A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Infrastructure Name: | <insert name> | Version 1 for SCIv2 | |||||||||||||||||||||||
2 | Prepared By: | <insert name> | On Date: | <insert date> | 21-Jan-19 | |||||||||||||||||||||
3 | Reviewed By: | <insert name> | On Date: | <insert date> | ||||||||||||||||||||||
4 | ||||||||||||||||||||||||||
5 | Maturity | Methods of enforcement | Evidence (Document Name and/or URL) | Version Number | Document Date | Document Page or Section Number | Comments | |||||||||||||||||||
6 | Value | S | ||||||||||||||||||||||||
7 | Operational Security [OS] | |||||||||||||||||||||||||
8 | OS1 - Security Person/Team | 3 | #REF! | #REF! | ||||||||||||||||||||||
9 | OS2 - Risk Management Process | 2 | #REF! | #REF! | ||||||||||||||||||||||
10 | OS3 - Security Plan (architecture, policies, controls) | 2.0 | 2.0 | |||||||||||||||||||||||
11 | OS3.1 - Authentication | 2 | ||||||||||||||||||||||||
12 | OS3.2 - Dynamic Response | 2 | ||||||||||||||||||||||||
13 | OS3.3 - Access Control | 2 | ||||||||||||||||||||||||
14 | OS3.4 - Physical and Network Security | 2 | ||||||||||||||||||||||||
15 | OS3.5 - Risk Mitigation | 2 | ||||||||||||||||||||||||
16 | OS3.6 - Confidentiality | 2 | ||||||||||||||||||||||||
17 | OS3.7 - Integrity and Availability | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
18 | OS3.8 - Disaster Recovery | 2 | ||||||||||||||||||||||||
19 | OS3.9 - Compliance Mechanisms | 2 | ||||||||||||||||||||||||
20 | OS4 - Security Patching | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
21 | OS4.1 - Patching Process | 2 | ||||||||||||||||||||||||
22 | OS4.2 - Patching Records and Communication | 2 | ||||||||||||||||||||||||
23 | OS5 - Vulnerability Mgmt | 2 | 0.0 | 0.0 | ||||||||||||||||||||||
24 | OS5.1 - Vulnerability Process | 2 | ||||||||||||||||||||||||
25 | OS5.2 - Dynamic Response | 2 | ||||||||||||||||||||||||
26 | OS6 - Intrusion Detection | 0 | ||||||||||||||||||||||||
27 | OS7 - Regulate Access (including suspension) | 2 | ||||||||||||||||||||||||
28 | OS8 - Contact Information | 2 | ||||||||||||||||||||||||
29 | OS8.1 - Contact Users | 2 | ||||||||||||||||||||||||
30 | OS8.2 - Contact Service Providers | 2 | ||||||||||||||||||||||||
31 | OS9 - Policy Enforcement | 2 | ||||||||||||||||||||||||
32 | OS9.1 - Enforcement | 2 | ||||||||||||||||||||||||
33 | OS9.2 - Escalation Procedure | 2 | ||||||||||||||||||||||||
34 | OS9.3 - Overriding Authority (Emergency Powers) | 2 | ||||||||||||||||||||||||
35 | OS10 - Security Assessment of Services (Design and Deployment) | 2 | ||||||||||||||||||||||||
36 | Incident Response [IR] | 1.5 | 1.5 | |||||||||||||||||||||||
37 | IR1 - Contact Information | 2 | ||||||||||||||||||||||||
38 | IR1.1 - Contact Service Providers | 2 | ||||||||||||||||||||||||
39 | IR1.2 - Contact Communities | 2 | ||||||||||||||||||||||||
40 | IR2 - Incident Response Procedure | 3 | ||||||||||||||||||||||||
41 | IR2.1 - IR Roles & Responsibilities | 3 | ||||||||||||||||||||||||
42 | IR2.2 - IR Identification & Assessment | 3 | ||||||||||||||||||||||||
43 | IR2.3 - IR Minimizing Damage | 3 | ||||||||||||||||||||||||
44 | IR2.4 - IR Response & Recovery | 3 | ||||||||||||||||||||||||
45 | IR2.5 - IR Communication and Tracking Tools | 3 | ||||||||||||||||||||||||
46 | IR2.6 - IR Post-mortem Review | 3 | 2.0 | 2.0 | ||||||||||||||||||||||
47 | IR3 - IR Collaboration | 2 | ||||||||||||||||||||||||
48 | IR3.1 - Internal Collaboration | 2 | ||||||||||||||||||||||||
49 | IR3.2 - External Collaboration | 3 | 3.0 | 3.0 | ||||||||||||||||||||||
50 | IR3.3 - Testing capability | 2 | ||||||||||||||||||||||||
51 | IR4 - information Sharing Controls | 3 | ||||||||||||||||||||||||
52 | Traceability [TR] | 2.0 | 2.0 | |||||||||||||||||||||||
53 | TR1 - Traceability (who, what, where, when, how) | 2 | ||||||||||||||||||||||||
54 | TR1.1 - Production of Logs | 2 | ||||||||||||||||||||||||
55 | TR1.2 - Retention of Logs | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
56 | TR2 - Data Retention Period | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
57 | TR3 - Traceability Controls | 2 | ||||||||||||||||||||||||
58 | Participant Responsibilities [PR] | 2.3 | 2.3 | |||||||||||||||||||||||
59 | Participant Responsibilities [PRU] - Individual Users | |||||||||||||||||||||||||
60 | PRU1 - AUP | 3 | ||||||||||||||||||||||||
61 | PRU1.1 - Defined Acceptable (Non-acceptable) Use | 3 | ||||||||||||||||||||||||
62 | PRU1.2 - User Registration | 3 | ||||||||||||||||||||||||
63 | PRU1.3 - Protection & Use of Credentials | 3 | ||||||||||||||||||||||||
64 | PRU1.4 - Data Protection & Privacy | 3 | ||||||||||||||||||||||||
65 | PRU1.5 - Disclaimers | 3 | ||||||||||||||||||||||||
66 | PRU1.6 - Liability | 3 | ||||||||||||||||||||||||
67 | PRU1.7 - Sanctions | 2.0 | 2.0 | |||||||||||||||||||||||
68 | PRU2 - User Awareness & Agreement | 2 | ||||||||||||||||||||||||
69 | PRU2.1 - User Awareness | 2 | ||||||||||||||||||||||||
70 | PRU2.2 - User Agreement | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
71 | PRU3 - Communication of extra requirements | 2 | ||||||||||||||||||||||||
72 | Participant Responsibilities [PRC] - Collections of Users | 2.0 | 0.0 | |||||||||||||||||||||||
73 | PRC1 - Policy Awareness | 2 | ||||||||||||||||||||||||
74 | PRC1.1 - Awareness | 2 | ||||||||||||||||||||||||
75 | PRC1.2 - Abide by | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
76 | PRC2 - User Registration & Management | 2 | ||||||||||||||||||||||||
77 | PRC2.1 - User Registration | 2 | ||||||||||||||||||||||||
78 | PRC2.2 - User Renewal | 2 | ||||||||||||||||||||||||
79 | PRC2.3 - User Suspension | 2 | ||||||||||||||||||||||||
80 | PRC2.4 - User Removal | 2 | ||||||||||||||||||||||||
81 | PRC3 - Responsibility for Actions | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
82 | PRC4 - User Identification - traceability | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
83 | PRC5 - Logs of Membership Management Actions | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
84 | PRC6 - Define Common Aims & Purposes | 3 | ||||||||||||||||||||||||
85 | Participant Responsibilities [PRS] - Service Providers | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
86 | PRS1 - Compliance Ensurement Procedures | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
87 | Data Protection [DP] | 3 | 3.0 | 3.0 | ||||||||||||||||||||||
88 | DP1 - Policies for protection of personal data | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
89 | DP1.1 - Accounting Data | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
90 | DP1.2 - User Registration Data | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
91 | DP1.3 - Monitoring Data | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
92 | DP1.4 - Logging Data | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
93 | DP2 - Privacy Policy | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
94 | DP2.1 - Nature and Scope of Processing | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
95 | DP2.2 - User Rights (including Correction) | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
96 | DP2.3 - Protection against Unauthorised Disclosure | 2 | 2.0 | 2.0 | ||||||||||||||||||||||
97 | Assessment Score | 3.54 | #REF! | #REF! | ||||||||||||||||||||||
98 | Raw Score | |||||||||||||||||||||||||
99 | Weight | |||||||||||||||||||||||||
100 |