccessto,modification,ordeletionoftheirpersonaldata,accordingtoanyapplicablelawsandregulations.根據任何適用的法律法規，定義和實施過程、規程和技術措施，以使數據主體能夠請求訪問、修改或刪除其個人數據。LimitationofPurposeinPersonalDataProcessing個人數據處理中的目的限制DSP-12Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestoensurethatpersonaldataisprocessedaccordingtoanyapplicablelawsandregulationsandforthepurposesdeclaredtothedatasubject.定義、實施和評估過程、規程和技術措施，以確保個人數據的處理符合任何適用的法律法規和向數據主體聲明的目的。PersonalDataSub-processing個人數據子處理DSP-13Define,implementandevaluateprocesses,proceduresandtechnicalmeasuresforthetransferandsub-processingofpersonaldatawithintheservicesupplychain,accordingtoanyapplicablelawsandregulations.根據任何適用的法律法規，定義、實施和評估服務供應鏈內個人數據傳輸和子處理的過程、規程和技術措施。DisclosureofDataSub-processors披露數據子處理者DSP-14Define,implementandevaluateprocesses,proceduresandtechnicalmeasurestodisclosethedetailsofanypersonalorsensitivedataaccessbysub-processorstothedataownerpriortoinitiationofthatprocessing.定義、實施和評估過程、規程和技術措施，在數據開始處理之前，向數據所有者披露子處理者訪問任何個人或敏感數據的詳細信息。LimitationofProductionDataUse生產數據使用限制DSP-15Obtainauthorizationfromdataowners,andmanageassociatedriskbeforereplicatingorusingproductiondatainnon-productionenvironments.在非生產環境中復制或使用生產數據之前，請獲得數據所有者的授權，并管理相關風險。DataRetentionandDeletion數據保留和刪除DSP-16Dataretention,archivinganddeletionismanagedinaccordancewithbusinessrequirements,applicablelawsandregulations.數據保留、歸檔和刪除按照業務要求和適用的法律法規進行管理。SensitiveDataProtection敏感數據保護DSP-17Defineandimplement,processes,proceduresandtechnicalmeasurestoprotectsensitivedatathroughoutit'slifecycle.定義和實施過程、規程和技術措施，以在敏感數據的整個生命周期中保護敏感數據。DisclosureNotification披露通知DSP-18TheCSPmusthaveinplace,anddescribetoCSCstheproceduretomanageandrespondtorequestsfordisclosureofPersonalDatabyLawEnforcementAuthoritiesaccordingtoapplicablelawsandregulations.TheCSPmustgivespecialattentiontothenotificationproceduretointerestedCSCs,unlessotherwiseprohibited,suchasaprohibitionundercriminallawtopreserveconfidentialityofalawenforcementinvestigation.云服務提供商必須制定并向云服務客戶說明管理和響應執法機構根據適用法律法規披露個人數據請求的規程。云服務提供商必須特別注意向感興趣的云服務客戶發出通知的規程，除非另有禁止，例如刑法禁止為執法調查保密。DataLocation數據位置DSP-19Defineandimplement,processes,proceduresandtechnicalmeasurestospecifyanddocumentthephysicallocationsofdata,includinganylocationsinwhichdataisprocessedorbackedup.定義和實施過程、規程和技術措施，以指定和記錄數據的物理位置，包括處理或備份數據的任何位置。Governance,RiskandCompliance-GRC治理、風險管理和合規GovernanceProgramPolicyandProcedures治理計劃策略和程序GRC-01Establish,document,approve,communicate,apply,evaluateandmaintainpoliciesandproceduresf