你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

HIPAA HITRUST 9.2 法规合规性内置计划的详细信息

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 HIPAA HITRUST 9.2 中的合规性域和控制措施 。 有关此合规性标准的详细信息，请参阅 HIPAA HITRUST 9.2。 如需了解所有权，请查看策略类型和云中责任分担。

以下映射适用于 HIPAA HITRUST 9.2 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义，请在 Azure 门户中打开“策略”，并选择“定义”页 。 然后，找到 HITRUST/HIPAA 法规合规性内置计划定义并将其选中。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性；但是，控制与一个或多个策略之间通常不是一对一或完全匹配。 因此，Azure Policy 中的符合性仅引用策略定义本身；这并不能确保你完全符合某个控制措施的所有要求。 此外，符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此，Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录，请参阅 GitHub 提交历史记录。

特权管理

组织可使获得授权的用户能够在组织规定允许自行决定的情况下确定业务合作伙伴的访问权限，并采用手动流程或自动化机制来帮助用户进行信息共享/协作决策，从而促进信息共享。

ID：1149.01c2System.9 - 01.c 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC)	若要对用户可以执行的操作提供粒度筛选，请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。	Audit、Disabled	1.0.4

仅当组织评估了承包商具有遵守其安全要求的能力，且承包商同意遵守之后，才向承包商提供最低系统和物理访问权限。

ID：1154.01c3System.4 - 01.c 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0

外部连接用户身份验证

供应商和业务合作伙伴的远程访问（例如出于远程维护的目的）在未使用时处于禁用/停用状态。

ID：1117.01j1Organizational.23 - 01.j 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

如果拨号连接未使用加密，则首席信息官 (CIO) 或其指定的代表会提供特定的书面授权。

ID：1173.01j1Organizational.6 - 01.j 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

组织通过对用户和设备进行身份验证来保护对包含敏感信息的系统的无线访问。

ID：1174.01j1Organizational.7 - 01.j 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

组织需要具有重新身份验证的回叫功能，以验证来自已获授权的位置的拨号连接。

ID：1176.01j2Organizational.5 - 01.j 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

分配给供应商的用户 ID 按照组织的访问评审策略进行评审（每年至少一次）。

ID：1177.01j2Organizational.6 - 01.j 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

用户识别和身份验证

非组织用户（除组织用户以外的所有信息系统用户，例如患者、客户、承包商或外国公民）或代表非组织用户运行、且确定需要访问驻留在组织信息系统中的信息的进程，都会进行唯一标识和身份验证。

ID：11110.01q1Organizational.6 - 01.q 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有写入权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0

组织要求个人独有的电子签名不能由其他任何人重复使用，也不能重新分配给其他任何人。

ID：11208.01q1Organizational.8 - 01.q 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为订阅分配了多个所有者	建议指定多个订阅所有者，这样才会有管理员访问冗余。	AuditIfNotExists、Disabled	3.0.0

电子记录上的电子签名和手写签名应与各自的电子记录关联。

ID：11210.01q2Organizational.10 - 01.q 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核具有管理员组中指定成员的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员，则计算机不合规。	auditIfNotExists	2.0.0

已签名的电子记录应包含与以用户可读格式签名关联的信息。

ID：11211.01q2Organizational.11 - 01.q 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核缺少管理员组中任何指定成员的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员，则计算机不合规。	auditIfNotExists	2.0.0

01 信息保护计划

0101.00a1Organizational.123-00.a 0.01 信息安全管理计划

ID：0101.00a1Organizational.123-00.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
保护信息安全计划	CMA_C1732 - 保护信息安全计划	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0102.00a2Organizational.123-00.a 0.01 信息安全管理计划

ID：0102.00a2Organizational.123-00.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0103.00a3Organizational.1234567-00.a 0.01 信息安全管理计划

ID：0103.00a3Organizational.1234567-00.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0

0104.02a1Organizational.12-02.a 02.01 雇佣前

ID：0104.02a1Organizational.12-02.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

0105.02a2Organizational.1-02.a 02.01 雇佣前

ID：0105.02a2Organizational.1-02.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配风险指定	CMA_0016 - 分配风险指定	手动、已禁用	1.1.0
清除有权访问机密信息的人员	CMA_0054 - 清除有权访问机密信息的人员	手动、已禁用	1.1.0
实施人员筛查	CMA_0322 - 实施人员筛查	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0
按定义的频率重新筛选个人	CMA_C1512 - 按定义的频率重新筛选个人	手动、已禁用	1.1.0

0106.02a2Organizational.23-02.a 02.01 雇佣前

ID：0106.02a2Organizational.23-02.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
清除有权访问机密信息的人员	CMA_0054 - 清除有权访问机密信息的人员	手动、已禁用	1.1.0
实施人员筛查	CMA_0322 - 实施人员筛查	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0
按定义的频率重新筛选个人	CMA_C1512 - 按定义的频率重新筛选个人	手动、已禁用	1.1.0

0107.02d1Organizational.1-02.d 02.03 在雇佣期间

ID：0107.02d1Organizational.1-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立信息安全工作人员开发和改进计划	CMA_C1752 - 建立信息安全工作人员开发和改进计划	手动、已禁用	1.1.0

0108.02d1Organizational.23-02.d 02.03 在雇佣期间

ID：0108.02d1Organizational.23-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
实施安全测试、培训和监测计划	CMA_C1753 - 实施安全测试、培训和监测计划	手动、已禁用	1.1.0
监视安全和隐私培训完成情况	CMA_0379 - 监视安全和隐私培训完成情况	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
要求开发人员提供培训	CMA_C1611 - 要求开发人员提供培训	手动、已禁用	1.1.0
保留培训记录	CMA_0456 - 保留培训记录	手动、已禁用	1.1.0
查看安全测试、培训和监测计划	CMA_C1754 - 查看安全测试、培训和监测计划	手动、已禁用	1.1.0

0109.02d1Organizational.4-02.d 02.03 在雇佣期间

ID：0109.02d1Organizational.4-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供基于角色的实用练习	CMA_C1096 - 提供基于角色的实用练习	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
提供针对可疑活动的基于角色的培训	CMA_C1097 - 提供针对可疑活动的基于角色的培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

0110.02d2Organizational.1-02.d 02.03 在雇佣期间

ID：0110.02d2Organizational.1-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
建立信息安全工作人员开发和改进计划	CMA_C1752 - 建立信息安全工作人员开发和改进计划	手动、已禁用	1.1.0

0111.02d2Organizational.2-02.d 02.03 在雇佣期间

ID：0111.02d2Organizational.2-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
要求通知第三方人员调动或离职	CMA_C1532 - 需要第三方人员调动或离职通知	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

01110.05a1Organizational.5-05.a 05.01 内部组织

ID：01110.05a1Organizational.5-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

01111.05a2Organizational.5-05.a 05.01 内部组织

ID：01111.05a2Organizational.5-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0

0112.02d2Organizational.3-02.d 02.03 在雇佣期间

ID：0112.02d2Organizational.3-02.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
强制所有帐户的适当使用	CMA_C1023 - 强制所有帐户的适当使用	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
制定移动代码技术的使用限制	CMA_C1652 - 制定移动代码技术的使用限制	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
要求遵守知识产权	CMA_0432 - 要求遵守知识产权	手动、已禁用	1.1.0
跟踪软件许可证使用情况	CMA_C1235 - 跟踪软件许可证使用情况	手动、已禁用	1.1.0

0113.04a1Organizational.123-04.a 04.01 信息安全策略

ID：0113.04a1Organizational.123-04.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
保护信息安全计划	CMA_C1732 - 保护信息安全计划	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0114.04b1Organizational.1-04.b 04.01 信息安全策略

ID：0114.04b1Organizational.1-04.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定审核和责任策略和过程	CMA_0154- 制定审核和责任策略及过程	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
治理策略和过程	CMA_0292 - 治理策略和过程	手动、已禁用	1.1.0
查看访问控制策略和过程	CMA_0457 - 查看访问控制策略和过程	手动、已禁用	1.1.0
查看和更新系统和服务采购政策和过程	CMA_C1560 - 查看和更新系统和服务采购政策和过程	手动、已禁用	1.1.0
查看和更新系统维护策略及过程	CMA_C1395 - 查看和更新系统维护策略及过程	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0115.04b2Organizational.123-04.b 04.01 信息安全策略

ID：0115.04b2Organizational.123-04.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定审核和责任策略和过程	CMA_0154- 制定审核和责任策略及过程	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
治理策略和过程	CMA_0292 - 治理策略和过程	手动、已禁用	1.1.0
查看访问控制策略和过程	CMA_0457 - 查看访问控制策略和过程	手动、已禁用	1.1.0
查看和更新配置管理策略和过程	CMA_C1175 - 查看和更新配置管理策略和过程	手动、已禁用	1.1.0
查看和更新应变规划策略和过程	CMA_C1243 - 查看和更新应变规划策略和过程	手动、已禁用	1.1.0
查看和更新标识以及身份验证策略和过程	CMA_C1299 - 查看和更新标识以及身份验证策略和过程	手动、已禁用	1.1.0
查看并更新事件响应策略和过程	CMA_C1352 - 查看并更新事件响应策略和过程	手动、已禁用	1.1.0
查看和更新信息完整性策略及过程	CMA_C1667 - 查看和更新信息完整性策略及过程	手动、已禁用	1.1.0
查看和更新媒体保护策略及过程	CMA_C1427 - 查看和更新媒体保护策略及过程	手动、已禁用	1.1.0
查看和更新人员安全策略及过程	CMA_C1507 - 查看和更新人员安全策略及过程	手动、已禁用	1.1.0
查看和更新物理与环境策略和过程	CMA_C1446 - 查看和更新物理与环境策略和过程	手动、已禁用	1.1.0
查看和更新规划策略及过程	CMA_C1491 - 查看和更新规划策略和过程	手动、已禁用	1.1.0
查看和更新风险评估策略及过程	CMA_C1537 - 查看和更新风险评估策略及过程	手动、已禁用	1.1.0
查看和更新系统和通信保护策略及过程	CMA_C1616 - 查看和更新系统和通信保护策略及过程	手动、已禁用	1.1.0
查看和更新系统和服务采购政策和过程	CMA_C1560 - 查看和更新系统和服务采购政策和过程	手动、已禁用	1.1.0
查看和更新系统维护策略及过程	CMA_C1395 - 查看和更新系统维护策略及过程	手动、已禁用	1.1.0
查看安全评估和授权策略及过程	CMA_C1143 - 查看安全评估和授权策略及过程	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0116.04b3Organizational.1-04.b 04.01 信息安全策略

ID：0116.04b3Organizational.1-04.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新配置管理策略和过程	CMA_C1175 - 查看和更新配置管理策略和过程	手动、已禁用	1.1.0
查看和更新信息完整性策略及过程	CMA_C1667 - 查看和更新信息完整性策略及过程	手动、已禁用	1.1.0
查看和更新规划策略及过程	CMA_C1491 - 查看和更新规划策略和过程	手动、已禁用	1.1.0
查看和更新系统维护策略及过程	CMA_C1395 - 查看和更新系统维护策略及过程	手动、已禁用	1.1.0

0117.05a1Organizational.1-05.a 05.01 内部组织

ID：0117.05a1Organizational.1-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0

0118.05a1Organizational.2-05.a 05.01 内部组织

ID：0118.05a1Organizational.2-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
建立信息安全工作人员开发和改进计划	CMA_C1752 - 建立信息安全工作人员开发和改进计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

0119.05a1Organizational.3-05.a 05.01 内部组织

ID：0119.05a1Organizational.3-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0

0120.05a1Organizational.4-05.a 05.01 内部组织

ID：0120.05a1Organizational.4-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
协调业务目标和 IT 目标	CMA_0008 - 协调业务目标和 IT 目标	手动、已禁用	1.1.0
在确定信息系统要求时分配资源	CMA_C1561 - 在确定信息系统要求时分配资源	手动、已禁用	1.1.0
采用业务案例记录所需的资源	CMA_C1735 - 采用业务案例记录所需的资源	手动、已禁用	1.1.0
确保资本规划和投资请求包括必要的资源	CMA_C1734 - 确保资本规划和投资请求包括必要的资源	手动、已禁用	1.1.0
在预算文档中建立单独的行项	CMA_C1563 - 在预算文档中建立单独的行项	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
管理资源分配	CMA_0293 - 管理资源分配	手动、已禁用	1.1.0
落实领导的承诺	CMA_0489 - 落实领导的承诺	手动、已禁用	1.1.0

0121.05a2Organizational.12-05.a 05.01 内部组织

ID：0121.05a2Organizational.12-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
实施风险管理策略	CMA_C1744 - 实施风险管理策略	手动、已禁用	1.1.0
查看和更新风险评估策略及过程	CMA_C1537 - 查看和更新风险评估策略及过程	手动、已禁用	1.1.0

0122.05a2Organizational.3-05.a 05.01 内部组织

ID：0122.05a2Organizational.3-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0

0123.05a2Organizational.4-05.a 05.01 内部组织

ID：0123.05a2Organizational.4-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
管理机构和特殊兴趣组的联系人	CMA_0359 - 管理机构和特殊兴趣组的联系人	手动、已禁用	1.1.0

0124.05a3Organizational.1-05.a 05.01 内部组织

ID：0124.05a3Organizational.1-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0

0125.05a3Organizational.2-05.a 05.01 内部组织

ID：0125.05a3Organizational.2-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
接受评估结果	CMA_C1150 - 接受评估结果	手动、已禁用	1.1.0
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0

0135.02f1Organizational.56-02.f 02.03 在雇佣期间

ID：0135.02f1Organizational.56-02.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立信息安全工作人员开发和改进计划	CMA_C1752 - 建立信息安全工作人员开发和改进计划	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

0137.02a1Organizational.3-02.a 02.01 雇佣前

ID：0137.02a1Organizational.3-02.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新人员安全策略及过程	CMA_C1507 - 查看和更新人员安全策略及过程	手动、已禁用	1.1.0

0162.04b1Organizational.2-04.b 04.01 信息安全策略

ID：0162.04b1Organizational.2-04.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
查看和更新信息完整性策略及过程	CMA_C1667 - 查看和更新信息完整性策略及过程	手动、已禁用	1.1.0

0165.05a3Organizational.3-05.a 05.01 内部组织

ID：0165.05a3Organizational.3-05.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新规划策略及过程	CMA_C1491 - 查看和更新规划策略和过程	手动、已禁用	1.1.0

0177.05h1Organizational.12-05.h 05.01 内部组织

ID：0177.05h1Organizational.12-05.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
接受评估结果	CMA_C1150 - 接受评估结果	手动、已禁用	1.1.0
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0

0178.05h1Organizational.3-05.h 05.01 内部组织

ID：0178.05h1Organizational.3-05.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0

0179.05h1Organizational.4-05.h 05.01 内部组织

ID：0179.05h1Organizational.4-05.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
实现安全计划流程的行动计划和里程碑	CMA_C1737 - 实现安全项目流程的计划操作和里程碑	手动、已禁用	1.1.0

0180.05h2Organizational.1-05.h 05.01 内部组织

ID：0180.05h2Organizational.1-05.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0

02 终结点保护

0201.09j1Organizational.124-09.j 09.04 防范恶意和移动代码

ID：0201.09j1Organizational.124-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
为 Windows Server 部署默认 Microsoft IaaSAntimalware 扩展	如果 VM 未配置反恶意软件扩展，则此策略部署使用默认配置的 Microsoft IaaSAntimalware 扩展。	deployIfNotExists	1.1.0
检测尚未授权或批准的网络服务	CMA_C1700 - 检测尚未授权或批准的网络服务	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
Microsoft Antimalware for Azure 应配置为自动更新保护签名	此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。	AuditIfNotExists、Disabled	1.0.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0202.09j1Organizational.3-09.j 09.04 防范恶意和移动代码

ID：0202.09j1Organizational.3-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
调整审核评审、分析和报告级别	CMA_C1123 - 调整审核评审、分析和报告级别	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
治理并监视审核处理活动	CMA_0289 - 治理并监视审核处理活动	手动、已禁用	1.1.0
集成审核记录分析	CMA_C1120 - 集成审核记录分析	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
指定与客户审核信息关联的允许操作	CMA_C1122 - 指定与客户审核信息关联的允许操作	手动、已禁用	1.1.0

0204.09j2Organizational.1-09.j 09.04 防范恶意和移动代码

ID：0204.09j2Organizational.1-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
为已标识异常创建替代操作	CMA_C1711 - 为已标识异常创建替代操作	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
通知相关人员任何失败的安全验证测试	CMA_C1710 - 通知相关人员任何失败的安全验证测试	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
按定义的频率执行安全性函数验证	CMA_C1709 - 按定义的频率执行安全性函数验证	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0
验证安全性函数	CMA_C1708 - 验证安全性函数	手动、已禁用	1.1.0

0205.09j2Organizational.2-09.j 09.04 防范恶意和移动代码

ID：0205.09j2Organizational.2-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0206.09j2Organizational.34-09.j 09.04 防范恶意和移动代码

ID：0206.09j2Organizational.34-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0207.09j2Organizational.56-09.j 09.04 防范恶意和移动代码

ID：0207.09j2Organizational.56-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0208.09j2Organizational.7-09.j 09.04 防范恶意和移动代码

ID：0208.09j2Organizational.7-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
使用边界保护隔离信息系统	CMA_C1639 - 使用边界保护隔离信息系统	手动、已禁用	1.1.0
单独的用户和信息系统管理功能	CMA_0493 - 单独的用户和信息系统管理功能	手动、已禁用	1.1.0
使用专用计算机执行管理任务	CMA_0527 - 使用专用计算机执行管理任务	手动、已禁用	1.1.0

0209.09m3Organizational.7-09.m 09.06 网络安全管理

ID：0209.09m3Organizational.7-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动化信息共享决策	CMA_0028 - 自动化信息共享决策	手动、已禁用	1.1.0
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
促进信息共享	CMA_0284 - 促进信息共享	手动、已禁用	1.1.0
保留向第三方披露 PII 的记录	CMA_0422 - 保留向第三方披露 PII 的记录	手动、已禁用	1.1.0
对工作人员进行关于 PII 共享及其后果的培训	CMA_C1871 - 对工作人员进行关于 PII 共享及其后果的培训	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

0214.09j1Organizational.6-09.j 09.04 防范恶意和移动代码

ID：0214.09j1Organizational.6-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
限制在生产环境中进行更改的特权	CMA_C1206 - 限制在生产环境中进行更改的特权	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0215.09j2Organizational.8-09.j 09.04 防范恶意和移动代码

ID：0215.09j2Organizational.8-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0216.09j2Organizational.9-09.j 09.04 防范恶意和移动代码

ID：0216.09j2Organizational.9-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0

0217.09j2Organizational.10-09.j 09.04 防范恶意和移动代码

ID：0217.09j2Organizational.10-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看攻击保护事件	CMA_0472 - 查看攻击保护事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0219.09j2Organizational.12-09.j 09.04 防范恶意和移动代码

ID：0219.09j2Organizational.12-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0225.09k1Organizational.1-09.k 09.04 防范恶意和移动代码

ID：0225.09k1Organizational.1-09.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视、控制移动代码技术的使用	CMA_C1653 - 授权、监视、控制移动代码技术的使用	手动、已禁用	1.1.0
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
定义可接受和不可接受的移动代码技术	CMA_C1651 - 定义可接受和不可接受的移动代码技术	手动、已禁用	1.1.0
制定移动代码技术的使用限制	CMA_C1652 - 制定移动代码技术的使用限制	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0226.09k1Organizational.2-09.k 09.04 防范恶意和移动代码

ID：0226.09k1Organizational.2-09.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视、控制移动代码技术的使用	CMA_C1653 - 授权、监视、控制移动代码技术的使用	手动、已禁用	1.1.0
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
定义可接受和不可接受的移动代码技术	CMA_C1651 - 定义可接受和不可接受的移动代码技术	手动、已禁用	1.1.0
制定移动代码技术的使用限制	CMA_C1652 - 制定移动代码技术的使用限制	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0227.09k2Organizational.12-09.k 09.04 防范恶意和移动代码

ID：0227.09k2Organizational.12-09.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
授权、监视、控制移动代码技术的使用	CMA_C1653 - 授权、监视、控制移动代码技术的使用	手动、已禁用	1.1.0
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
定义可接受和不可接受的移动代码技术	CMA_C1651 - 定义可接受和不可接受的移动代码技术	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
强制执行逻辑访问	CMA_0245 - 强制执行逻辑访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
制定移动代码技术的使用限制	CMA_C1652 - 制定移动代码技术的使用限制	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
查看有权访问敏感数据的用户组和应用程序	CMA_0481 - 查看有权访问敏感数据的用户组和应用程序	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0228.09k2Organizational.3-09.k 09.04 防范恶意和移动代码

ID：0228.09k2Organizational.3-09.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行流程以突出未审阅的更改建议	CMA_C1193 - 自动执行流程以突出未审阅的更改建议	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

03 可移植媒体安全性

0301.09o1Organizational.123-09.o 09.07 介质处理

ID：0301.09o1Organizational.123-09.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
记录并实施无线访问准则	CMA_0190 - 记录并实施无线访问准则	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
保护无线访问	CMA_0411 - 保护无线访问	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0
查看和更新媒体保护策略及过程	CMA_C1427 - 查看和更新媒体保护策略及过程	手动、已禁用	1.1.0
应在 SQL 数据库上启用透明数据加密	应启用透明数据加密以保护静态数据并满足符合性要求	AuditIfNotExists、Disabled	2.0.0

0302.09o2Organizational.1-09.o 09.07 介质处理

ID：0302.09o2Organizational.1-09.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

0303.09o2Organizational.2-09.o 09.07 介质处理

ID：0303.09o2Organizational.2-09.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

0304.09o3Organizational.1-09.o 09.07 介质处理

ID：0304.09o3Organizational.1-09.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阻止从 USB 运行不受信任和未签名的进程	CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
要求对 Data Lake Store 帐户进行加密	此策略可确保对所有 Data Lake Store 帐户启用了加密	deny	1.0.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密	使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制，增强由 HSM 提供支持的外部服务的安全性，并促进职责划分。 此建议适用于具有相关合规性要求的组织。	Audit、Deny、Disabled	2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密	使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制，增强由 HSM 提供支持的外部服务的安全性，并促进职责划分。 此建议适用于具有相关合规性要求的组织。	Audit、Deny、Disabled	2.0.1

0305.09q1Organizational.12-09.q 09.07 介质处理

ID：0305.09q1Organizational.12-09.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

0306.09q1Organizational.3-09.q 09.07 介质处理

ID：0306.09q1Organizational.3-09.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动化信息共享决策	CMA_0028 - 自动化信息共享决策	手动、已禁用	1.1.0
确保授权用户保护所提供的身份验证器	CMA_C1339 - 确保授权用户保护所提供的身份验证器	手动、已禁用	1.1.0
确保没有未加密的静态验证器	CMA_C1340 - 确保没有未加密的静态验证器	手动、已禁用	1.1.0
促进信息共享	CMA_0284 - 促进信息共享	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
进行验证器保护培训	CMA_0329 - 进行验证器保护的培训	手动、已禁用	1.1.0

0307.09q2Organizational.12-09.q 09.07 介质处理

ID：0307.09q2Organizational.12-09.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0

0308.09q3Organizational.1-09.q 09.07 介质处理

ID：0308.09q3Organizational.1-09.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0

0314.09q3Organizational.2-09.q 09.07 介质处理

ID：0314.09q3Organizational.2-09.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
定义加密密钥管理的组织要求	CMA_0123 - 定义加密密钥管理的组织要求	手动、已禁用	1.1.0
确定断言要求	CMA_0136 - 确定断言要求	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
颁发公钥证书	CMA_0347 - 颁发公钥证书	手动、已禁用	1.1.0
管理对称加密密钥	CMA_0367 - 管理对称加密密钥	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
限制对私钥的访问	CMA_0445 - 限制对私钥的访问权限	手动、已禁用	1.1.0

04 移动设备安全性

0401.01x1System.124579-01.x 01.07 移动计算和远程办公

ID：0401.01x1System.124579-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视、控制移动代码技术的使用	CMA_C1653 - 授权、监视、控制移动代码技术的使用	手动、已禁用	1.1.0
定义可接受和不可接受的移动代码技术	CMA_C1651 - 定义可接受和不可接受的移动代码技术	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
制定移动代码技术的使用限制	CMA_C1652 - 制定移动代码技术的使用限制	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
禁止远程激活协作型计算设备	CMA_C1648 - 禁止远程激活协作型计算设备	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0403.01x1System.8-01.x 01.07 移动计算和远程办公

ID：0403.01x1System.8-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0405.01y1Organizational.12345678-01.y 01.07 移动计算和远程工作

ID：0405.01y1Organizational.12345678-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0

0407.01y2Organizational.1-01.y 01.07 移动计算和远程工作

ID：0407.01y2Organizational.1-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0

0408.01y3Organizational.12-01.y 01.07 移动计算和远程工作

ID：0408.01y3Organizational.12-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0

0409.01y3Organizational.3-01.y 01.07 移动计算和远程工作

ID：0409.01y3Organizational.3-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0

0410.01x1System.12-01.xMobileComputingandCommunications 01.07 移动计算和远程办公

ID：0410.01x1System.12-01.xMobileComputingandCommunications 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0415.01y1Organizational.10-01.y 01.07 移动计算和远程工作

ID：0415.01y1Organizational.10-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0

0416.01y3Organizational.4-01.y 01.07 移动计算和远程工作

ID：0416.01y3Organizational.4-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0417.01y3Organizational.5-01.y 01.07 移动计算和远程工作

ID：0417.01y3Organizational.5-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0

0425.01x1System.13-01.x 01.07 移动计算和远程办公

ID：0425.01x1System.13-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0

0426.01x2System.1-01.x 01.07 移动计算和远程办公

ID：0426.01x2System.1-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0427.01x2System.2-01.x 01.07 移动计算和远程办公

ID：0427.01x2System.2-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0428.01x2System.3-01.x 01.07 移动计算和远程办公

ID：0428.01x2System.3-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0

0429.01x1System.14-01.x 01.07 移动计算和远程办公

ID：0429.01x1System.14-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
定义移动设备要求	CMA_0122 - 定义移动设备要求	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

识别与外部各方相关的风险

在进行了尽职调查、实施了适当的控制措施，并且签署了反映安全要求的合同/协议（确认外部各方理解并接受其义务）之前，不允许外部各方访问组织信息和系统。

ID：1401.05i1Organizational.1239 - 05.i 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0

对组织与外部各方之间的远程访问连接进行加密。

ID：1402.05i1Organizational.45 - 05.i 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0

授予外部各方的访问权限仅限于所需的最低权限，并且仅在所需的持续时间内有效。

ID：1403.05i1Organizational.67 - 05.i 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0

识别与外部方访问相关的风险时，会考虑到最小的一组明确定义的问题。

ID：1418.05i1Organizational.8 - 05.i 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1

05 无线安全性

0504.09m2Organizational.5-09.m 09.06 网络安全管理

ID：0504.09m2Organizational.5-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录并实施无线访问准则	CMA_0190 - 记录并实施无线访问准则	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
保护无线访问	CMA_0411 - 保护无线访问	手动、已禁用	1.1.0

0505.09m2Organizational.3-09.m 09.06 网络安全管理

ID：0505.09m2Organizational.3-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
定义管理资产的要求	CMA_0125 - 定义管理资产的要求	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0

06 配置管理

0601.06g1Organizational.124-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0601.06g1Organizational.124-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
更新 POAM 项(&M)	CMA_C1157 - 更新 POA&M 项	手动、已禁用	1.1.0

0602.06g1Organizational.3-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0602.06g1Organizational.3-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
更新 POAM 项(&M)	CMA_C1157 - 更新 POA&M 项	手动、已禁用	1.1.0

0603.06g2Organizational.1-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0603.06g2Organizational.1-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0604.06g2Organizational.2-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0604.06g2Organizational.2-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分析从持续监视中获取的数据	CMA_C1169 - 分析从持续监视中获取的数据	手动、已禁用	1.1.0
配置检测允许列表	CMA_0068 - 配置检测允许列表	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员进行持续监视	CMA_C1168 - 使用独立评估员进行持续监视	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

0605.10h1System.12-10.h 10.04 系统文件的安全性

ID：0605.10h1System.12-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
限制在生产环境中进行更改的特权	CMA_C1206 - 限制在生产环境中进行更改的特权	手动、已禁用	1.1.0
审阅并重新评估特权	CMA_C1207 - 审阅并重新评估特权	手动、已禁用	1.1.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0
Windows 计算机应符合“安全选项 - 审核”的要求	Windows 计算机应在“安全选项 - 审核”类别中具有指定的组策略设置，以便在无法记录安全审核的情况下，强制实施审核策略子类别并进行关闭。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0
Windows 计算机应符合“系统审核策略 - 帐户管理”的要求	Windows 计算机应在“系统审核策略 - 帐户管理”类别中具有指定的组策略设置，以便审核应用程序、安全性和用户组管理以及其他管理事件。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0613.06h1Organizational.12-06.h 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0613.06h1Organizational.12-06.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行漏洞扫描	CMA_0393 - 执行漏洞扫描	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0

0614.06h2Organizational.12-06.h 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0614.06h2Organizational.12-06.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0

0615.06h2Organizational.3-06.h 06.02 安全政策与标准方面的合规性以及技术合规性

ID：0615.06h2Organizational.3-06.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0

0618.09b1System.1-09.b 09.01 记录操作程序

ID：0618.09b1System.1-09.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对建议的更改自动执行审批请求	CMA_C1192 - 对建议的更改自动执行审批请求	手动、已禁用	1.1.0
自动实现已批准的更改通知	CMA_C1196 - 自动实现已批准的更改通知	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0
保留基线配置的以前版本	CMA_C1181 - 保留基线配置的以前版本	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0626.10h1System.3-10.h 10.04 系统文件的安全性

ID：0626.10h1System.3-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0627.10h1System.45-10.h 10.04 系统文件的安全性

ID：0627.10h1System.45-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
确保在个人返回时不需要安全保护措施	CMA_C1183 - 确保在个人返回时不需要安全保护措施	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
不允许信息系统随附于个人	CMA_C1182 - 不允许信息系统随附于个人	手动、已禁用	1.1.0
保留基线配置的以前版本	CMA_C1181 - 保留基线配置的以前版本	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0628.10h1System.6-10.h 10.04 系统文件的安全性

ID：0628.10h1System.6-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
将缺陷修正合并到配置管理中	CMA_C1671 - 将缺陷修正合并到配置管理中	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

0635.10k1Organizational.12-10.k 10.05 开发和支持过程中的安全性

ID：0635.10k1Organizational.12-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
将缺陷修正合并到配置管理中	CMA_C1671 - 将缺陷修正合并到配置管理中	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
查看开发流程、标准和工具	CMA_C1610 - 查看开发流程、标准和工具	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0636.10k2Organizational.1-10.k 10.05 开发和支持过程中的安全性

ID：0636.10k2Organizational.1-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建配置计划保护	CMA_C1233 - 创建配置计划保护	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
查看和更新配置管理策略和过程	CMA_C1175 - 查看和更新配置管理策略和过程	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0637.10k2Organizational.2-10.k 10.05 开发和支持过程中的安全性

ID：0637.10k2Organizational.2-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建配置计划保护	CMA_C1233 - 创建配置计划保护	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0638.10k2Organizational.34569-10.k 10.05 开发和支持过程中的安全性

ID：0638.10k2Organizational.34569-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动实现已批准的更改通知	CMA_C1196 - 自动实现已批准的更改通知	手动、已禁用	1.1.0
将记录已实现的更改的流程自动化	CMA_C1195 - 将记录已实现的更改的流程自动化	手动、已禁用	1.1.0
自动执行流程以突出未审阅的更改建议	CMA_C1193 - 自动执行流程以突出未审阅的更改建议	手动、已禁用	1.1.0
自动执行进程以禁止实现未经批准的更改	CMA_C1194 - 自动执行进程以禁止实现未经批准的更改	手动、已禁用	1.1.0
自动执行建议的已记录更改	CMA_C1191 - 自动执行建议的已记录更改	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0639.10k2Organizational.78-10.k 10.05 开发和支持过程中的安全性

ID：0639.10k2Organizational.78-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0640.10k2Organizational.1012-10.k 10.05 开发和支持过程中的安全性

ID：0640.10k2Organizational.1012-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0
要求开发人员生成安全评估计划执行的证据	CMA_C1602 - 要求开发人员生成安全评估计划执行的证据	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0641.10k2Organizational.11-10.k 10.05 开发和支持过程中的安全性

ID：0641.10k2Organizational.11-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
查看开发流程、标准和工具	CMA_C1610 - 查看开发流程、标准和工具	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0642.10k3Organizational.12-10.k 10.05 开发和支持过程中的安全性

ID：0642.10k3Organizational.12-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0643.10k3Organizational.3-10.k 10.05 开发和支持过程中的安全性

ID：0643.10k3Organizational.3-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
保留基线配置的以前版本	CMA_C1181 - 保留基线配置的以前版本	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0644.10k3Organizational.4-10.k 10.05 开发和支持过程中的安全性

ID：0644.10k3Organizational.4-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配客户经理	CMA_0015 - 分配客户经理	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
记录访问特权	CMA_0186 - 记录访问特权	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
为角色成员资格设定条件	CMA_0269 - 为角色成员资格设定条件	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
审查用户帐户	CMA_0480 - 审查用户帐户	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0
Windows 计算机应符合“系统审核策略 - 详细跟踪”的要求	Windows 计算机应在“系统审核策略 - 详细跟踪”类别中具有指定的组策略设置，以便审核 DPAPI、进程创建/终止、RPC 事件和 PNP 活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0662.09sCSPOrganizational.2-09.s 09.08 信息交换

ID：0662.09sCSPOrganizational.2-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应启用“客户端证书（传入客户端证书）”	客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。	AuditIfNotExists、Disabled	1.0.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0

0663.10h1System.7-10.h 10.04 系统文件的安全性

ID：0663.10h1System.7-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
检测尚未授权或批准的网络服务	CMA_C1700 - 检测尚未授权或批准的网络服务	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0669.10hCSPSystem.1-10.h 10.04 系统文件的安全性

ID：0669.10hCSPSystem.1-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0

0670.10hCSPSystem.2-10.h 10.04 系统文件的安全性

ID：0670.10hCSPSystem.2-10.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

0671.10k1System.1-10.k 10.05 开发和支持过程中的安全性

ID：0671.10k1System.1-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
自动实现已批准的更改通知	CMA_C1196 - 自动实现已批准的更改通知	手动、已禁用	1.1.0
自动执行流程以突出未审阅的更改建议	CMA_C1193 - 自动执行流程以突出未审阅的更改建议	手动、已禁用	1.1.0
自动执行进程以禁止实现未经批准的更改	CMA_C1194 - 自动执行进程以禁止实现未经批准的更改	手动、已禁用	1.1.0
自动执行建议的已记录更改	CMA_C1191 - 自动执行建议的已记录更改	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
修正信息系统缺陷	CMA_0427 - 修正信息系统缺陷	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员仅实现已批准的更改	CMA_C1596 - 要求开发人员仅实现已批准的更改	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0

0672.10k3System.5-10.k 10.05 开发和支持过程中的安全性

ID：0672.10k3System.5-10.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
禁止二进制/计算机可执行代码	CMA_C1717 - 禁止二进制/计算机可执行代码	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

068.06g2Organizational.34-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：068.06g2Organizational.34-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员进行持续监视	CMA_C1168 - 使用独立评估员进行持续监视	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0

069.06g2Organizational.56-06.g 06.02 安全政策与标准方面的合规性以及技术合规性

ID：069.06g2Organizational.56-06.g 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
配置检测允许列表	CMA_0068 - 配置检测允许列表	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

07 漏洞管理

0701.07a1Organizational.12-07.a 07.01 资产责任

ID：0701.07a1Organizational.12-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0

0702.07a1Organizational.3-07.a 07.01 资产责任

ID：0702.07a1Organizational.3-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0

0703.07a2Organizational.1-07.a 07.01 资产责任

ID：0703.07a2Organizational.1-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0

0704.07a3Organizational.12-07.a 07.01 资产责任

ID：0704.07a3Organizational.12-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0

0705.07a3Organizational.3-07.a 07.01 资产责任

ID：0705.07a3Organizational.3-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0

0706.10b1System.12-10.b 10.02 应用程序中的正确处理

ID：0706.10b1System.12-10.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0
执行信息输入验证	CMA_C1723 - 执行信息输入验证	手动、已禁用	1.1.0

0708.10b2System.2-10.b 10.02 应用程序中的正确处理

ID：0708.10b2System.2-10.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新信息完整性策略及过程	CMA_C1667 - 查看和更新信息完整性策略及过程	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

0709.10m1Organizational.1-10.m 10.06 技术漏洞管理

ID：0709.10m1Organizational.1-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应在虚拟机上启用漏洞评估解决方案	审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描，无需额外付费。 此外，安全中心可以自动为你部署此工具。	AuditIfNotExists、Disabled	3.0.0
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0
SQL 数据库应已解决漏洞结果	监视漏洞评估扫描结果，并提供有关如何消除数据库漏洞的建议。	AuditIfNotExists、Disabled	4.1.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0
应在 SQL 托管实例上启用漏洞评估	审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	1.0.1
应对 SQL 服务器启用漏洞评估	审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	3.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求	Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置，以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0710.10m2Organizational.1-10.m 10.06 技术漏洞管理

ID：0710.10m2Organizational.1-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0
应在 SQL 托管实例上启用漏洞评估	审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	1.0.1

0711.10m2Organizational.23-10.m 10.06 技术漏洞管理

ID：0711.10m2Organizational.23-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应在虚拟机上启用漏洞评估解决方案	审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描，无需额外付费。 此外，安全中心可以自动为你部署此工具。	AuditIfNotExists、Disabled	3.0.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0

0712.10m2Organizational.4-10.m 10.06 技术漏洞管理

ID：0712.10m2Organizational.4-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
聘请独立团队进行渗透测试	CMA_C1171 - 聘请独立团队进行渗透测试	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0

0713.10m2Organizational.5-10.m 10.06 技术漏洞管理

ID：0713.10m2Organizational.5-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动修正缺陷	CMA_0027 - 自动修正缺陷	手动、已禁用	1.1.0
建立缺陷修正基准	CMA_C1675 - 为缺陷修正建立基准	手动、已禁用	1.1.0
将缺陷修正合并到配置管理中	CMA_C1671 - 将缺陷修正合并到配置管理中	手动、已禁用	1.1.0
测量缺陷标识和缺陷修正之间的时间	CMA_C1674 - 测量缺陷标识和缺陷修正之间的时间	手动、已禁用	1.1.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0

0714.10m2Organizational.7-10.m 10.06 技术漏洞管理

ID：0714.10m2Organizational.7-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
为执行漏洞扫描活动实现特权访问	CMA_C1555 - 为执行漏洞扫描活动实现特权访问	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
对威胁执行趋势分析	CMA_0389 - 对威胁执行趋势分析	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看攻击保护事件	CMA_0472 - 查看攻击保护事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0

0716.10m3Organizational.1-10.m 10.06 技术漏洞管理

ID：0716.10m3Organizational.1-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
SQL 数据库应已解决漏洞结果	监视漏洞评估扫描结果，并提供有关如何消除数据库漏洞的建议。	AuditIfNotExists、Disabled	4.1.0

0717.10m3Organizational.2-10.m 10.06 技术漏洞管理

ID：0717.10m3Organizational.2-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0

0718.10m3Organizational.34-10.m 10.06 技术漏洞管理

ID：0718.10m3Organizational.34-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动修正缺陷	CMA_0027 - 自动修正缺陷	手动、已禁用	1.1.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
应修复计算机上安全配置中的漏洞	建议通过 Azure 安全中心监视不满足配置的基线的服务器	AuditIfNotExists、Disabled	3.1.0

0719.10m3Organizational.5-10.m 10.06 技术漏洞管理

ID：0719.10m3Organizational.5-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
应在 SQL 托管实例上启用漏洞评估	审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。	AuditIfNotExists、Disabled	1.0.1

0720.07a1Organizational.4-07.a 07.01 资产责任

ID：0720.07a1Organizational.4-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0

0722.07a1Organizational.67-07.a 07.01 资产责任

ID：0722.07a1Organizational.67-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
要求遵守知识产权	CMA_0432 - 要求遵守知识产权	手动、已禁用	1.1.0
限制开放源代码软件的使用	CMA_C1237 - 限制开放源代码软件的使用	手动、已禁用	1.1.0
跟踪软件许可证使用情况	CMA_C1235 - 跟踪软件许可证使用情况	手动、已禁用	1.1.0

0723.07a1Organizational.8-07.a 07.01 资产责任

ID：0723.07a1Organizational.8-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新媒体保护策略及过程	CMA_C1427 - 查看和更新媒体保护策略及过程	手动、已禁用	1.1.0

0724.07a3Organizational.4-07.a 07.01 资产责任

ID：0724.07a3Organizational.4-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
启用网络设备检测	CMA_0220 - 启用网络设备检测	手动、已禁用	1.1.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0

0725.07a3Organizational.5-07.a 07.01 资产责任

ID：0725.07a3Organizational.5-07.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0

0733.10b2System.4-10.b 10.02 应用程序中的正确处理

ID：0733.10b2System.4-10.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息输入验证	CMA_C1723 - 执行信息输入验证	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

0786.10m2Organizational.13-10.m 10.06 技术漏洞管理

ID：0786.10m2Organizational.13-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
将缺陷修正合并到配置管理中	CMA_C1671 - 将缺陷修正合并到配置管理中	手动、已禁用	1.1.0

0787.10m2Organizational.14-10.m 10.06 技术漏洞管理

ID：0787.10m2Organizational.14-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动修正缺陷	CMA_0027 - 自动修正缺陷	手动、已禁用	1.1.0
建立缺陷修正基准	CMA_C1675 - 为缺陷修正建立基准	手动、已禁用	1.1.0
将缺陷修正合并到配置管理中	CMA_C1671 - 将缺陷修正合并到配置管理中	手动、已禁用	1.1.0
测量缺陷标识和缺陷修正之间的时间	CMA_C1674 - 测量缺陷标识和缺陷修正之间的时间	手动、已禁用	1.1.0

0788.10m3Organizational.20-10.m 10.06 技术漏洞管理

ID：0788.10m3Organizational.20-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
聘请独立团队进行渗透测试	CMA_C1171 - 聘请独立团队进行渗透测试	手动、已禁用	1.1.0

0790.10m3Organizational.22-10.m 10.06 技术漏洞管理

ID：0790.10m3Organizational.22-10.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
观察并报告安全漏洞	CMA_0384 - 观察并报告安全漏洞	手动、已禁用	1.1.0
执行威胁建模	CMA_0392 - 执行威胁建模	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看攻击保护事件	CMA_0472 - 查看攻击保护事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0

0791.10b2Organizational.4-10.b 10.02 应用程序中的正确处理

ID：0791.10b2Organizational.4-10.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员仅实现已批准的更改	CMA_C1596 - 要求开发人员仅实现已批准的更改	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

08 网络保护

0805.01m1Organizational.12-01.m 01.04 网络访问控制

ID：0805.01m1Organizational.12-01.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
应用服务应用应使用虚拟网络服务终结点	使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点，请访问 https://aka.ms/appservice-vnet-service-endpoint。	AuditIfNotExists、Disabled	2.0.1
Cosmos DB 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。	Audit、Disabled	1.0.0
事件中心应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。	AuditIfNotExists、Disabled	1.0.0
不应在网关子网中配置网络安全组	如果在网关子网中配置了网络安全组，则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。	deny	1.0.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
Key Vault 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。	Audit、Disabled	1.0.0
SQL Server 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。	AuditIfNotExists、Disabled	1.0.0
存储帐户应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。	Audit、Disabled	1.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0806.01m2Organizational.12356-01.m 01.04 网络访问控制

ID：0806.01m2Organizational.12356-01.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
应用服务应用应使用虚拟网络服务终结点	使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点，请访问 https://aka.ms/appservice-vnet-service-endpoint。	AuditIfNotExists、Disabled	2.0.1
Cosmos DB 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。	Audit、Disabled	1.0.0
事件中心应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。	AuditIfNotExists、Disabled	1.0.0
不应在网关子网中配置网络安全组	如果在网关子网中配置了网络安全组，则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。	deny	1.0.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
隔离 SecurID 系统、安全事件管理系统	CMA_C1636 - 隔离 SecurID 系统、安全事件管理系统	手动、已禁用	1.1.0
Key Vault 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。	Audit、Disabled	1.0.0
SQL Server 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。	AuditIfNotExists、Disabled	1.0.0
存储帐户应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。	Audit、Disabled	1.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0808.10b2System.3-10.b 10.02 应用程序中的正确处理

ID：0808.10b2System.3-10.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0

0809.01n2Organizational.1234-01.n 01.04 网络访问控制

ID：0809.01n2Organizational.1234-01.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
管理网关	CMA_0363 - 管理网关	手动、已禁用	1.1.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0810.01n2Organizational.5-01.n 01.04 网络访问控制

ID：0810.01n2Organizational.5-01.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

08101.09m2Organizational.14-09.m 09.06 网络安全管理

ID：08101.09m2Organizational.14-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

08102.09nCSPOrganizational.1-09.n 09.06 网络安全管理

ID：08102.09nCSPOrganizational.1-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0811.01n2Organizational.6-01.n 01.04 网络访问控制

ID：0811.01n2Organizational.6-01.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
确定信息保护需求	CMA_C1750 - 确定信息保护需求	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
使用安全策略筛选器的信息流控制	CMA_C1029 - 使用安全策略筛选器的信息流控制	手动、已禁用	1.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0812.01n2Organizational.8-01.n 01.04 网络访问控制

ID：0812.01n2Organizational.8-01.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
阻止远程设备的拆分隧道	CMA_C1632 - 阻止远程设备拆分隧道	手动、已禁用	1.1.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0814.01n1Organizational.12-01.n 01.04 网络访问控制

ID：0814.01n1Organizational.12-01.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

0815.01o2Organizational.123-01.o 01.04 网络访问控制

ID：0815.01o2Organizational.123-01.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

0816.01w1System.1-01.w 01.06 应用程序和信息访问控制

ID：0816.01w1System.1-01.w 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
分布信息系统文档	CMA_C1584 - 分布信息系统文档	手动、已禁用	1.1.0
记录客户定义的操作	CMA_C1582 - 记录客户定义的操作	手动、已禁用	1.1.0
获取管理员文档	CMA_C1580 - 获取管理员文档	手动、已禁用	1.1.0
获取用户安全性函数文档	CMA_C1581 - 获取用户安全性函数文档	手动、已禁用	1.1.0
保护管理员和用户文档	CMA_C1583 - 保护管理员和用户文档	手动、已禁用	1.1.0

0817.01w2System.123-01.w 01.06 应用程序和信息访问控制

ID：0817.01w2System.123-01.w 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
使用边界保护隔离信息系统	CMA_C1639 - 使用边界保护隔离信息系统	手动、已禁用	1.1.0
确保系统能够动态隔离资源	CMA_C1638 - 确保系统能够动态隔离资源	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
隔离 SecurID 系统、安全事件管理系统	CMA_C1636 - 隔离 SecurID 系统、安全事件管理系统	手动、已禁用	1.1.0
为正在运行的进程维护单独执行域	CMA_C1665 - 为正在运行的进程维护单独执行域	手动、已禁用	1.1.0
单独的用户和信息系统管理功能	CMA_0493 - 单独的用户和信息系统管理功能	手动、已禁用	1.1.0
使用专用计算机执行管理任务	CMA_0527 - 使用专用计算机执行管理任务	手动、已禁用	1.1.0

0818.01w3System.12-01.w 01.06 应用程序和信息访问控制

ID：0818.01w3System.12-01.w 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
管理资源分配	CMA_0293 - 管理资源分配	手动、已禁用	1.1.0
为正在运行的进程维护单独执行域	CMA_C1665 - 为正在运行的进程维护单独执行域	手动、已禁用	1.1.0
管理可用性和容量	CMA_0356 - 管理可用性和容量	手动、已禁用	1.1.0
落实领导的承诺	CMA_0489 - 落实领导的承诺	手动、已禁用	1.1.0

0819.09m1Organizational.23-09.m 09.06 网络安全管理

ID：0819.09m1Organizational.23-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立内部连接之前检查隐私和安全合规性	CMA_0053 - 建立内部连接之前检查隐私和安全合规性	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0

0821.09m2Organizational.2-09.m 09.06 网络安全管理

ID：0821.09m2Organizational.2-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
创建配置计划保护	CMA_C1233 - 创建配置计划保护	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
查看任何未经授权的更改的更改	CMA_C1204 - 查看任何未经授权的更改的更改	手动、已禁用	1.1.0

0822.09m2Organizational.4-09.m 09.06 网络安全管理

ID：0822.09m2Organizational.4-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

0824.09m3Organizational.1-09.m 09.06 网络安全管理

ID：0824.09m3Organizational.1-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
配置检测允许列表	CMA_0068 - 配置检测允许列表	手动、已禁用	1.1.0
建立备用处理站点	CMA_0262 - 建立备用处理站点	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

0825.09m3Organizational.23-09.m 09.06 网络安全管理

ID：0825.09m3Organizational.23-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
检测尚未授权或批准的网络服务	CMA_C1700 - 检测尚未授权或批准的网络服务	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
获取有关监视系统活动的法律意见	CMA_C1688 - 获取有关监视系统活动的法律意见	手动、已禁用	1.1.0
根据需要提供监视信息	CMA_C1689 - 根据需要提供监视信息	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

0826.09m3Organizational.45-09.m 09.06 网络安全管理

ID：0826.09m3Organizational.45-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0828.09m3Organizational.8-09.m 09.06 网络安全管理

ID：0828.09m3Organizational.8-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看任何未经授权的更改的更改	CMA_C1204 - 查看任何未经授权的更改的更改	手动、已禁用	1.1.0

0829.09m3Organizational.911-09.m 09.06 网络安全管理

ID：0829.09m3Organizational.911-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0

0830.09m3Organizational.1012-09.m 09.06 网络安全管理

ID：0830.09m3Organizational.1012-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
实现系统边界保护	CMA_0328 - 实现系统边界保护	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

0832.09m3Organizational.14-09.m 09.06 网络安全管理

ID：0832.09m3Organizational.14-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现容错名称/地址服务	CMA_0305 - 实现容错名称/地址服务	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

0835.09n1Organizational.1-09.n 09.06 网络安全管理

ID：0835.09n1Organizational.1-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
配置检测允许列表	CMA_0068 - 配置检测允许列表	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0
应将虚拟机迁移到新的 Azure 资源管理器资源	对虚拟机使用新的 Azure 资源管理器以提供安全增强功能，例如：更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理	Audit、Deny、Disabled	1.0.0

0836.09.n2Organizational.1-09.n 09.06 网络安全管理

ID：0836.09.n2Organizational.1-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
建立内部连接之前检查隐私和安全合规性	CMA_0053 - 建立内部连接之前检查隐私和安全合规性	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

0837.09.n2Organizational.2-09.n 09.06 网络安全管理

ID：0837.09.n2Organizational.2-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

0850.01o1Organizational.12-01.o 01.04 网络访问控制

ID：0850.01o1Organizational.12-01.o 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0

0858.09m1Organizational.4-09.m 09.06 网络安全管理

ID：0858.09m1Organizational.4-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应限制在与虚拟机关联的网络安全组上使用所有网络端口	Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。	AuditIfNotExists、Disabled	3.0.0
记录并实施无线访问准则	CMA_0190 - 记录并实施无线访问准则	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
保护无线访问	CMA_0411 - 保护无线访问	手动、已禁用	1.1.0
Windows 计算机应符合“Windows 防火墙属性”的要求	对于防火墙状态、连接、规则管理和通知，Windows 计算机应在“Windows 防火墙属性”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0859.09m1Organizational.78-09.m 09.06 网络安全管理

ID：0859.09m1Organizational.78-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
使用安全策略筛选器的信息流控制	CMA_C1029 - 使用安全策略筛选器的信息流控制	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
查看和更新系统和通信保护策略及过程	CMA_C1616 - 查看和更新系统和通信保护策略及过程	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

0860.09m1Organizational.9-09.m 09.06 网络安全管理

ID：0860.09m1Organizational.9-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为网络安全组部署诊断设置	此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。	deployIfNotExists	2.0.1
建立备用处理站点	CMA_0262 - 建立备用处理站点	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0

0861.09m2Organizational.67-09.m 09.06 网络安全管理

ID：0861.09m2Organizational.67-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应使用虚拟网络服务终结点	使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点，请访问 https://aka.ms/appservice-vnet-service-endpoint。	AuditIfNotExists、Disabled	2.0.1
记录并实施无线访问准则	CMA_0190 - 记录并实施无线访问准则	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
识别非组织用户并对其进行身份验证	CMA_C1346 - 识别非组织用户并对其进行身份验证	手动、已禁用	1.1.0
保护无线访问	CMA_0411 - 保护无线访问	手动、已禁用	1.1.0
Windows 计算机应符合“安全选项 - 网络访问”的要求	Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置，以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

0862.09m2Organizational.8-09.m 09.06 网络安全管理

ID：0862.09m2Organizational.8-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
SQL Server 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。	AuditIfNotExists、Disabled	1.0.0

0863.09m2Organizational.910-09.m 09.06 网络安全管理

ID：0863.09m2Organizational.910-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立内部连接之前检查隐私和安全合规性	CMA_0053 - 建立内部连接之前检查隐私和安全合规性	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
事件中心应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。	AuditIfNotExists、Disabled	1.0.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0

0864.09m2Organizational.12-09.m 09.06 网络安全管理

ID：0864.09m2Organizational.12-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
Cosmos DB 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。	Audit、Disabled	1.0.0
制定 voip 使用限制	CMA_0280 - 制定 VoIP 使用限制	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0865.09m2Organizational.13-09.m 09.06 网络安全管理

ID：0865.09m2Organizational.13-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立内部连接之前检查隐私和安全合规性	CMA_0053 - 建立内部连接之前检查隐私和安全合规性	手动、已禁用	1.1.0
对外部系统连接应用限制	CMA_C1155 - 对外部系统连接应用限制	手动、已禁用	1.1.0
Key Vault 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。	Audit、Disabled	1.0.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

0866.09m3Organizational.1516-09.m 09.06 网络安全管理

ID：0866.09m3Organizational.1516-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
查看和更新系统和通信保护策略及过程	CMA_C1616 - 查看和更新系统和通信保护策略及过程	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
应限制对存储帐户的网络访问	应限制对存储帐户的网络访问。 配置网络规则，以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接，可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限	Audit、Deny、Disabled	1.1.1

0868.09m3Organizational.18-09.m 09.06 网络安全管理

ID：0868.09m3Organizational.18-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0869.09m3Organizational.19-09.m 09.06 网络安全管理

ID：0869.09m3Organizational.19-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
创建配置计划保护	CMA_C1233 - 创建配置计划保护	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定配置项目标识计划	CMA_C1231 - 制定配置项目标识计划	手动、已禁用	1.1.0
制定配置管理计划	CMA_C1232 - 制定配置管理计划	手动、已禁用	1.1.0
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0

0870.09m3Organizational.20-09.m 09.06 网络安全管理

ID：0870.09m3Organizational.20-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
检测尚未授权或批准的网络服务	CMA_C1700 - 检测尚未授权或批准的网络服务	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
识别非组织用户并对其进行身份验证	CMA_C1346 - 识别非组织用户并对其进行身份验证	手动、已禁用	1.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
为每项外部服务实现托管接口	CMA_C1626 - 为每项外部服务实现托管接口	手动、已禁用	1.1.0
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

0871.09m3Organizational.22-09.m 09.06 网络安全管理

ID：0871.09m3Organizational.22-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
实现容错名称/地址服务	CMA_0305 - 实现容错名称/地址服务	手动、已禁用	1.1.0
提供安全的名称和地址解析服务	CMA_0416 - 提供安全的名称和地址解析服务	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

0885.09n2Organizational.3-09.n 09.06 网络安全管理

ID：0885.09n2Organizational.3-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：应在 Linux 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

0886.09n2Organizational.4-09.n 09.06 网络安全管理

ID：0886.09n2Organizational.4-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对外部系统连接应用限制	CMA_C1155 - 对外部系统连接应用限制	手动、已禁用	1.1.0
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0

0887.09n2Organizational.5-09.n 09.06 网络安全管理

ID：0887.09n2Organizational.5-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：应在 Windows 虚拟机上安装网络流量数据收集代理	安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	AuditIfNotExists、Disabled	1.0.2-preview
要求开发人员识别 SDLC 端口、协议和服务	CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0888.09n2Organizational.6-09.n 09.06 网络安全管理

ID：0888.09n2Organizational.6-09.n 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
应启用网络观察程序	网络观察程序是一个区域性服务，可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用，则会启用警报。	AuditIfNotExists、Disabled	3.0.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

0894.01m2Organizational.7-01.m 01.04 网络访问控制

ID：0894.01m2Organizational.7-01.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
[预览版]：容器注册表应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的容器注册表。	Audit、Disabled	1.0.0-preview
应用服务应用应使用虚拟网络服务终结点	使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点，请访问 https://aka.ms/appservice-vnet-service-endpoint。	AuditIfNotExists、Disabled	2.0.1
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
Cosmos DB 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Cosmos DB。	Audit、Disabled	1.0.0
创建虚拟网络时部署网络观察程序	此策略在具有虚拟网络的区域中创建网络观察程序资源。 需确保存在名为 networkWatcherRG 的资源组，该资源组用于部署网络观察程序实例。	DeployIfNotExists	1.0.0
强制执行逻辑访问	CMA_0245 - 强制执行逻辑访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
事件中心应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的事件中心。	AuditIfNotExists、Disabled	1.0.0
不应在网关子网中配置网络安全组	如果在网关子网中配置了网络安全组，则此策略会拒绝此配置。 将网络安全组分配到网关子网会导致网关停止运行。	deny	1.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量，请访问 https://aka.ms/nsg-doc	AuditIfNotExists、Disabled	3.0.0
Key Vault 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。	Audit、Disabled	1.0.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
查看有权访问敏感数据的用户组和应用程序	CMA_0481 - 查看有权访问敏感数据的用户组和应用程序	手动、已禁用	1.1.0
通过经过身份验证的代理网络路由流量	CMA_C1633 - 通过经过身份验证的代理网络路由流量	手动、已禁用	1.1.0
SQL Server 应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的 SQL Server。	AuditIfNotExists、Disabled	1.0.0
存储帐户应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。	Audit、Disabled	1.0.0
子网应与网络安全组关联	使用网络安全组 (NSG) 限制对 VM 的访问，以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则，这些规则可以允许或拒绝流向子网的网络流量。	AuditIfNotExists、Disabled	3.0.0
虚拟机应连接到已批准的虚拟网络	此策略审核任何已连接到未批准的虚拟网络的虚拟机。	Audit、Deny、Disabled	1.0.0

备份

确定工作人员在数据备份过程中的角色和职责并告知工作团队；特别是，要求自带设备办公 (BYOD) 的用户在其设备上对组织和/或客户端数据进行备份。

ID：1699.09l1Organizational.10 - 09.l 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为虚拟机启用 Azure 备份	启用 Azure 备份，确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。	AuditIfNotExists、Disabled	3.0.0

网络控制

无线访问点位于安全区域中，并在未使用时（例如晚上、周末）处于关闭状态。

ID：0867.09m3Organizational.17 - 09.m 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
存储帐户应使用虚拟网络服务终结点	此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。	Audit、Disabled	1.0.0

在线事务

组织要求交易中的各方使用电子签名，并要求其相互之间使用加密。

ID：0946.09y2Organizational.14 - 09.y 所有权：客户

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0

09 传输保护

0901.09s1Organizational.1-09.s 09.08 信息交换

ID：0901.09s1Organizational.1-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。	AuditIfNotExists、Disabled	2.0.0
对信息进行分类	CMA_0052 - 对信息进行分类	手动、已禁用	1.1.0
为非合规设备配置操作	CMA_0062 - 为非合规设备配置操作	手动、已禁用	1.1.0
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
开发并维护基线配置	CMA_0153 - 设计并维护基线配置	手动、已禁用	1.1.0
制定业务分类方案	CMA_0155 - 制定业务分类方案	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
确保已批准安全分类	CMA_C1540 - 确保已批准安全分类	手动、已禁用	1.1.0
建立配置控制委员会	CMA_0254 - 建立配置控制委员会	手动、已禁用	1.1.0
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
建立并记录配置管理计划	CMA_0264 - 建立并记录配置管理计划	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0
实现自动配置管理工具	CMA_0311 - 实现自动配置管理工具	手动、已禁用	1.1.0
实施控制措施来保护所有介质	CMA_0314 - 实施控制措施来保护所有介质	手动、已禁用	1.1.0
执行信息输入验证	CMA_C1723 - 执行信息输入验证	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0
每周查看恶意软件检测报告	CMA_0475 - 每周查看恶意软件检测报告	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新防病毒定义	CMA_0517 - 更新防病毒定义	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

0902.09s2Organizational.13-09.s 09.08 信息交换

ID：0902.09s2Organizational.13-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
授权远程访问特权命令	CMA_C1064 - 授权远程访问特权命令	手动、已禁用	1.1.0
记录移动性培训	CMA_0191 - 记录移动性培训	手动、已禁用	1.1.0
记录远程访问准则	CMA_0196 - 记录远程访问准则	手动、已禁用	1.1.0
制定访问资源的条款和条件	CMA_C1076 - 制定访问资源的条款和条件	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0
函数应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。	AuditIfNotExists、Disabled	2.0.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
使用加密保护传输中的数据	CMA_0403 - 使用加密保护传输中的数据	手动、已禁用	1.1.0
提供断开或禁用远程访问的功能	CMA_C1066 - 提供断开或禁用远程访问的功能	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

0903.10f1Organizational.1-10.f 10.03 加密控制

ID：0903.10f1Organizational.1-10.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0

0904.10f2Organizational.1-10.f 10.03 加密控制

ID：0904.10f2Organizational.1-10.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对加密模块进行身份验证	CMA_0021 - 对加密模块进行身份验证	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
定义加密密钥管理的组织要求	CMA_0123 - 定义加密密钥管理的组织要求	手动、已禁用	1.1.0
确定断言要求	CMA_0136 - 确定断言要求	手动、已禁用	1.1.0
颁发公钥证书	CMA_0347 - 颁发公钥证书	手动、已禁用	1.1.0
管理对称加密密钥	CMA_0367 - 管理对称加密密钥	手动、已禁用	1.1.0
生成、控制和分配对称加密密钥	CMA_C1645 - 生成、控制和分配对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
限制对私钥的访问	CMA_0445 - 限制对私钥的访问权限	手动、已禁用	1.1.0

0912.09s1Organizational.4-09.s 09.08 信息交换

ID：0912.09s1Organizational.4-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应已禁用远程调试	远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
记录移动性培训	CMA_0191 - 记录移动性培训	手动、已禁用	1.1.0
记录远程访问准则	CMA_0196 - 记录远程访问准则	手动、已禁用	1.1.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

0913.09s1Organizational.5-09.s 09.08 信息交换

ID：0913.09s1Organizational.5-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0

0914.09s1Organizational.6-09.s 09.08 信息交换

ID：0914.09s1Organizational.6-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0
查看和更新系统和通信保护策略及过程	CMA_C1616 - 查看和更新系统和通信保护策略及过程	手动、已禁用	1.1.0

0915.09s2Organizational.2-09.s 09.08 信息交换

ID：0915.09s2Organizational.2-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应启用“客户端证书（传入客户端证书）”	客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。	AuditIfNotExists、Disabled	1.0.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
制定访问资源的条款和条件	CMA_C1076 - 制定访问资源的条款和条件	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0

0916.09s2Organizational.4-09.s 09.08 信息交换

ID：0916.09s2Organizational.4-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
应用服务应用不应将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。	AuditIfNotExists、Disabled	2.0.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
显式通知协作型计算设备的使用	CMA_C1649 - 显式通知协作型计算设备的使用	手动、已禁用	1.1.1
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
禁止远程激活协作型计算设备	CMA_C1648 - 禁止远程激活协作型计算设备	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

0926.09v1Organizational.2-09.v 09.08 信息交换

ID：0926.09v1Organizational.2-09.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
实现容错名称/地址服务	CMA_0305 - 实现容错名称/地址服务	手动、已禁用	1.1.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
提供安全的名称和地址解析服务	CMA_0416 - 提供安全的名称和地址解析服务	手动、已禁用	1.1.0

0927.09v1Organizational.3-09.v 09.08 信息交换

ID：0927.09v1Organizational.3-09.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

0928.09v1Organizational.45-09.v 09.08 信息交换

ID：0928.09v1Organizational.45-09.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0

0929.09v1Organizational.6-09.v 09.08 信息交换

ID：0929.09v1Organizational.6-09.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
实现容错名称/地址服务	CMA_0305 - 实现容错名称/地址服务	手动、已禁用	1.1.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
提供安全的名称和地址解析服务	CMA_0416 - 提供安全的名称和地址解析服务	手动、已禁用	1.1.0

0943.09y1Organizational.1-09.y 09.09 电子商务服务

ID：0943.09y1Organizational.1-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
阐述确保 PII 完整性的过程	CMA_C1827 - 记录确保 PII 完整性的过程	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
应启用安全传输到存储帐户	审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击	Audit、Deny、Disabled	2.0.0

0944.09y1Organizational.2-09.y 09.09 电子商务服务

ID：0944.09y1Organizational.2-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
使用边界保护隔离信息系统	CMA_C1639 - 使用边界保护隔离信息系统	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
使用安全策略筛选器的信息流控制	CMA_C1029 - 使用安全策略筛选器的信息流控制	手动、已禁用	1.1.0

0945.09y1Organizational.3-09.y 09.09 电子商务服务

ID：0945.09y1Organizational.3-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核在受信任的根中不包含指定证书的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果计算机受信任的根证书存储 (Cert:\LocalMachine\Root) 不包含策略参数列出的一个或多个证书，则计算机不合规。	auditIfNotExists	3.0.0
对加密模块进行身份验证	CMA_0021 - 对加密模块进行身份验证	手动、已禁用	1.1.0
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
生成、控制和分配非对称加密密钥	CMA_C1646 - 生成、控制和分配非对称加密密钥	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0

0947.09y2Organizational.2-09.y 09.09 电子商务服务

ID：0947.09y2Organizational.2-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建单独的备用和主存储站点	CMA_C1269 - 创建单独的备用和主存储站点	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
确保备用存储站点保护功能与主站点等效	CMA_C1268 - 确保备用存储站点保护功能与主站点等效	手动、已禁用	1.1.0
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
建立备用存储站点以存储和检索备份信息	CMA_C1267 - 建立备用存储站点以存储和检索备份信息	手动、已禁用	1.1.0
治理并监视审核处理活动	CMA_0289 - 治理并监视审核处理活动	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0
限制信息处理、存储和服务的位置	CMA_C1593 - 限制信息处理、存储和服务的位置	手动、已禁用	1.1.0
将备份信息传输到备用存储站点	CMA_C1294 - 将备份信息传输到备用存储站点	手动、已禁用	1.1.0

0948.09y2Organizational.3-09.y 09.09 电子商务服务

ID：0948.09y2Organizational.3-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
分配验证器	CMA_0184 - 分配验证器	手动、已禁用	1.1.0
强制执行随机唯一会话标识符	CMA_0247 - 强制执行随机唯一会话标识符	手动、已禁用	1.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
颁发公钥证书	CMA_0347 - 颁发公钥证书	手动、已禁用	1.1.0
满足令牌质量要求	CMA_0487 - 满足令牌质量要求	手动、已禁用	1.1.0

0949.09y2Organizational.5-09.y 09.09 电子商务服务

ID：0949.09y2Organizational.5-09.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只应通过 HTTPS 访问应用服务应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	4.0.0
应用服务应用应使用最新的 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
只应通过 HTTPS 访问函数应用	使用 HTTPS 可确保执行服务器/服务身份验证服务，并保护传输中的数据不受网络层窃听攻击威胁。	审核、已禁用、拒绝	5.0.0
函数应用应使用最新 TLS 版本	由于安全漏洞，会定期发布针对 TLS 的较新版本，包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本，以利用安全修补程序（如果有）和/或最新版本的新功能。	AuditIfNotExists、Disabled	2.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
要求开发人员识别 SDLC 端口、协议和服务	CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务	手动、已禁用	1.1.0

0960.09sCSPOrganizational.1-09.s 09.08 信息交换

ID：0960.09sCSPOrganizational.1-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
函数应用本不应该将 CORS 配置为允许每个资源访问应用	跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。	AuditIfNotExists、Disabled	2.0.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0

099.09m2Organizational.11-09.m 09.06 网络安全管理

ID：099.09m2Organizational.11-09.m 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置工作站以检查数字证书	CMA_0073 - 配置工作站以检查数字证书	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0

10 密码管理

1002.01d1System.1-01.d 01.02 对信息系统的授权访问

ID：1002.01d1System.1-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
身份验证过程中模糊的反馈信息	CMA_C1344 - 身份验证过程中模糊的反馈信息	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0

1003.01d1System.3-01.d 01.02 对信息系统的授权访问

ID：1003.01d1System.3-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
进行验证器保护培训	CMA_0329 - 进行验证器保护的培训	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1004.01d1System.8913-01.d 01.02 对信息系统的授权访问

ID：1004.01d1System.8913-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
管理验证器生存期并重新使用	CMA_0355 - 管理验证器生存期并重新使用	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
使用加密保护密码	CMA_0408 - 使用加密保护密码	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1005.01d1System.1011-01.d 01.02 对信息系统的授权访问

ID：1005.01d1System.1011-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对加密模块进行身份验证	CMA_0021 - 对加密模块进行身份验证	手动、已禁用	1.1.0
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
生成、控制和分配对称加密密钥	CMA_C1645 - 生成、控制和分配对称加密密钥	手动、已禁用	1.1.0

1006.01d2System.1-01.d 01.02 对信息系统的授权访问

ID：1006.01d2System.1-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确保没有未加密的静态验证器	CMA_C1340 - 确保没有未加密的静态验证器	手动、已禁用	1.1.0
生成错误消息	CMA_C1724 - 生成错误消息	手动、已禁用	1.1.0
识别非组织用户并对其进行身份验证	CMA_C1346 - 识别非组织用户并对其进行身份验证	手动、已禁用	1.1.0
进行验证器保护培训	CMA_0329 - 进行验证器保护的培训	手动、已禁用	1.1.0
身份验证过程中模糊的反馈信息	CMA_C1344 - 身份验证过程中模糊的反馈信息	手动、已禁用	1.1.0

1007.01d2System.2-01.d 01.02 对信息系统的授权访问

ID：1007.01d2System.2-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0

1008.01d2System.3-01.d 01.02 对信息系统的授权访问

ID：1008.01d2System.3-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录组织访问协议	CMA_0192 - 记录组织访问协议	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0
要求用户签署访问协议	CMA_0440 - 要求用户签署访问协议	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新组织访问协议	CMA_0520 - 更新组织访问协议	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1009.01d2System.4-01.d 01.02 对信息系统的授权访问

ID：1009.01d2System.4-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0

1014.01d1System.12-01.d 01.02 对信息系统的授权访问

ID：1014.01d1System.12-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
建立初始验证器分配过程	CMA_0276 - 建立初始验证器分配过程	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
进行验证器保护培训	CMA_0329 - 进行验证器保护的培训	手动、已禁用	1.1.0
管理验证器生存期并重新使用	CMA_0355 - 管理验证器生存期并重新使用	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1015.01d1System.14-01.d 01.02 对信息系统的授权访问

ID：1015.01d1System.14-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
建立初始验证器分配过程	CMA_0276 - 建立初始验证器分配过程	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1022.01d1System.15-01.d 01.02 对信息系统的授权访问

ID：1022.01d1System.15-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0

1031.01d1System.34510-01.d 01.02 对信息系统的授权访问

ID：1031.01d1System.34510-01.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
建立初始验证器分配过程	CMA_0276 - 建立初始验证器分配过程	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
刷新验证器	CMA_0425 - 刷新验证器	手动、已禁用	1.1.0

11 访问控制

1106.01b1System.1-01.b 01.02 对信息系统的授权访问

ID：1106.01b1System.1-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配客户经理	CMA_0015 - 分配客户经理	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
记录访问特权	CMA_0186 - 记录访问特权	手动、已禁用	1.1.0
为角色成员资格设定条件	CMA_0269 - 为角色成员资格设定条件	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
审查用户帐户	CMA_0480 - 审查用户帐户	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1107.01b1System.2-01.b 01.02 对信息系统的授权访问

ID：1107.01b1System.2-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
建立初始验证器分配过程	CMA_0276 - 建立初始验证器分配过程	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1108.01b1System.3-01.b 01.02 对信息系统的授权访问

ID：1108.01b1System.3-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配客户经理	CMA_0015 - 分配客户经理	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0

1109.01b1System.479-01.b 01.02 对信息系统的授权访问

ID：1109.01b1System.479-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
启动传输或重新分配操作	CMA_0333 - 启动调动或重新分配操作	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
在人员调动时修改访问授权	CMA_0374 - 在人员调动时修改访问授权	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
在个人传输时重新评估访问权限	CMA_0424 - 在个人调动时重新评估访问权限	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1110.01b1System.5-01.b 01.02 对信息系统的授权访问

ID：1110.01b1System.5-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

11109.01q1Organizational.57-01.q 01.05 操作系统访问控制

ID：11109.01q1Organizational.57-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
分配系统标识符	CMA_0018 - 分配系统标识符	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
标识单个用户的状态	CMA_C1316 - 标识单个用户的状态	手动、已禁用	1.1.0
阻止在定义的时间段内重复使用标识符	CMA_C1314 - 阻止在定义的时间段内重复使用标识符	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

1111.01b2System.1-01.b 01.02 对信息系统的授权访问

ID：1111.01b2System.1-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0

11111.01q2System.4-01.q 01.05 操作系统访问控制

ID：11111.01q2System.4-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
建立初始验证器分配过程	CMA_0276 - 建立初始验证器分配过程	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

11112.01q2Organizational.67-01.q 01.05 操作系统访问控制

ID：11112.01q2Organizational.67-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
满足令牌质量要求	CMA_0487 - 满足令牌质量要求	手动、已禁用	1.1.0

1112.01b2System.2-01.b 01.02 对信息系统的授权访问

ID：1112.01b2System.2-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配授权官方(AO)	CMA_C1158 - 分配授权官方 (AO)	手动、已禁用	1.1.0
分配验证器	CMA_0184 - 分配验证器	手动、已禁用	1.1.0
确保资源已获得授权	CMA_C1159 - 确保资源已获得授权	手动、已禁用	1.1.0
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
满足令牌质量要求	CMA_0487 - 满足令牌质量要求	手动、已禁用	1.1.0
更新安全授权	CMA_C1160 - 更新安全授权	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

11126.01t1Organizational.12-01.t 01.05 操作系统访问控制

ID：11126.01t1Organizational.12-01.t 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
重新验证或终止用户会话	CMA_0421 - 重新验证或终止用户会话	手动、已禁用	1.1.0

1114.01h1Organizational.123-01.h 01.03 用户责任

ID：1114.01h1Organizational.123-01.h 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义并强制执行并发会话的限制	CMA_C1050 - 定义和强制执行并发会话的限制	手动、已禁用	1.1.0
自动终止用户会话	CMA_C1054 - 自动终止用户会话	手动、已禁用	1.1.0

11154.02i1Organizational.5-02.i 02.04 终止或变更雇佣

ID：11154.02i1Organizational.5-02.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
启动传输或重新分配操作	CMA_0333 - 启动调动或重新分配操作	手动、已禁用	1.1.0
在人员调动时修改访问授权	CMA_0374 - 在人员调动时修改访问授权	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
在个人传输时重新评估访问权限	CMA_0424 - 在个人调动时重新评估访问权限	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0

11155.02i2Organizational.2-02.i 02.04 终止或变更雇佣

ID：11155.02i2Organizational.2-02.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行帐户管理	CMA_0026 - 自动执行帐户管理	手动、已禁用	1.1.0
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
管理系统和管理员帐户	CMA_0368 - 管理系统和管理员帐户	手动、已禁用	1.1.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
当不需要帐户时通知	CMA_0383 - 当不需要帐户时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0

1116.01j1Organizational.145-01.j 01.04 网络访问控制

ID：1116.01j1Organizational.145-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
制定密码策略	CMA_0256 - 制定密码策略	手动、已禁用	1.1.0
建立验证器类型和进程	CMA_0267 - 建立验证器类型和流程	手动、已禁用	1.1.0
实现记住的机密验证过程的参数	CMA_0321 - 实现记住的机密验证工具的参数	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1118.01j2Organizational.124-01.j 01.04 网络访问控制

ID：1118.01j2Organizational.124-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
记录移动性培训	CMA_0191 - 记录移动性培训	手动、已禁用	1.1.0
记录远程访问准则	CMA_0196 - 记录远程访问准则	手动、已禁用	1.1.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

11180.01c3System.6-01.c 01.02 对信息系统的授权访问

ID：11180.01c3System.6-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0

1119.01j2Organizational.3-01.j 01.04 网络访问控制

ID：1119.01j2Organizational.3-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
启用网络设备检测	CMA_0220 - 启用网络设备检测	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
将接口固定到外部系统	CMA_0491 - 保护到外部系统的接口	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0

11190.01t1Organizational.3-01.t 01.05 操作系统访问控制

ID：11190.01t1Organizational.3-01.t 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0

1120.09ab3System.9-09.ab 09.10 监视

ID：1120.09ab3System.9-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
Azure Monitor 应从所有区域收集活动日志	此策略审核不从所有 Azure 支持区域（包括全局）导出活动的 Azure Monitor 日志配置文件。	AuditIfNotExists、Disabled	2.0.0

1121.01j3Organizational.2-01.j 01.04 网络访问控制

ID：1121.01j3Organizational.2-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
记录移动性培训	CMA_0191 - 记录移动性培训	手动、已禁用	1.1.0
记录远程访问准则	CMA_0196 - 记录远程访问准则	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

11219.01b1Organizational.10-01.b 01.02 对信息系统的授权访问

ID：11219.01b1Organizational.10-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1122.01q1System.1-01.q 01.05 操作系统访问控制

ID：1122.01q1System.1-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
仅接受经 FICAM 批准的第三方凭据	CMA_C1348 - 仅接受经 FICAM 批准的第三方凭据	手动、已禁用	1.1.0
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
符合 FICAM 发布的配置文件	CMA_C1350 - 符合 FICAM 发布的配置文件	手动、已禁用	1.1.0
使用经 FICAM 批准的资源接受第三方凭据	CMA_C1349 - 使用经 FICAM 批准的资源接受第三方凭据	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
识别非组织用户并对其进行身份验证	CMA_C1346 - 识别非组织用户并对其进行身份验证	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

11220.01b1System.10-01.b 01.02 对信息系统的授权访问

ID：11220.01b1System.10-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配客户经理	CMA_0015 - 分配客户经理	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
记录访问特权	CMA_0186 - 记录访问特权	手动、已禁用	1.1.0
为角色成员资格设定条件	CMA_0269 - 为角色成员资格设定条件	手动、已禁用	1.1.0
启动传输或重新分配操作	CMA_0333 - 启动调动或重新分配操作	手动、已禁用	1.1.0
管理验证器	CMA_C1321 - 管理验证器	手动、已禁用	1.1.0
在人员调动时修改访问授权	CMA_0374 - 在人员调动时修改访问授权	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
在个人传输时重新评估访问权限	CMA_0424 - 在个人调动时重新评估访问权限	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
审查用户帐户	CMA_0480 - 审查用户帐户	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0

1123.01q1System.2-01.q 01.05 操作系统访问控制

ID：1123.01q1System.2-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核管理员组中具有额外帐户的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员，则计算机不合规。	auditIfNotExists	2.0.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0

1124.01q1System.34-01.q 01.05 操作系统访问控制

ID：1124.01q1System.34-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0

1125.01q2System.1-01.q 01.05 操作系统访问控制

ID：1125.01q2System.1-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
审核具有管理员组中指定成员的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员，则计算机不合规。	auditIfNotExists	2.0.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

1127.01q2System.3-01.q 01.05 操作系统访问控制

ID：1127.01q2System.3-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核缺少管理员组中任何指定成员的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员，则计算机不合规。	auditIfNotExists	2.0.0
分配验证器	CMA_0184 - 分配验证器	手动、已禁用	1.1.0

1128.01q2System.5-01.q 01.05 操作系统访问控制

ID：1128.01q2System.5-01.q 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0

1129.01v1System.12-01.v 01.06 应用程序和信息访问控制

ID：1129.01v1System.12-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1130.01v2System.1-01.v 01.06 应用程序和信息访问控制

ID：1130.01v2System.1-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配客户经理	CMA_0015 - 分配客户经理	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
记录访问特权	CMA_0186 - 记录访问特权	手动、已禁用	1.1.0
为角色成员资格设定条件	CMA_0269 - 为角色成员资格设定条件	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0

1131.01v2System.2-01.v 01.06 应用程序和信息访问控制

ID：1131.01v2System.2-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
使用安全策略筛选器的信息流控制	CMA_C1029 - 使用安全策略筛选器的信息流控制	手动、已禁用	1.1.0

1132.01v2System.3-01.v 01.06 应用程序和信息访问控制

ID：1132.01v2System.3-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0

1133.01v2System.4-01.v 01.06 应用程序和信息访问控制

ID：1133.01v2System.4-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
识别未经身份验证允许的操作	CMA_0295 - 识别未经身份验证允许的操作	手动、已禁用	1.1.0

1134.01v3System.1-01.v 01.06 应用程序和信息访问控制

ID：1134.01v3System.1-01.v 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
限制在生产环境中进行更改的特权	CMA_C1206 - 限制在生产环境中进行更改的特权	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0

1135.02i1Organizational.1234-02.i 02.04 终止或变更雇佣

ID：1135.02i1Organizational.1234-02.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
启动传输或重新分配操作	CMA_0333 - 启动调动或重新分配操作	手动、已禁用	1.1.0
在人员调动时修改访问授权	CMA_0374 - 在人员调动时修改访问授权	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
在个人传输时重新评估访问权限	CMA_0424 - 在个人调动时重新评估访问权限	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0

1136.02i2Organizational.1-02.i 02.04 终止或变更雇佣

ID：1136.02i2Organizational.1-02.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
离职时进行离职面谈	CMA_0058 - 离职时进行离职面谈	手动、已禁用	1.1.0
终止时禁用验证器	CMA_0169 - 终止时禁用验证器	手动、已禁用	1.1.0
禁用面临重大风险的用户帐户	CMA_C1026 - 禁用存在重大风险的用户帐户	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
防范并阻止离职员工窃取数据	CMA_0398 - 防范并阻止离职员工窃取数据	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0

1137.06e1Organizational.1-06.e 06.01 遵守法律要求

ID：1137.06e1Organizational.1-06.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1139.01b1System.68-01.b 01.02 对信息系统的授权访问

ID：1139.01b1System.68-01.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义并强制执行共享帐户和组帐户的条件	CMA_0117 - 定义并强制执行共享帐户和组帐户的条件	手动、已禁用	1.1.0
定义信息系统帐户类型	CMA_0121 - 定义信息系统帐户类型	手动、已禁用	1.1.0
记录访问特权	CMA_0186 - 记录访问特权	手动、已禁用	1.1.0
为角色成员资格设定条件	CMA_0269 - 为角色成员资格设定条件	手动、已禁用	1.1.0
重新颁发已更改的组和帐户的验证器	CMA_0426 - 重新颁发用于已更改的组和帐户的验证器	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0

1143.01c1System.123-01.c 01.02 对信息系统的授权访问

ID：1143.01c1System.123-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0

1144.01c1System.4-01.c 01.02 对信息系统的授权访问

ID：1144.01c1System.4-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0

1145.01c2System.1-01.c 01.02 对信息系统的授权访问

ID：1145.01c2System.1-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
应为订阅分配了多个所有者	建议指定多个订阅所有者，这样才会有管理员访问冗余。	AuditIfNotExists、Disabled	3.0.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1146.01c2System.23-01.c 01.02 对信息系统的授权访问

ID：1146.01c2System.23-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
强制实施软件执行特权	CMA_C1041 - 强制实施软件执行特权	手动、已禁用	1.1.0
应删除对 Azure 资源拥有所有者权限的来宾帐户	为了防止发生未受监视的访问，应从订阅中删除拥有所有者权限的外部帐户。	AuditIfNotExists、Disabled	1.0.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0

1147.01c2System.456-01.c 01.02 对信息系统的授权访问

ID：1147.01c2System.456-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
应删除对 Azure 资源拥有所有者权限的已封锁帐户	应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。	AuditIfNotExists、Disabled	1.0.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0

1148.01c2System.78-01.c 01.02 对信息系统的授权访问

ID：1148.01c2System.78-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
Windows 计算机应符合“安全选项 - 帐户”的要求	Windows 计算机应在“安全选项 - 帐户”类别中具有指定的组策略设置，以限制本地帐户使用空白密码和来宾帐户状态。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

1150.01c2System.10-01.c 01.02 对信息系统的授权访问

ID：1150.01c2System.10-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制信息流	CMA_0079 - 控制信息流	手动、已禁用	1.1.0
采用加密信息的流控制机制	CMA_0211 - 采用加密信息的流控制机制	手动、已禁用	1.1.0
建立防火墙和路由器配置标准	CMA_0272 - 建立防火墙和路由器配置标准	手动、已禁用	1.1.0
为持卡人数据环境建立网络分段	CMA_0273 - 为持卡人数据环境建立网络分段	手动、已禁用	1.1.0
标识和管理下游信息交换	CMA_0298 - 标识和管理下游信息交换	手动、已禁用	1.1.0
使用安全策略筛选器的信息流控制	CMA_C1029 - 使用安全策略筛选器的信息流控制	手动、已禁用	1.1.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0

1151.01c3System.1-01.c 01.02 对信息系统的授权访问

ID：1151.01c3System.1-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
只多只为订阅指定 3 个所有者	建议最多指定 3 个订阅所有者，以减少可能出现的已遭入侵的所有者做出的违规行为。	AuditIfNotExists、Disabled	3.0.0
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1152.01c3System.2-01.c 01.02 对信息系统的授权访问

ID：1152.01c3System.2-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
应为订阅分配了多个所有者	建议指定多个订阅所有者，这样才会有管理员访问冗余。	AuditIfNotExists、Disabled	3.0.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1153.01c3System.35-01.c 01.02 对信息系统的授权访问

ID：1153.01c3System.35-01.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC)	若要对用户可以执行的操作提供粒度筛选，请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。	Audit、Disabled	1.0.4

1166.01e1System.12-01.e 01.02 对信息系统的授权访问

ID：1166.01e1System.12-01.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
启动传输或重新分配操作	CMA_0333 - 启动调动或重新分配操作	手动、已禁用	1.1.0
在人员调动时修改访问授权	CMA_0374 - 在人员调动时修改访问授权	手动、已禁用	1.1.0
通知客户控制帐户的帐户经理	CMA_C1009 - 通知客户控制帐户的帐户经理	手动、已禁用	1.1.0
终止或传输时通知	CMA_0381 - 离职或调动时通知	手动、已禁用	1.1.0
在个人传输时重新评估访问权限	CMA_0424 - 在个人调动时重新评估访问权限	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
审查用户帐户	CMA_0480 - 审查用户帐户	手动、已禁用	1.1.0

1167.01e2System.1-01.e 01.02 对信息系统的授权访问

ID：1167.01e2System.1-01.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
分配系统标识符	CMA_0018 - 分配系统标识符	手动、已禁用	1.1.0
标识单个用户的状态	CMA_C1316 - 标识单个用户的状态	手动、已禁用	1.1.0

1168.01e2System.2-01.e 01.02 对信息系统的授权访问

ID：1168.01e2System.2-01.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
根据需要重新分配或移除用户权限	CMA_C1040 - 根据需要重新分配或移除用户权限	手动、已禁用	1.1.0
查看用户权限	CMA_C1039 - 查看用户权限	手动、已禁用	1.1.0

1175.01j1Organizational.8-01.j 01.04 网络访问控制

ID：1175.01j1Organizational.8-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
采用生物识别身份验证机制	CMA_0005 - 采用生物识别身份验证机制	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
标识并验证网络设备	CMA_0296 - 标识并验证网络设备	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

1178.01j2Organizational.7-01.j 01.04 网络访问控制

ID：1178.01j2Organizational.7-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA	为了防止帐户或资源出现违规问题，应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。	AuditIfNotExists、Disabled	1.0.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
需要使用单个验证器	CMA_C1305 - 需要使用单个验证器	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0

1179.01j3Organizational.1-01.j 01.04 网络访问控制

ID：1179.01j3Organizational.1-01.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
记录移动性培训	CMA_0191 - 记录移动性培训	手动、已禁用	1.1.0
记录远程访问准则	CMA_0196 - 记录远程访问准则	手动、已禁用	1.1.0
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0

1192.01l1Organizational.1-01.l 01.04 网络访问控制

ID：1192.01l1Organizational.1-01.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口	建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问	AuditIfNotExists、Disabled	3.0.0

1193.01l2Organizational.13-01.l 01.04 网络访问控制

ID：1193.01l2Organizational.13-01.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
应关闭虚拟机上的管理端口	打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据，来获取对计算机的管理员访问权限。	AuditIfNotExists、Disabled	3.0.0

1194.01l2Organizational.2-01.l 01.04 网络访问控制

ID：1194.01l2Organizational.2-01.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应已禁用远程调试	远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0

1195.01l3Organizational.1-01.l 01.04 网络访问控制

ID：1195.01l3Organizational.1-01.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0

12 审核日志记录和监视

1201.06e1Organizational.2-06.e 06.01 遵守法律要求

ID：1201.06e1Organizational.2-06.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
实施隐私声明传递方法	CMA_0324 - 实现隐私通知交付方法	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
提供隐私通知	CMA_0414 - 提供隐私通知	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1202.09aa1System.1-09.aa 09.10 监视

ID：1202.09aa1System.1-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
应启用 Azure Data Lake Store 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
查看和更新 AU-02 中定义的事件	CMA_C1106 - 查看和更新 AU-02 中定义的事件	手动、已禁用	1.1.0

1203.09aa1System.2-09.aa 09.10 监视

ID：1203.09aa1System.2-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
应启用逻辑应用中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.1.0

1204.09aa1System.3-09.aa 09.10 监视

ID：1204.09aa1System.3-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
监视帐户活动	CMA_0377 - 监视帐户活动	手动、已禁用	1.1.0
应启用 IoT 中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	3.1.0

1205.09aa2System.1-09.aa 09.10 监视

ID：1205.09aa2System.1-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
确保不会更改审核记录	CMA_C1125 - 确保不会更改审核记录	手动、已禁用	1.1.0
提供审核评审、分析和报告功能	CMA_C1124 - 提供审核评审、分析和报告功能	手动、已禁用	1.1.0
提供处理客户控制的审核记录的功能	CMA_C1126 - 提供处理客户控制的审核记录的功能	手动、已禁用	1.1.0
应启用 Batch 帐户中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0

1206.09aa2System.23-09.aa 09.10 监视

ID：1206.09aa2System.23-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
检测到冲突时采用自动关闭/重启操作	CMA_C1715 - 检测到冲突时采用自动关闭/重启操作	手动、已禁用	1.1.0
禁止二进制/计算机可执行代码	CMA_C1717 - 禁止二进制/计算机可执行代码	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

1207.09aa2System.4-09.aa 09.10 监视

ID：1207.09aa2System.4-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
启用双重或联合授权	CMA_0226 - 启用双重或联合授权	手动、已禁用	1.1.0
治理并监视审核处理活动	CMA_0289 - 治理并监视审核处理活动	手动、已禁用	1.1.0
保护审核信息	CMA_0401 - 保护审核信息	手动、已禁用	1.1.0
应启用 Azure 流分析中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用事件中心内的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0

1208.09aa3System.1-09.aa 09.10 监视

ID：1208.09aa3System.1-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
自动执行帐户管理	CMA_0026 - 自动执行帐户管理	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
管理系统和管理员帐户	CMA_0368 - 管理系统和管理员帐户	手动、已禁用	1.1.0
监视整个组织的访问权限	CMA_0376 - 监视整个组织的访问权限	手动、已禁用	1.1.0
当不需要帐户时通知	CMA_0383 - 当不需要帐户时通知	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
应启用搜索服务中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
应启用服务总线中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0

1209.09aa3System.2-09.aa 09.10 监视

ID：1209.09aa3System.2-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应用服务应用应已启用资源日志	审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露，这样便可以重新创建活动线索用于调查目的。	AuditIfNotExists、Disabled	2.0.1
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0

1210.09aa3System.3-09.aa 09.10 监视

ID：1210.09aa3System.3-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
审核所选资源类型的诊断设置。	审核所选资源类型的诊断设置。 请确保仅选择支持诊断设置的资源类型。	AuditIfNotExists	2.0.1
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
应启用 Data Lake Analytics 中的资源日志	对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的	AuditIfNotExists、Disabled	5.0.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看和更新 AU-02 中定义的事件	CMA_C1106 - 查看和更新 AU-02 中定义的事件	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
对审核记录使用系统时钟	CMA_0535 - 对审核记录使用系统时钟	手动、已禁用	1.1.0

12100.09ab2System.15-09.ab 09.10 监视

ID：12100.09ab2System.15-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
发现任何泄露指示信号	CMA_C1702 - 发现任何泄露指示信号	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
虚拟机应安装 Log Analytics 扩展	此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。	AuditIfNotExists、Disabled	1.0.1

12101.09ab1Organizational.3-09.ab 09.10 监视

ID：12101.09ab1Organizational.3-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
调整审核评审、分析和报告级别	CMA_C1123 - 调整审核评审、分析和报告级别	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
制定审核和责任策略和过程	CMA_0154- 制定审核和责任策略及过程	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
治理策略和过程	CMA_0292 - 治理策略和过程	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
指定与客户审核信息关联的允许操作	CMA_C1122 - 指定与客户审核信息关联的允许操作	手动、已禁用	1.1.0
应在虚拟机规模集上安装 Log Analytics 扩展	此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。	AuditIfNotExists、Disabled	1.0.1
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0

12102.09ab1Organizational.4-09.ab 09.10 监视

ID：12102.09ab1Organizational.4-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核其 Log Analytics 代理未按预期连接的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果未安装代理，或者安装了代理，但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区，则计算机不合规。	auditIfNotExists	2.0.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0
为安全控制评估选择其他测试	CMA_C1149 - 为安全控制评估选择其他测试	手动、已禁用	1.1.0
更新 POAM 项(&M)	CMA_C1157 - 更新 POA&M 项	手动、已禁用	1.1.0

12103.09ab1Organizational.5-09.ab 09.10 监视

ID：12103.09ab1Organizational.5-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0

1211.09aa3System.4-09.aa 09.10 监视

ID：1211.09aa3System.4-09.aa 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
应启用 SQL 服务器上的审核	应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动，并将其保存在审核日志中。	AuditIfNotExists、Disabled	2.0.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
应启用 Azure Key Vault 托管 HSM 中的资源日志	若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用，你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作：https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。	AuditIfNotExists、Disabled	1.1.0
应启用 Key Vault 中的资源日志	对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索	AuditIfNotExists、Disabled	5.0.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

1212.09ab1System.1-09.ab 09.10 监视

ID：1212.09ab1System.1-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志	此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志	AuditIfNotExists、Disabled	1.0.0
获取有关监视系统活动的法律意见	CMA_C1688 - 获取有关监视系统活动的法律意见	手动、已禁用	1.1.0
根据需要提供监视信息	CMA_C1689 - 根据需要提供监视信息	手动、已禁用	1.1.0

1213.09ab2System.128-09.ab 09.10 监视

ID：1213.09ab2System.128-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0

1214.09ab2System.3456-09.ab 09.10 监视

ID：1214.09ab2System.3456-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
Azure Monitor 应从所有区域收集活动日志	此策略审核不从所有 Azure 支持区域（包括全局）导出活动的 Azure Monitor 日志配置文件。	AuditIfNotExists、Disabled	2.0.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1215.09ab2System.7-09.ab 09.10 监视

ID：1215.09ab2System.7-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确保不会更改审核记录	CMA_C1125 - 确保不会更改审核记录	手动、已禁用	1.1.0
提供审核评审、分析和报告功能	CMA_C1124 - 提供审核评审、分析和报告功能	手动、已禁用	1.1.0
提供处理客户控制的审核记录的功能	CMA_C1126 - 提供处理客户控制的审核记录的功能	手动、已禁用	1.1.0
虚拟机应安装 Log Analytics 扩展	此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。	AuditIfNotExists、Disabled	1.0.1

1216.09ab3System.12-09.ab 09.10 监视

ID：1216.09ab3System.12-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看和更新 AU-02 中定义的事件	CMA_C1106 - 查看和更新 AU-02 中定义的事件	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0
应在虚拟机规模集上安装 Log Analytics 扩展	此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。	AuditIfNotExists、Disabled	1.0.1
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0

1217.09ab3System.3-09.ab 09.10 监视

ID：1217.09ab3System.3-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
审核其 Log Analytics 代理未按预期连接的 Windows 计算机	要求将先决条件部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。 如果未安装代理，或者安装了代理，但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区，则计算机不合规。	auditIfNotExists	2.0.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0

1218.09ab3System.47-09.ab 09.10 监视

ID：1218.09ab3System.47-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0

1219.09ab3System.10-09.ab 09.10 监视

ID：1219.09ab3System.10-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志	此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志	AuditIfNotExists、Disabled	1.0.0
确保不会更改审核记录	CMA_C1125 - 确保不会更改审核记录	手动、已禁用	1.1.0
提供审核评审、分析和报告功能	CMA_C1124 - 提供审核评审、分析和报告功能	手动、已禁用	1.1.0
提供处理客户控制的审核记录的功能	CMA_C1126 - 提供处理客户控制的审核记录的功能	手动、已禁用	1.1.0

1220.09ab3System.56-09.ab 09.10 监视

ID：1220.09ab3System.56-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
验证软件、固件和信息完整性	CMA_0542 - 验证软件、固件和信息完整性	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

1222.09ab3System.8-09.ab 09.10 监视

ID：1222.09ab3System.8-09.ab 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
向人员传播安全警报	CMA_C1705 - 向人员传播安全警报	手动、已禁用	1.1.0
建立威胁情报计划	CMA_0260 - 建立威胁情报计划	手动、已禁用	1.1.0
生成内部安全警报	CMA_C1704 - 生成内部安全警报	手动、已禁用	1.1.0
实现安全指令	CMA_C1706 - 实现安全指令	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
提供处理客户控制的审核记录的功能	CMA_C1126 - 提供处理客户控制的审核记录的功能	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0

1229.09c1Organizational.1-09.c 09.01 记录的操作程序

ID：1229.09c1Organizational.1-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC)	若要对用户可以执行的操作提供粒度筛选，请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。	Audit、Disabled	1.0.4
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1230.09c2Organizational.1-09.c 09.01 记录的操作程序

ID：1230.09c2Organizational.1-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
审核自定义 RBAC 角色的使用情况	审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外，需要进行严格的审查和威胁建模	Audit、Disabled	1.0.1
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
配置 Azure 审核功能	CMA_C1108 - 配置 Azure 审核功能	手动、已禁用	1.1.1
确定可审核的事件	CMA_0137 - 确定可审核的事件	手动、已禁用	1.1.0
强制执行逻辑访问	CMA_0245 - 强制执行逻辑访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看有权访问敏感数据的用户组和应用程序	CMA_0481 - 查看有权访问敏感数据的用户组和应用程序	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1231.09c2Organizational.23-09.c 09.01 记录的操作程序

ID：1231.09c2Organizational.23-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1232.09c3Organizational.12-09.c 09.01 记录的操作程序

ID：1232.09c3Organizational.12-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
启用双重或联合授权	CMA_0226 - 启用双重或联合授权	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
强制实施软件执行特权	CMA_C1041 - 强制实施软件执行特权	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
保护审核信息	CMA_0401 - 保护审核信息	手动、已禁用	1.1.0
根据需要重新分配或移除用户权限	CMA_C1040 - 根据需要重新分配或移除用户权限	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
查看用户权限	CMA_C1039 - 查看用户权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0
Windows 计算机应符合“用户权限分配”的要求	Windows 计算机应在“用户权限分配”类别中具有指定的组策略设置，以允许本地登录、RDP、从网络进行访问以及其他很多用户活动。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

1233.09c3Organizational.3-09.c 09.01 记录的操作程序

ID：1233.09c3Organizational.3-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1270.09ad1System.12-09.ad 09.10 监视

ID：1270.09ad1System.12-09.ad 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
特定管理操作应有活动日志警报	此策略审核未配置任何活动日志警报的特定管理操作。	AuditIfNotExists、Disabled	1.0.0
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
限制对特权帐户的访问	CMA_0446 - 限制对特权帐户的访问权限	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1271.09ad1System.1-09.ad 09.10 监视

ID：1271.09ad1System.1-09.ad 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
特定管理操作应有活动日志警报	此策略审核未配置任何活动日志警报的特定管理操作。	AuditIfNotExists、Disabled	1.0.0
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
保护审核信息	CMA_0401 - 保护审核信息	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1271.09ad2System.1 09.10 监视

ID：1271.09ad2System.1 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
保护审核信息	CMA_0401 - 保护审核信息	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1276.09c2Organizational.2-09.c 09.01 记录的操作程序

ID：1276.09c2Organizational.2-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
设计访问控制模型	CMA_0129 - 设计访问控制模型	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
采用最小特权访问	CMA_0212 - 采用最小特权访问	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
强制实施软件执行特权	CMA_C1041 - 强制实施软件执行特权	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
保护审核信息	CMA_0401 - 保护审核信息	手动、已禁用	1.1.0
根据需要重新分配或移除用户权限	CMA_C1040 - 根据需要重新分配或移除用户权限	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
查看用户权限	CMA_C1039 - 查看用户权限	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1277.09c2Organizational.4-09.c 09.01 记录的操作程序

ID：1277.09c2Organizational.4-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0
Windows 计算机应符合“安全选项 - 用户帐户控制”的要求	对于管理员模式、提升提示行为以及虚拟化文件和注册表写入失败，Windows 计算机应在“安全选项 - 用户帐户控制”类别中具有指定的组策略设置。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

1278.09c2Organizational.56-09.c 09.01 记录的操作程序

ID：1278.09c2Organizational.56-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1279.09c3Organizational.4-09.c 09.01 记录的操作程序

ID：1279.09c3Organizational.4-09.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

13 教育、训练和意识

1301.02e1Organizational.12-02.e 02.03 在雇佣期间

ID：1301.02e1Organizational.12-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供基于角色的实用练习	CMA_C1096 - 提供基于角色的实用练习	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
提供针对可疑活动的基于角色的培训	CMA_C1097 - 提供针对可疑活动的基于角色的培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1302.02e2Organizational.134-02.e 02.03 在雇佣期间

ID：1302.02e2Organizational.134-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
实施威胁意识计划	CMA_C1758 - 实施威胁感知计划	手动、已禁用	1.1.0
实施内部威胁计划	CMA_C1751 - 实现内部威胁计划	手动、已禁用	1.1.0
监视安全和隐私培训完成情况	CMA_0379 - 监视安全和隐私培训完成情况	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
保留培训记录	CMA_0456 - 保留培训记录	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1303.02e2Organizational.2-02.e 02.03 在雇佣期间

ID：1303.02e2Organizational.2-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1304.02e3Organizational.1-02.e 02.03 在雇佣期间

ID：1304.02e3Organizational.1-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
提供应变培训	CMA_0412 - 提供应变训练	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
要求开发人员提供培训	CMA_C1611 - 要求开发人员提供培训	手动、已禁用	1.1.0
对人员进行关于披露非公开信息的培训	CMA_C1084 - 对人员进行关于披露非公开信息的培训	手动、已禁用	1.1.0

1305.02e3Organizational.23-02.e 02.03 在雇佣期间

ID：1305.02e3Organizational.23-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
监视安全和隐私培训完成情况	CMA_0379 - 监视安全和隐私培训完成情况	手动、已禁用	1.1.0
保留培训记录	CMA_0456 - 保留培训记录	手动、已禁用	1.1.0

1306.06e1Organizational.5-06.e 06.01 遵守法律要求

ID：1306.06e1Organizational.5-06.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1307.07c1Organizational.124-07.c 07.01 资产责任

ID：1307.07c1Organizational.124-07.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新信息安全策略	CMA_0518 - 更新信息安全策略	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1308.09j1Organizational.5-09.j 09.04 防范恶意和移动代码

ID：1308.09j1Organizational.5-09.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定可接受的使用策略和过程	CMA_0143 - 制定可接受的使用策略和过程	手动、已禁用	1.1.0
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
强制执行行为和访问协议规则	CMA_0248 - 强制执行行为和访问协议规则	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
每周查看威胁防护状态	CMA_0479 - 每周查看威胁防护状态	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1309.01x1System.36-01.x 01.07 移动计算和远程办公

ID：1309.01x1System.36-01.x 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0

1310.01y1Organizational.9-01.y 01.07 移动计算和远程工作

ID：1310.01y1Organizational.9-01.y 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
提供基于角色的实用练习	CMA_C1096 - 提供基于角色的实用练习	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
提供针对可疑活动的基于角色的培训	CMA_C1097 - 提供针对可疑活动的基于角色的培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0

1311.12c2Organizational.3-12.c 12.01 业务连续性管理的信息安全方面

ID：1311.12c2Organizational.3-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
合并模拟的应变训练	CMA_C1260 - 合并模拟的应变训练	手动、已禁用	1.1.0
提供应变培训	CMA_0412 - 提供应变训练	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0

1313.02e1Organizational.3-02.e 02.03 在雇佣期间

ID：1313.02e1Organizational.3-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
提供应变培训	CMA_0412 - 提供应变训练	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0

1314.02e2Organizational.5-02.e 02.03 在雇佣期间

ID：1314.02e2Organizational.5-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0

1315.02e2Organizational.67-02.e 02.03 在雇佣期间

ID：1315.02e2Organizational.67-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
提供基于角色的安全培训	CMA_C1094 - 提供基于角色的安全培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0

1324.07c1Organizational.3-07.c 07.01 资产责任

ID：1324.07c1Organizational.3-07.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1325.09s1Organizational.3-09.s 09.08 信息交换

ID：1325.09s1Organizational.3-09.s 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定组织行为准则策略	CMA_0159 - 制定组织行为准则策略	手动、已禁用	1.1.0
记录人员接受隐私要求	CMA_0193 - 记录人员对隐私要求的接受情况	手动、已禁用	1.1.0
函数应用应已禁用远程调试	远程调试需要入站端口在函数应用上打开。 应禁用远程调试。	AuditIfNotExists、Disabled	2.0.0
禁止不公平做法	CMA_0396 - 禁止不公平做法	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供隐私培训	CMA_0415 - 提供隐私培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0
审阅和签署修订的行为规则	CMA_0465 - 审阅和签署修订的行为规则	手动、已禁用	1.1.0
更新行为和访问协议规则	CMA_0521 - 更新行为和访问协议规则	手动、已禁用	1.1.0
每 3 年更新一次行为和访问协议规则	CMA_0522 - 每 3 年更新一次行为和访问协议规则	手动、已禁用	1.1.0

1327.02e2Organizational.8-02.e 02.03 在雇佣期间

ID：1327.02e2Organizational.8-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0

1331.02e3Organizational.4-02.e 02.03 在雇佣期间

ID：1331.02e3Organizational.4-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
将模拟事件合并到事件响应培训中	CMA_C1356 - 将模拟事件合并到事件响应培训中	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1334.02e2Organizational.12-02.e 02.03 在雇佣期间

ID：1334.02e2Organizational.12-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全和隐私培训活动	CMA_0198 - 记录安全和隐私培训活动	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
为新用户提供安全培训	CMA_0419 - 为新用户提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0

1336.02e1Organizational.5-02.e 02.03 在雇佣期间

ID：1336.02e1Organizational.5-02.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定期提供基于角色的安全训练	CMA_C1095 - 定期提供基于角色的安全训练	手动、已禁用	1.1.0
提供定期安全意识培训	CMA_C1091 - 提供定期安全意识培训	手动、已禁用	1.1.0
提供基于角色的实用练习	CMA_C1096 - 提供基于角色的实用练习	手动、已禁用	1.1.0
提供针对可疑活动的基于角色的培训	CMA_C1097 - 提供针对可疑活动的基于角色的培训	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0
在提供访问权限之前提供安全培训	CMA_0418 - 在提供访问权限之前提供安全培训	手动、已禁用	1.1.0
提供更新的安全意识培训	CMA_C1090 - 提供更新的安全意识培训	手动、已禁用	1.1.0

14 第三方保障

1404.05i2Organizational.1-05.i 05.02 外部相关方

ID：1404.05i2Organizational.1-05.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新系统和服务采购政策和过程	CMA_C1560 - 查看和更新系统和服务采购政策和过程	手动、已禁用	1.1.0

1406.05k1Organizational.110-05.k 05.02 外部相关方

ID：1406.05k1Organizational.110-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1407.05k2Organizational.1-05.k 05.02 外部相关方

ID：1407.05k2Organizational.1-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求通知第三方人员调动或离职	CMA_C1532 - 需要第三方人员调动或离职通知	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1408.09e1System.1-09.e 09.02 控制第三方服务交付

ID：1408.09e1System.1-09.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
需要互连安全协议	CMA_C1151 - 需要互连安全协议	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0
更新互连安全协议	CMA_0519 - 更新互连安全协议	手动、已禁用	1.1.0

1409.09e2System.1-09.e 09.02 控制第三方服务交付

ID：1409.09e2System.1-09.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1410.09e2System.23-09.e 09.02 控制第三方服务交付

ID：1410.09e2System.23-09.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1411.09f1System.1-09.f 09.02 控制第三方服务交付

ID：1411.09f1System.1-09.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权、监视和控制 voip	CMA_0025 - 授权、监视、控制 VoIP	手动、已禁用	1.1.0
检测尚未授权或批准的网络服务	CMA_C1700 - 检测尚未授权或批准的网络服务	手动、已禁用	1.1.0
向人员传播安全警报	CMA_C1705 - 向人员传播安全警报	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
建立威胁情报计划	CMA_0260 - 建立威胁情报计划	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
通过托管网络访问点路由流量	CMA_0484 - 通过托管网络访问点路由流量	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1416.10l1Organizational.1-10.l 10.05 开发和支持过程中的安全性

ID：1416.10l1Organizational.1-10.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1417.10l2Organizational.1-10.l 10.05 开发和支持过程中的安全性

ID：1417.10l2Organizational.1-10.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
要求开发人员生成安全评估计划执行的证据	CMA_C1602 - 要求开发人员生成安全评估计划执行的证据	手动、已禁用	1.1.0

1419.05j1Organizational.12-05.j 05.02 外部相关方

ID：1419.05j1Organizational.12-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的安全强度要求	CMA_0203 - 记录收购合同中的安全强度要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1421.05j2Organizational.12-05.j 05.02 外部相关方

ID：1421.05j2Organizational.12-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1422.05j2Organizational.3-05.j 05.02 外部相关方

ID：1422.05j2Organizational.3-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
获取收购和外包审批	CMA_C1590 - 获取收购和外包审批	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1423.05j2Organizational.4-05.j 05.02 外部相关方

ID：1423.05j2Organizational.4-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
使用边界保护隔离信息系统	CMA_C1639 - 使用边界保护隔离信息系统	手动、已禁用	1.1.0
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
制定访问资源的条款和条件	CMA_C1076 - 制定访问资源的条款和条件	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0
验证外部信息系统的安全控制	CMA_0541 - 验证外部信息系统的安全控制	手动、已禁用	1.1.0

1424.05j2Organizational.5-05.j 05.02 外部相关方

ID：1424.05j2Organizational.5-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
仅接受经 FICAM 批准的第三方凭据	CMA_C1348 - 仅接受经 FICAM 批准的第三方凭据	手动、已禁用	1.1.0
接受 PIV 凭据	CMA_C1347 - 接受 PIV 凭据	手动、已禁用	1.1.0
符合 FICAM 发布的配置文件	CMA_C1350 - 符合 FICAM 发布的配置文件	手动、已禁用	1.1.0
使用经 FICAM 批准的资源接受第三方凭据	CMA_C1349 - 使用经 FICAM 批准的资源接受第三方凭据	手动、已禁用	1.1.0
强制执行用户唯一性	CMA_0250 - 强制执行用户唯一性	手动、已禁用	1.1.0
识别非组织用户并对其进行身份验证	CMA_C1346 - 识别非组织用户并对其进行身份验证	手动、已禁用	1.1.0
支持由法律机构颁发的个人验证凭据	CMA_0507 - 支持由法律机构颁发的个人验证凭据	手动、已禁用	1.1.0
在分发验证器之前验证标识	CMA_0538 - 在分发验证器之前验证标识	手动、已禁用	1.1.0

1429.05k1Organizational.34-05.k 05.02 外部相关方

ID：1429.05k1Organizational.34-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1430.05k1Organizational.56-05.k 05.02 外部相关方

ID：1430.05k1Organizational.56-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1431.05k1Organizational.7-05.k 05.02 外部相关方

ID：1431.05k1Organizational.7-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求通知第三方人员调动或离职	CMA_C1532 - 需要第三方人员调动或离职通知	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1432.05k1Organizational.89-05.k 05.02 外部相关方

ID：1432.05k1Organizational.89-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
清除有权访问机密信息的人员	CMA_0054 - 清除有权访问机密信息的人员	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
为承包商和服务提供商建立隐私要求	CMA_C1810 - 为承包商和服务提供商建立隐私要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
实施人员筛查	CMA_0322 - 实施人员筛查	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1438.09e2System.4-09.e 09.02 控制第三方服务交付

ID：1438.09e2System.4-09.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录收购合同中的信息系统环境	CMA_0205 - 记录收购合同中的信息系统环境	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1450.05i2Organizational.2-05.i 05.02 外部相关方

ID：1450.05i2Organizational.2-05.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估第三方关系中的风险	CMA_0014 - 评估第三方关系中的风险	手动、已禁用	1.1.0
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
定义提供货物和服务的要求	CMA_0126 - 定义供应货物和服务的要求	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”	Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接，可以加密服务器与应用程序之间的数据流，有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。	Audit、Disabled	1.0.1
制定供应链风险管理策略	CMA_0275 - 制定供应链风险管理策略	手动、已禁用	1.1.0
标识事件响应人员	CMA_0301 - 确定事件响应人员	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1451.05iCSPOrganizational.2-05.i 05.02 外部相关方

ID：1451.05iCSPOrganizational.2-05.i 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估第三方关系中的风险	CMA_0014 - 评估第三方关系中的风险	手动、已禁用	1.1.0
审核特权函数	CMA_0019 - 审核特权函数	手动、已禁用	1.1.0
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
对已记录的特权命令进行全文分析	CMA_0056 - 对已记录的特权命令进行全文分析	手动、已禁用	1.1.0
定义访问授权以支持职责划分	CMA_0116 - 定义访问授权以支持职责划分	手动、已禁用	1.1.0
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
定义提供货物和服务的要求	CMA_0126 - 定义供应货物和服务的要求	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
记录职责划分	CMA_0204 - 记录职责划分	手动、已禁用	1.1.0
强制实施强制和自主访问控制策略	CMA_0246 - 强制实施强制和自主访问控制策略	手动、已禁用	1.1.0
强制实施软件执行特权	CMA_C1041 - 强制实施软件执行特权	手动、已禁用	1.1.0
制定供应链风险管理策略	CMA_0275 - 制定供应链风险管理策略	手动、已禁用	1.1.0
监视特权角色分配	CMA_0378 - 监视特权角色分配	手动、已禁用	1.1.0
只能与 Azure Cache for Redis 建立安全连接	审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击	Audit、Deny、Disabled	1.0.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
根据需要撤销特权角色	CMA_0483 - 根据需要撤销特权角色	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0
使用特权标识管理	CMA_0533 - 使用特权标识管理	手动、已禁用	1.1.0

1452.05kCSPOrganizational.1-05.k 05.02 外部相关方

ID：1452.05kCSPOrganizational.1-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0

1453.05kCSPOrganizational.2-05.k 05.02 外部相关方

ID：1453.05kCSPOrganizational.2-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估第三方关系中的风险	CMA_0014 - 评估第三方关系中的风险	手动、已禁用	1.1.0
定义提供货物和服务的要求	CMA_0126 - 定义供应货物和服务的要求	手动、已禁用	1.1.0
确定供应商合同义务	CMA_0140 - 确定供应商合同义务	手动、已禁用	1.1.0
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
制定供应链风险管理策略	CMA_0275 - 制定供应链风险管理策略	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1454.05kCSPOrganizational.3-05.k 05.02 外部相关方

ID：1454.05kCSPOrganizational.3-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估第三方关系中的风险	CMA_0014 - 评估第三方关系中的风险	手动、已禁用	1.1.0
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
定义提供货物和服务的要求	CMA_0126 - 定义供应货物和服务的要求	手动、已禁用	1.1.0
制定供应链风险管理策略	CMA_0275 - 制定供应链风险管理策略	手动、已禁用	1.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1455.05kCSPOrganizational.4-05.k 05.02 外部相关方

ID：1455.05kCSPOrganizational.4-05.k 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义和记录政府监督	CMA_C1587 - 定义和记录政府监督	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1531 - 制定第三方人员安全要求	手动、已禁用	1.1.0
制定第三方人员安全要求	CMA_C1529 - 制定第三方人员安全要求	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0
要求通知第三方人员调动或离职	CMA_C1532 - 需要第三方人员调动或离职通知	手动、已禁用	1.1.0
要求第三方提供商遵守人员安全策略和过程	CMA_C1530 - 要求第三方提供商遵守人员安全策略和过程	手动、已禁用	1.1.0
查看云服务提供商对策略和协议的符合性	CMA_0469 - 查看云服务提供商对策略和协议的符合性	手动、已禁用	1.1.0
进行独立安全评审	CMA_0515 - 进行独立安全评审	手动、已禁用	1.1.0

1464.09e2Organizational.5-09.e 09.02 控制第三方服务交付

ID：1464.09e2Organizational.5-09.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建单独的备用和主存储站点	CMA_C1269 - 创建单独的备用和主存储站点	手动、已禁用	1.1.0
确保备用存储站点保护功能与主站点等效	CMA_C1268 - 确保备用存储站点保护功能与主站点等效	手动、已禁用	1.1.0
建立备用处理站点	CMA_0262 - 建立备用处理站点	手动、已禁用	1.1.0
确定并缓解备用存储站点的潜在问题	CMA_C1271 - 识别和缓解备用存储站点的潜在问题	手动、已禁用	1.1.0
在任何中断后恢复和重建资源	CMA_C1295 - 在任何中断后恢复和重建资源	手动、已禁用	1.1.1

15 事件管理

1501.02f1Organizational.123-02.f 02.03 在雇佣期间

ID：1501.02f1Organizational.123-02.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1503.02f2Organizational.12-02.f 02.03 在雇佣期间

ID：1503.02f2Organizational.12-02.f 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
实现事件处理功能	CMA_C1367 - 实现事件处理功能	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1504.06e1Organizational.34-06.e 06.01 遵守法律要求

ID：1504.06e1Organizational.34-06.e 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络设备检测	CMA_0220 - 启用网络设备检测	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
强制执行逻辑访问	CMA_0245 - 强制执行逻辑访问	手动、已禁用	1.1.0
在事件响应功能和外部提供程序之间建立关系	CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
查看有权访问敏感数据的用户组和应用程序	CMA_0481 - 查看有权访问敏感数据的用户组和应用程序	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0

1505.11a1Organizational.13-11.a 11.01 报告信息安全事件和弱点

ID：1505.11a1Organizational.13-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
在事件响应功能和外部提供程序之间建立关系	CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
确定事件和所采取的行动的类别	CMA_C1365 - 确定事件和所采取的行动的类别	手动、已禁用	1.1.0
标识事件响应人员	CMA_0301 - 确定事件响应人员	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1506.11a1Organizational.2-11.a 11.01 报告信息安全事件和弱点

ID：1506.11a1Organizational.2-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
管理机构和特殊兴趣组的联系人	CMA_0359 - 管理机构和特殊兴趣组的联系人	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1507.11a1Organizational.4-11.a 11.01 报告信息安全事件和弱点

ID：1507.11a1Organizational.4-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实施内部威胁计划	CMA_C1751 - 实现内部威胁计划	手动、已禁用	1.1.0
实现事件处理功能	CMA_C1367 - 实现事件处理功能	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0

1508.11a2Organizational.1-11.a 11.01 报告信息安全事件和弱点

ID：1508.11a2Organizational.1-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1509.11a2Organizational.236-11.a 11.01 报告信息安全事件和弱点

ID：1509.11a2Organizational.236-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
确定事件和所采取的行动的类别	CMA_C1365 - 确定事件和所采取的行动的类别	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1510.11a2Organizational.47-11.a 11.01 报告信息安全事件和弱点

ID：1510.11a2Organizational.47-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1511.11a2Organizational.5-11.a 11.01 报告信息安全事件和弱点

ID：1511.11a2Organizational.5-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
将模拟事件合并到事件响应培训中	CMA_C1356 - 将模拟事件合并到事件响应培训中	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1512.11a2Organizational.8-11.a 11.01 报告信息安全事件和弱点

ID：1512.11a2Organizational.8-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
向人员发出信息溢写警报	CMA_0007 - 向人员发出信息溢写警报	手动、已禁用	1.1.0
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知	CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知	手动、已禁用	1.1.0
打开终结点安全解决方案的传感器	CMA_0514 - 打开终结点安全解决方案的传感器	手动、已禁用	1.1.0

1515.11a3Organizational.3-11.a 11.01 报告信息安全事件和弱点

ID：1515.11a3Organizational.3-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定事件响应计划	CMA_0145 - 制定事件响应计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
确定事件和所采取的行动的类别	CMA_C1365 - 确定事件和所采取的行动的类别	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1516.11c1Organizational.12-11.c 11.02 信息安全事件管理和改进

ID：1516.11c1Organizational.12-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1517.11c1Organizational.3-11.c 11.02 信息安全事件管理以及相关改进

ID：1517.11c1Organizational.3-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0

1518.11c2Organizational.13-11.c 11.02 信息安全事件管理和改进

ID：1518.11c2Organizational.13-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看并更新事件响应策略和过程	CMA_C1352 - 查看并更新事件响应策略和过程	手动、已禁用	1.1.0

1519.11c2Organizational.2-11.c 11.02 信息安全事件管理和改进

ID：1519.11c2Organizational.2-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
关联审核记录	CMA_0087 - 关联审核记录	手动、已禁用	1.1.0
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
建立审核评审与报告要求	CMA_0277 - 建立审核评审与报告的要求	手动、已禁用	1.1.0
集成审核记录分析	CMA_C1120 - 集成审核记录分析	手动、已禁用	1.1.0
集成审核评审、分析和报告	CMA_0339 - 集成审核评审、分析和报告	手动、已禁用	1.1.0
将云应用安全与 SIEM 集成	CMA_0340 - 将云应用安全与 SIEM 集成	手动、已禁用	1.1.0
提供处理客户控制的审核记录的功能	CMA_C1126 - 提供处理客户控制的审核记录的功能	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
每周检查管理员分配任务	CMA_0461 - 每周检查管理员分配	手动、已禁用	1.1.0
查看审核数据	CMA_0466 - 查看审核数据	手动、已禁用	1.1.0
查看云标识报告概述	CMA_0468 - 查看云标识报告概述	手动、已禁用	1.1.0
查看受控文件夹访问事件	CMA_0471 - 查看受控文件夹访问权限事件	手动、已禁用	1.1.0
查看文件和文件夹活动	CMA_0473 - 查看文件和文件夹活动	手动、已禁用	1.1.0
每周评审角色组更改	CMA_0476 - 每周评审角色组更改	手动、已禁用	1.1.0

1520.11c2Organizational.4-11.c 11.02 信息安全事件管理和改进

ID：1520.11c2Organizational.4-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1521.11c2Organizational.56-11.c 11.02 信息安全事件管理和改进

ID：1521.11c2Organizational.56-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
确定事件和所采取的行动的类别	CMA_C1365 - 确定事件和所采取的行动的类别	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
实现事件处理功能	CMA_C1367 - 实现事件处理功能	手动、已禁用	1.1.0
将模拟事件合并到事件响应培训中	CMA_C1356 - 将模拟事件合并到事件响应培训中	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1522.11c3Organizational.13-11.c 11.02 信息安全事件管理和改进

ID：1522.11c3Organizational.13-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1523.11c3Organizational.24-11.c 11.02 信息安全事件管理和改进

ID：1523.11c3Organizational.24-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录安全操作	CMA_0202 - 记录安全操作	手动、已禁用	1.1.0
在事件响应功能和外部提供程序之间建立关系	CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系	手动、已禁用	1.1.0
标识事件响应人员	CMA_0301 - 确定事件响应人员	手动、已禁用	1.1.0
使用自动机制进行安全警报	CMA_C1707 - 使用自动机制进行安全警报	手动、已禁用	1.1.0

1524.11a1Organizational.5-11.a 11.01 报告信息安全事件和弱点

ID：1524.11a1Organizational.5-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
与外部组织协调以获得跨组织见解	CMA_C1368 - 与外部组织协调以获得跨组织见解	手动、已禁用	1.1.0
获取有关监视系统活动的法律意见	CMA_C1688 - 获取有关监视系统活动的法律意见	手动、已禁用	1.1.0
要求外部服务提供商符合安全要求	CMA_C1586 - 要求外部服务提供商符合安全要求	手动、已禁用	1.1.0

1525.11a1Organizational.6-11.a 11.01 报告信息安全事件和弱点

ID：1525.11a1Organizational.6-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立信息安全工作人员开发和改进计划	CMA_C1752 - 建立信息安全工作人员开发和改进计划	手动、已禁用	1.1.0
实施内部威胁计划	CMA_C1751 - 实现内部威胁计划	手动、已禁用	1.1.0
实施正式解除程序	CMA_0317 - 实施正式处罚流程	手动、已禁用	1.1.0
实现事件处理功能	CMA_C1367 - 实现事件处理功能	手动、已禁用	1.1.0
接受处罚时通知人员	CMA_0380 - 在人员受到处罚时通知他们	手动、已禁用	1.1.0
提供关于内部威胁的安全意识培训	CMA_0417 - 提供关于内部威胁的安全意识培训	手动、已禁用	1.1.0

1560.11d1Organizational.1-11.d 11.02 信息安全事件管理以及相关改进

ID：1560.11d1Organizational.1-11.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
实现事件处理	CMA_0318 - 实现事件处理	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1561.11d2Organizational.14-11.d 11.02 信息安全事件管理和改进

ID：1561.11d2Organizational.14-11.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
查看并更新事件响应策略和过程	CMA_C1352 - 查看并更新事件响应策略和过程	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1562.11d2Organizational.2-11.d 11.02 信息安全事件管理和改进

ID：1562.11d2Organizational.2-11.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决信息安全问题	CMA_C1742 - 解决信息安全问题	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
建立信息安全计划	CMA_0263 - 制定信息安全计划	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
确定事件和所采取的行动的类别	CMA_C1365 - 确定事件和所采取的行动的类别	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1563.11d2Organizational.3-11.d 11.02 信息安全事件管理和改进

ID：1563.11d2Organizational.3-11.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1577.11aCSPOrganizational.1-11.a 11.01 报告信息安全事件和弱点

ID：1577.11aCSPOrganizational.1-11.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确保外部提供商保持满足客户的需求	CMA_C1592 - 确保外部提供商保持满足客户的需求	手动、已禁用	1.1.0
标识事件响应人员	CMA_0301 - 确定事件响应人员	手动、已禁用	1.1.0

1587.11c2Organizational.10-11.c 11.02 信息安全事件管理以及相关改进

ID：1587.11c2Organizational.10-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
访问信息安全事件	CMA_0013 - 访问信息安全事件	手动、已禁用	1.1.0
制定安全防护措施	CMA_0161 - 制定安全防护措施	手动、已禁用	1.1.0
启用网络保护	CMA_0238 - 启用网络保护	手动、已禁用	1.1.0
根除被污染的信息	CMA_0253 - 根除被污染的信息	手动、已禁用	1.1.0
执行操作以响应信息溢写	CMA_0281 - 执行操作以响应信息溢写	手动、已禁用	1.1.0
维护数据泄露记录	CMA_0351 - 维护数据泄露记录	手动、已禁用	1.1.0
维护事件响应计划	CMA_0352 - 维护事件响应计划	手动、已禁用	1.1.0
保护事件响应计划	CMA_0405 - 保护事件响应计划	手动、已禁用	1.1.0
查看并调查受限制的用户	CMA_0545 - 查看并调查受限制的用户	手动、已禁用	1.1.0

1589.11c1Organizational.5-11.c 11.02 信息安全事件管理以及相关改进

ID：1589.11c1Organizational.5-11.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行事件响应测试	CMA_0060 - 执行事件响应测试	手动、已禁用	1.1.0
将模拟事件合并到事件响应培训中	CMA_C1356 - 将模拟事件合并到事件响应培训中	手动、已禁用	1.1.0
提供信息溢写培训	CMA_0413 - 提供信息溢写培训	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

16 业务连续性和灾难恢复

1601.12c1Organizational.1238-12.c 12.01 业务连续性管理的信息安全方面

ID：1601.12c1Organizational.1238-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
测试业务连续性和灾难恢复计划	CMA_0509 - 测试业务连续性和灾难恢复计划	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0

1602.12c1Organizational.4567-12.c 12.01 业务连续性管理的信息安全方面

ID：1602.12c1Organizational.4567-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行产能规划	CMA_C1252 - 执行产能规划	手动、已禁用	1.1.0
制定并记录业务连续性和灾难恢复计划	CMA_0146 - 制定并记录业务连续性和灾难恢复计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0

1603.12c1Organizational.9-12.c 12.01 业务连续性管理的信息安全方面

ID：1603.12c1Organizational.9-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
传达应变计划更改	CMA_C1249 - 传达应变计划更改	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划策略和过程	CMA_0156 - 制定应变计划策略和过程	手动、已禁用	1.1.0
分配策略和过程	CMA_0185 - 分配策略和过程	手动、已禁用	1.1.0
查看和更新应变规划策略和过程	CMA_C1243 - 查看和更新应变规划策略和过程	手动、已禁用	1.1.0

1604.12c2Organizational.16789-12.c 12.01 业务连续性管理的信息安全方面

ID：1604.12c2Organizational.16789-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建单独的备用和主存储站点	CMA_C1269 - 创建单独的备用和主存储站点	手动、已禁用	1.1.0
确保备用存储站点保护功能与主站点等效	CMA_C1268 - 确保备用存储站点保护功能与主站点等效	手动、已禁用	1.1.0
建立可促进恢复运营的备用存储站点	CMA_C1270 - 建立可促进恢复运营的备用存储站点	手动、已禁用	1.1.0
建立备用存储站点以存储和检索备份信息	CMA_C1267 - 建立备用存储站点以存储和检索备份信息	手动、已禁用	1.1.0
建立备用处理站点	CMA_0262 - 建立备用处理站点	手动、已禁用	1.1.0
确立对 Internet 服务提供商的要求	CMA_0278 - 确立对 Internet 服务提供商的要求	手动、已禁用	1.1.0

1607.12c2Organizational.4-12.c 12.01 业务连续性管理的信息安全方面

ID：1607.12c2Organizational.4-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
查看和更新应变规划策略和过程	CMA_C1243 - 查看和更新应变规划策略和过程	手动、已禁用	1.1.0

1608.12c2Organizational.5-12.c 12.01 业务连续性管理的信息安全方面

ID：1608.12c2Organizational.5-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0
将备份信息传输到备用存储站点	CMA_C1294 - 将备份信息传输到备用存储站点	手动、已禁用	1.1.0

1609.12c3Organizational.12-12.c 12.01 业务连续性管理的信息安全方面

ID：1609.12c3Organizational.12-12.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确立对 Internet 服务提供商的要求	CMA_0278 - 确立对 Internet 服务提供商的要求	手动、已禁用	1.1.0

1616.09l1Organizational.16-09.l 09.05 信息备份

ID：1616.09l1Organizational.16-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
应为 Azure SQL 数据库启用长期异地冗余备份	此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。	AuditIfNotExists、Disabled	2.0.0

1617.09l1Organizational.23-09.l 09.05 信息备份

ID：1617.09l1Organizational.23-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
应为 Azure Database for MySQL 启用异地冗余备份	通过 Azure Database for MySQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1

1618.09l1Organizational.45-09.l 09.05 信息备份

ID：1618.09l1Organizational.45-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建单独的备用和主存储站点	CMA_C1269 - 创建单独的备用和主存储站点	手动、已禁用	1.1.0
确保备用存储站点保护功能与主站点等效	CMA_C1268 - 确保备用存储站点保护功能与主站点等效	手动、已禁用	1.1.0
建立可促进恢复运营的备用存储站点	CMA_C1270 - 建立可促进恢复运营的备用存储站点	手动、已禁用	1.1.0
建立备用存储站点以存储和检索备份信息	CMA_C1267 - 建立备用存储站点以存储和检索备份信息	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0

1619.09l1Organizational.7-09.l 09.05 信息备份

ID：1619.09l1Organizational.7-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确立对 Internet 服务提供商的要求	CMA_0278 - 确立对 Internet 服务提供商的要求	手动、已禁用	1.1.0
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1

1620.09l1Organizational.8-09.l 09.05 信息备份

ID：1620.09l1Organizational.8-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为虚拟机启用 Azure 备份	启用 Azure 备份，确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。	AuditIfNotExists、Disabled	3.0.0
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0
将备份信息传输到备用存储站点	CMA_C1294 - 将备份信息传输到备用存储站点	手动、已禁用	1.1.0

1621.09l2Organizational.1-09.l 09.05 信息备份

ID：1621.09l2Organizational.1-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
创建数据清单	CMA_0096 - 创建数据清单	手动、已禁用	1.1.0
应为 Azure SQL 数据库启用长期异地冗余备份	此策略将审核未启用长期异地冗余备份的任何 Azure SQL 数据库。	AuditIfNotExists、Disabled	2.0.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0

1622.09l2Organizational.23-09.l 09.05 信息备份

ID：1622.09l2Organizational.23-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
应为 Azure Database for MySQL 启用异地冗余备份	通过 Azure Database for MySQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
确定并缓解备用存储站点的潜在问题	CMA_C1271 - 识别和缓解备用存储站点的潜在问题	手动、已禁用	1.1.0
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0

1623.09l2Organizational.4-09.l 09.05 信息备份

ID：1623.09l2Organizational.4-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1

1624.09l3Organizational.12-09.l 09.05 信息备份

ID：1624.09l3Organizational.12-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1

1625.09l3Organizational.34-09.l 09.05 信息备份

ID：1625.09l3Organizational.34-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为虚拟机启用 Azure 备份	启用 Azure 备份，确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。	AuditIfNotExists、Disabled	3.0.0
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0

1626.09l3Organizational.5-09.l 09.05 信息备份

ID：1626.09l3Organizational.5-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
应为 Azure Database for PostgreSQL 启用异地冗余备份	通过 Azure Database for PostgreSQL，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1

1627.09l3Organizational.6-09.l 09.05 信息备份

ID：1627.09l3Organizational.6-09.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
应为 Azure Database for MariaDB 启用异地冗余备份	通过 Azure Database for MariaDB，你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储，其中数据不仅存储在托管服务器的区域内，还可以复制到配对区域，以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。	Audit、Disabled	1.0.1
单独存储备份信息	CMA_C1293 - 单独存储备份信息	手动、已禁用	1.1.0

1634.12b1Organizational.1-12.b 12.01 业务连续性管理的信息安全方面

ID：1634.12b1Organizational.1-12.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核未配置灾难恢复的虚拟机	审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复，请访问 https://aka.ms/asr-doc。	auditIfNotExists	1.0.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
制定应变计划策略和过程	CMA_0156 - 制定应变计划策略和过程	手动、已禁用	1.1.0
分配策略和过程	CMA_0185 - 分配策略和过程	手动、已禁用	1.1.0

1635.12b1Organizational.2-12.b 12.01 业务连续性管理的信息安全方面

ID：1635.12b1Organizational.2-12.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
Azure Key Vault 托管的 HSM 应启用清除保护	恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。	Audit、Deny、Disabled	1.0.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
Key Vault 应启用删除保护	恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住，在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。	Audit、Deny、Disabled	2.1.0
执行业务影响评估和应用过程关键性评估	CMA_0386 - 执行业务影响评估和应用程序关键性评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0

1636.12b2Organizational.1-12.b 12.01 业务连续性管理的信息安全方面

ID：1636.12b2Organizational.1-12.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
执行业务影响评估和应用过程关键性评估	CMA_0386 - 执行业务影响评估和应用程序关键性评估	手动、已禁用	1.1.0

1637.12b2Organizational.2-12.b 12.01 业务连续性管理的信息安全方面

ID：1637.12b2Organizational.2-12.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0
Windows 计算机应符合“安全选项 - 恢复控制台”的要求	Windows 计算机应在“安全选项 - 恢复控制台”类别中具有指定的组策略设置，以便允许对所有驱动器和文件夹进行软盘复制和访问。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息，请访问 https://aka.ms/gcpol 。	AuditIfNotExists、Disabled	3.0.0

1638.12b2Organizational.345-12.b 12.01 业务连续性管理的信息安全方面

ID：1638.12b2Organizational.345-12.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核未配置灾难恢复的虚拟机	审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复，请访问 https://aka.ms/asr-doc。	auditIfNotExists	1.0.0
执行产能规划	CMA_C1252 - 执行产能规划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0

1666.12d1Organizational.1235-12.d 12.01 业务连续性管理的信息安全方面

ID：1666.12d1Organizational.1235-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
传达应变计划更改	CMA_C1249 - 传达应变计划更改	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0

1667.12d1Organizational.4-12.d 12.01 业务连续性管理的信息安全方面

ID：1667.12d1Organizational.4-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
传达应变计划更改	CMA_C1249 - 传达应变计划更改	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定并记录业务连续性和灾难恢复计划	CMA_0146 - 制定并记录业务连续性和灾难恢复计划	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0

1668.12d1Organizational.67-12.d 12.01 业务连续性管理的信息安全方面

ID：1668.12d1Organizational.67-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
建立备用存储站点以存储和检索备份信息	CMA_C1267 - 建立备用存储站点以存储和检索备份信息	手动、已禁用	1.1.0
建立备用处理站点	CMA_0262 - 建立备用处理站点	手动、已禁用	1.1.0
查看和更新应变规划策略和过程	CMA_C1243 - 查看和更新应变规划策略和过程	手动、已禁用	1.1.0

1669.12d1Organizational.8-12.d 12.01 业务连续性管理的信息安全方面

ID：1669.12d1Organizational.8-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
执行业务影响评估和应用过程关键性评估	CMA_0386 - 执行业务影响评估和应用程序关键性评估	手动、已禁用	1.1.0
规划恢复基本业务功能	CMA_C1253 - 规划恢复基本业务功能	手动、已禁用	1.1.0
提供应变培训	CMA_0412 - 提供应变训练	手动、已禁用	1.1.0
测试业务连续性和灾难恢复计划	CMA_0509 - 测试业务连续性和灾难恢复计划	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0

1670.12d2Organizational.1-12.d 12.01 业务连续性管理的信息安全方面

ID：1670.12d2Organizational.1-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0

1671.12d2Organizational.2-12.d 12.01 业务连续性管理的信息安全方面

ID：1671.12d2Organizational.2-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
传达应变计划更改	CMA_C1249 - 传达应变计划更改	手动、已禁用	1.1.0
查看应变计划	CMA_C1247 - 查看应变计划	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0

1672.12d2Organizational.3-12.d 12.01 业务连续性管理的信息安全方面

ID：1672.12d2Organizational.3-12.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
传达应变计划更改	CMA_C1249 - 传达应变计划更改	手动、已禁用	1.1.0
使用相关计划协调应变计划	CMA_0086 - 使用相关计划协调应变计划	手动、已禁用	1.1.0
制定应变计划	CMA_C1244 - 制定应变计划	手动、已禁用	1.1.0
查看和更新应变规划策略和过程	CMA_C1243 - 查看和更新应变规划策略和过程	手动、已禁用	1.1.0
更新应变计划	CMA_C1248 - 更新应变计划	手动、已禁用	1.1.0

17 风险管理

1704.03b1Organizational.12-03.b 03.01 风险管理计划

ID：1704.03b1Organizational.12-03.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估	CMA_0388 - 执行风险评估	手动、已禁用	1.1.0

1705.03b2Organizational.12-03.b 03.01 风险管理计划

ID：1705.03b2Organizational.12-03.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0

1707.03c1Organizational.12-03.c 03.01 风险管理计划

ID：1707.03c1Organizational.12-03.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0

1708.03c2Organizational.12-03.c 03.01 风险管理计划

ID：1708.03c2Organizational.12-03.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发 POAM(&M)	CMA_C1156 - 制定 POA&M	手动、已禁用	1.1.0
更新 POAM 项(&M)	CMA_C1157 - 更新 POA&M 项	手动、已禁用	1.1.0

17100.10a3Organizational.5 10.01 信息系统的安全要求

ID：17100.10a3Organizational.5 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

17101.10a3Organizational.6-10.a 10.01 信息系统的安全要求

ID：17101.10a3Organizational.6-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
获取安全控件的设计和实现信息	CMA_C1576 - 获取安全控件的设计和实现信息	手动、已禁用	1.1.1
获取安全控件的功能属性	CMA_C1575 - 获取安全控件的功能属性	手动、已禁用	1.1.0
要求开发人员仅实现已批准的更改	CMA_C1596 - 要求开发人员仅实现已批准的更改	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0

17120.10a3Organizational.5-10.a 10.01 信息系统的安全要求

ID：17120.10a3Organizational.5-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
评估第三方关系中的风险	CMA_0014 - 评估第三方关系中的风险	手动、已禁用	1.1.0
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0
获取收购和外包审批	CMA_C1590 - 获取收购和外包审批	手动、已禁用	1.1.0

17126.03c1System.6-03.c 03.01 风险管理程序

ID：17126.03c1System.6-03.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
实施风险管理策略	CMA_C1744 - 实施风险管理策略	手动、已禁用	1.1.0

1713.03c1Organizational.3-03.c 03.01 风险管理计划

ID：1713.03c1Organizational.3-03.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义处理者的职责	CMA_0127 - 定义处理者的职责	手动、已禁用	1.1.0
阐述处理个人信息的法律依据	CMA_0206 - 记录处理个人信息的法律依据	手动、已禁用	1.1.0
定期评估和评审 PII 财产	CMA_C1832 - 定期评估和审阅 PII 资产	手动、已禁用	1.1.0
发布确保数据质量和完整性的准则	CMA_C1824 - 发布确保数据质量和完整性的指南	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
保留向第三方披露 PII 的记录	CMA_0422 - 保留向第三方披露 PII 的记录	手动、已禁用	1.1.0
对工作人员进行关于 PII 共享及其后果的培训	CMA_C1871 - 对工作人员进行关于 PII 共享及其后果的培训	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

1733.03d1Organizational.1-03.d 03.01 风险管理计划

ID：1733.03d1Organizational.1-03.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0

1734.03d2Organizational.1-03.d 03.01 风险管理计划

ID：1734.03d2Organizational.1-03.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
建立并记录更改控制流程	CMA_0265 - 建立并记录更改控制流程	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0

1735.03d2Organizational.23-03.d 03.01 风险管理计划

ID：1735.03d2Organizational.23-03.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0
为开发人员建立配置管理要求	CMA_0270 - 为开发人员设定配置管理要求	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
对配置更改控制执行审核	CMA_0390 - 对配置变更控制执行审核	手动、已禁用	1.1.0

1736.03d2Organizational.4-03.d 03.01 风险管理计划

ID：1736.03d2Organizational.4-03.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0

1737.03d2Organizational.5-03.d 03.01 风险管理计划

ID：1737.03d2Organizational.5-03.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
执行风险评估	CMA_C1543 - 执行风险评估	手动、已禁用	1.1.0
执行风险评估并分配其结果	CMA_C1544 - 执行风险评估并分配其结果	手动、已禁用	1.1.0
执行风险评估并记录其结果	CMA_C1542 - 执行风险评估并记录其结果	手动、已禁用	1.1.0
建立风险管理策略	CMA_0258 - 建立风险管理策略	手动、已禁用	1.1.0

1780.10a1Organizational.1-10.a 10.01 信息系统的安全要求

ID：1780.10a1Organizational.1-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
制定访问控制策略和过程	CMA_0144 - 制定访问控制策略和过程	手动、已禁用	1.1.0
治理策略和过程	CMA_0292 - 治理策略和过程	手动、已禁用	1.1.0

1781.10a1Organizational.23-10.a 10.01 信息系统的安全要求

ID：1781.10a1Organizational.23-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0

1782.10a1Organizational.4-10.a 10.01 信息系统的安全要求

ID：1782.10a1Organizational.4-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0

1783.10a1Organizational.56-10.a 10.01 信息系统的安全要求

ID：1783.10a1Organizational.56-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录收购合同验收条件	CMA_0187 - 记录收购合同验收条件	手动、已禁用	1.1.0
记录收购合同中的个人数据保护	CMA_0194 - 记录收购合同中的个人数据保护	手动、已禁用	1.1.0
收购合同中安全信息的文档保护	CMA_0195 - 记录收购合同中安全信息的保护	手动、已禁用	1.1.0
记录在合同中使用共享数据的要求	CMA_0197 - 记录在合同中使用共享数据的要求	手动、已禁用	1.1.0
收购合同中的文档安全保证要求	CMA_0199 - 记录收购合同中的安全保证要求	手动、已禁用	1.1.0
收购合同中的文档安全记录要求	CMA_0200 - 收购合同中的文档安全记录要求	手动、已禁用	1.1.0
收购合同中的文档安全功能要求	CMA_0201 - 记录收购合同中的安全功能要求	手动、已禁用	1.1.0
记录第三方合同中的持卡人数据保护	CMA_0207 - 记录第三方合同中的持卡人数据保护	手动、已禁用	1.1.0

1784.10a1Organizational.7-10.a 10.01 信息系统的安全要求

ID：1784.10a1Organizational.7-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
为 PIV 使用经 FIPS 201 批准的技术	CMA_C1579 - 为 PIV 采用经 FIPS 201 批准的技术	手动、已禁用	1.1.0

1785.10a1Organizational.8-10.a 10.01 信息系统的安全要求

ID：1785.10a1Organizational.8-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权远程访问	CMA_0024 - 授权远程访问	手动、已禁用	1.1.0
为已标识异常创建替代操作	CMA_C1711 - 为已标识异常创建替代操作	手动、已禁用	1.1.0
要求开发人员准确描述安全功能	CMA_C1613 - 要求开发人员准确描述安全功能	手动、已禁用	1.1.0
单独的用户和信息系统管理功能	CMA_0493 - 单独的用户和信息系统管理功能	手动、已禁用	1.1.0
使用专用计算机执行管理任务	CMA_0527 - 使用专用计算机执行管理任务	手动、已禁用	1.1.0

1786.10a1Organizational.9-10.a 10.01 信息系统的安全要求

ID：1786.10a1Organizational.9-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
标识外部服务提供程序	CMA_C1591 - 标识外部服务提供程序	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
要求开发人员识别 SDLC 端口、协议和服务	CMA_C1578 - 要求开发人员识别 SDLC 端口、协议和服务	手动、已禁用	1.1.0

1787.10a2Organizational.1-10.a 10.01 信息系统的安全要求

ID：1787.10a2Organizational.1-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行隐私控制措施	CMA_C1817 - 自动执行隐私控制措施	手动、已禁用	1.1.0
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
信息安全和个人数据保护	CMA_0332 - 信息安全和个人数据保护	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0

1788.10a2Organizational.2-10.a 10.01 信息系统的安全要求

ID：1788.10a2Organizational.2-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
执行安全影响分析	CMA_0057 - 执行安全影响分析	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
制定和维护漏洞管理标准	CMA_0152 - 制定和维护漏洞管理标准	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
执行隐私影响评估	CMA_0387 - 执行隐私影响评估	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员仅实现已批准的更改	CMA_C1596 - 要求开发人员仅实现已批准的更改	手动、已禁用	1.1.0
要求开发人员管理更改完整性	CMA_C1595 - 要求开发人员管理更改完整性	手动、已禁用	1.1.0

1789.10a2Organizational.3-10.a 10.01 信息系统的安全要求

ID：1789.10a2Organizational.3-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0

1790.10a2Organizational.45-10.a 10.01 信息系统的安全要求

ID：1790.10a2Organizational.45-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0
查看开发流程、标准和工具	CMA_C1610 - 查看开发流程、标准和工具	手动、已禁用	1.1.0

1791.10a2Organizational.6-10.a 10.01 信息系统的安全要求

ID：1791.10a2Organizational.6-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动修正缺陷	CMA_0027 - 自动修正缺陷	手动、已禁用	1.1.0
强制执行安全配置设置	CMA_0249 - 强制执行安全配置设置	手动、已禁用	1.1.0
治理云服务提供商的合规性	CMA_0290 - 治理云服务提供商的合规性	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0
查看并配置系统诊断数据	CMA_0544 - 查看并配置系统诊断数据	手动、已禁用	1.1.0

1792.10a2Organizational.7814-10.a 10.01 信息系统的安全要求

ID：1792.10a2Organizational.7814-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义信息安全角色和职责	CMA_C1565 - 定义信息安全角色和职责	手动、已禁用	1.1.0
标识具有安全角色和职责的用户	CMA_C1566 - 标识具有安全角色和职责的用户	手动、已禁用	1.1.1
实施风险管理策略	CMA_C1744 - 实施风险管理策略	手动、已禁用	1.1.0
将风险管理过程集成到 SDLC 中	CMA_C1567 - 将风险管理过程集成到 SDLC 中	手动、已禁用	1.1.0

1793.10a2Organizational.91011-10.a 10.01 信息系统的安全要求

ID：1793.10a2Organizational.91011-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定信息安全策略和过程	CMA_0158 - 制定信息安全策略和过程	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0

1794.10a2Organizational.12-10.a 10.01 信息系统的安全要求

ID：1794.10a2Organizational.12-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
要求开发人员生成安全评估计划执行的证据	CMA_C1602 - 要求开发人员生成安全评估计划执行的证据	手动、已禁用	1.1.0

1795.10a2Organizational.13-10.a 10.01 信息系统的安全要求

ID：1795.10a2Organizational.13-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
解决编码漏洞	CMA_0003 - 解决编码漏洞	手动、已禁用	1.1.0
制定和记录应用程序安全要求	CMA_0148 - 制定和记录应用程序安全要求	手动、已禁用	1.1.0
建立安全软件开发计划	CMA_0259 - 制定安全软件开发计划	手动、已禁用	1.1.0
要求开发人员记录已批准的更改和潜在影响	CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响	手动、已禁用	1.1.0
要求开发人员生成安全评估计划执行的证据	CMA_C1602 - 要求开发人员生成安全评估计划执行的证据	手动、已禁用	1.1.0

1796.10a2Organizational.15-10.a 10.01 信息系统的安全要求

ID：1796.10a2Organizational.15-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
接受评估结果	CMA_C1150 - 接受评估结果	手动、已禁用	1.1.0
评估安全控制措施	CMA_C1145 - 评估安全控制	手动、已禁用	1.1.0
提供安全评估结果	CMA_C1147 - 提供安全评估结果	手动、已禁用	1.1.0
制定安全评估计划	CMA_C1144 - 制定安全评估计划	手动、已禁用	1.1.0
使用独立评估员执行安全控制评估	CMA_C1148 - 使用独立评估员执行安全控制评估	手动、已禁用	1.1.0
生成安全评估报告	CMA_C1146 - 生成安全评估报告	手动、已禁用	1.1.0

1797.10a3Organizational.1-10.a 10.01 信息系统的安全要求

ID：1797.10a3Organizational.1-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
开发企业体系结构	CMA_C1741 - 开发企业体系结构	手动、已禁用	1.1.0
要求开发人员构建安全体系结构	CMA_C1612 - 要求开发人员构建安全体系结构	手动、已禁用	1.1.0
要求开发人员准确描述安全功能	CMA_C1613 - 要求开发人员准确描述安全功能	手动、已禁用	1.1.0
要求开发人员提供统一的安全保护方法	CMA_C1614 - 要求开发人员提供统一的安全保护方法	手动、已禁用	1.1.0

1798.10a3Organizational.2-10.a 10.01 信息系统的安全要求

ID：1798.10a3Organizational.2-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
开发企业体系结构	CMA_C1741 - 开发企业体系结构	手动、已禁用	1.1.0
要求开发人员构建安全体系结构	CMA_C1612 - 要求开发人员构建安全体系结构	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0

1799.10a3Organizational.34-10.a 10.01 信息系统的安全要求

ID：1799.10a3Organizational.34-10.a 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
开发操作概念 (CONOPS)	CMA_0141 - 开发操作概念 (CONOPS)	手动、已禁用	1.1.0
开发企业体系结构	CMA_C1741 - 开发企业体系结构	手动、已禁用	1.1.0
要求开发人员构建安全体系结构	CMA_C1612 - 要求开发人员构建安全体系结构	手动、已禁用	1.1.0
要求开发人员准确描述安全功能	CMA_C1613 - 要求开发人员准确描述安全功能	手动、已禁用	1.1.0
要求开发人员提供统一的安全保护方法	CMA_C1614 - 要求开发人员提供统一的安全保护方法	手动、已禁用	1.1.0
查看和更新信息安全体系结构	CMA_C1504 - 查看和更新信息安全体系结构	手动、已禁用	1.1.0

18 物理和环境安全性

1801.08b1Organizational.124-08.b 08.01 安全区域

ID：1801.08b1Organizational.124-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
监视第三方提供程序符合性	CMA_C1533 - 监视第三方提供程序符合性	手动、已禁用	1.1.0

1802.08b1Organizational.3-08.b 08.01 安全区域

ID：1802.08b1Organizational.3-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

1803.08b1Organizational.5-08.b 08.01 安全区域

ID：1803.08b1Organizational.5-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行远程维护活动	CMA_C1402 - 自动执行远程维护活动	手动、已禁用	1.1.0
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
生成远程维护活动的完整记录	CMA_C1403 - 生成远程维护活动的完整记录	手动、已禁用	1.1.0

1804.08b2Organizational.12-08.b 08.01 安全区域

ID：1804.08b2Organizational.12-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0

1805.08b2Organizational.3-08.b 08.01 安全区域

ID：1805.08b2Organizational.3-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

1806.08b2Organizational.4-08.b 08.01 安全区域

ID：1806.08b2Organizational.4-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

1807.08b2Organizational.56-08.b 08.01 安全区域

ID：1807.08b2Organizational.56-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

1808.08b2Organizational.7-08.b 08.01 安全区域

ID：1808.08b2Organizational.7-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
审核用户帐户状态	CMA_0020 - 审核用户帐户状态	手动、已禁用	1.1.0
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
查看帐户预配日志	CMA_0460 - 查看帐户预配日志	手动、已禁用	1.1.0
审查用户帐户	CMA_0480 - 审查用户帐户	手动、已禁用	1.1.0
个人的独立职责	CMA_0492 - 个人的独立职责	手动、已禁用	1.1.0

1810.08b3Organizational.2-08.b 08.01 安全区域

ID：1810.08b3Organizational.2-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

18108.08j1Organizational.1-08.j 08.02 设备安全

ID：18108.08j1Organizational.1-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
查看和更新媒体保护策略及过程	CMA_C1427 - 查看和更新媒体保护策略及过程	手动、已禁用	1.1.0
查看和更新系统维护策略及过程	CMA_C1395 - 查看和更新系统维护策略及过程	手动、已禁用	1.1.0

18109.08j1Organizational.4-08.j 08.02 设备安全

ID：18109.08j1Organizational.4-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
指定监督未经授权的维护活动的人员	CMA_C1422 - 指定监督未经授权的维护活动的人员	手动、已禁用	1.1.0
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0
保留授权远程维护人员的清单	CMA_C1420 - 保留授权远程维护人员的清单	手动、已禁用	1.1.0
管理维护人员	CMA_C1421 - 管理维护人员	手动、已禁用	1.1.0

1811.08b3Organizational.3-08.b 08.01 安全区域

ID：1811.08b3Organizational.3-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0

18110.08j1Organizational.5-08.j 08.02 设备安全

ID：18110.08j1Organizational.5-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
实现加密机制	CMA_C1419 - 实现加密机制	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
执行所有非本地维护	CMA_C1417 - 执行所有非本地维护	手动、已禁用	1.1.0

18111.08j1Organizational.6-08.j 08.02 设备安全

ID：18111.08j1Organizational.6-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
提供及时的维护支持	CMA_C1425 - 提供及时的维护支持	手动、已禁用	1.1.0

18112.08j3Organizational.4-08.j 08.02 设备安全

ID：18112.08j3Organizational.4-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
查看和更新信息完整性策略及过程	CMA_C1667 - 查看和更新信息完整性策略及过程	手动、已禁用	1.1.0
查看和更新系统维护策略及过程	CMA_C1395 - 查看和更新系统维护策略及过程	手动、已禁用	1.1.0

1812.08b3Organizational.46-08.b 08.01 安全区域

ID：1812.08b3Organizational.46-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
记录无线访问安全控制措施	CMA_C1695 - 记录无线访问安全控制	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0

18127.08l1Organizational.3-08.l 08.02 设备安全

ID：18127.08l1Organizational.3-08.l 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0

1813.08b3Organizational.56-08.b 08.01 安全区域

ID：1813.08b3Organizational.56-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0

18130.09p1Organizational.24-09.p 09.07 介质处理

ID：18130.09p1Organizational.24-09.p 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使用媒体清理机制	CMA_0208 - 使用媒体清理机制	手动、已禁用	1.1.0

1814.08d1Organizational.12-08.d 08.01 安全区域

ID：1814.08d1Organizational.12-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现渗透测试方法	CMA_0306 - 实现渗透测试方法	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

18145.08b3Organizational.7-08.b 08.01 安全区域

ID：18145.08b3Organizational.7-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0

18146.08b3Organizational.8-08.b 08.01 安全区域

ID：18146.08b3Organizational.8-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0

1815.08d2Organizational.123-08.d 08.01 安全区域

ID：1815.08d2Organizational.123-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现渗透测试方法	CMA_0306 - 实现渗透测试方法	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1816.08d2Organizational.4-08.d 08.01 安全区域

ID：1816.08d2Organizational.4-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实施控制措施来保护备用工作站点	CMA_0315 - 实施控制措施来保护备用工作站点	手动、已禁用	1.1.0
安装警报系统	CMA_0338 - 安装警报系统	手动、已禁用	1.1.0
管理安全监控摄像头系统	CMA_0354 - 管理安全监控摄像头系统	手动、已禁用	1.1.0
管理资产的运输	CMA_0370 - 管理资产的运输	手动、已禁用	1.1.0

1817.08d3Organizational.12-08.d 08.01 安全区域

ID：1817.08d3Organizational.12-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0

1818.08d3Organizational.3-08.d 08.01 安全区域

ID：1818.08d3Organizational.3-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现渗透测试方法	CMA_0306 - 实现渗透测试方法	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1819.08j1Organizational.23-08.j 08.02 设备安全

ID：1819.08j1Organizational.23-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行远程维护活动	CMA_C1402 - 自动执行远程维护活动	手动、已禁用	1.1.0
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
指定监督未经授权的维护活动的人员	CMA_C1422 - 指定监督未经授权的维护活动的人员	手动、已禁用	1.1.0
保留授权远程维护人员的清单	CMA_C1420 - 保留授权远程维护人员的清单	手动、已禁用	1.1.0
管理维护人员	CMA_C1421 - 管理维护人员	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
生成远程维护活动的完整记录	CMA_C1403 - 生成远程维护活动的完整记录	手动、已禁用	1.1.0

1820.08j2Organizational.1-08.j 08.02 设备安全

ID：1820.08j2Organizational.1-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0

1821.08j2Organizational.3-08.j 08.02 设备安全

ID：1821.08j2Organizational.3-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行远程维护活动	CMA_C1402 - 自动执行远程维护活动	手动、已禁用	1.1.0
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
生成远程维护活动的完整记录	CMA_C1403 - 生成远程维护活动的完整记录	手动、已禁用	1.1.0

1822.08j2Organizational.2-08.j 08.02 设备安全

ID：1822.08j2Organizational.2-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行远程维护活动	CMA_C1402 - 自动执行远程维护活动	手动、已禁用	1.1.0
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0
生成远程维护活动的完整记录	CMA_C1403 - 生成远程维护活动的完整记录	手动、已禁用	1.1.0

1823.08j3Organizational.12-08.j 08.02 设备安全

ID：1823.08j3Organizational.12-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0

1824.08j3Organizational.3-08.j 08.02 设备安全

ID：1824.08j3Organizational.3-08.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制维护和修复活动	CMA_0080 - 控制维护和修复活动	手动、已禁用	1.1.0
管理非本地维护和诊断活动	CMA_0364 - 管理非本地维护和诊断活动	手动、已禁用	1.1.0

1826.09p1Organizational.1-09.p 09.07 介质处理

ID：1826.09p1Organizational.1-09.p 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

1844.08b1Organizational.6-08.b 08.01 安全区域

ID：1844.08b1Organizational.6-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0

1845.08b1Organizational.7-08.b 08.01 安全区域

ID：1845.08b1Organizational.7-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
控制物理访问	CMA_0081 - 控制物理访问	手动、已禁用	1.1.0
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0

1846.08b2Organizational.8-08.b 08.01 安全区域

ID：1846.08b2Organizational.8-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现办公室、工作区和安全区域的物理安全	CMA_0323 - 实现办公室、工作区和安全区域的物理安全	手动、已禁用	1.1.0

1847.08b2Organizational.910-08.b 08.01 安全区域

ID：1847.08b2Organizational.910-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0

1848.08b2Organizational.11-08.b 08.01 安全区域

ID：1848.08b2Organizational.11-08.b 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0

1862.08d1Organizational.3-08.d 08.01 安全区域

ID：1862.08d1Organizational.3-08.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现渗透测试方法	CMA_0306 - 实现渗透测试方法	手动、已禁用	1.1.0
运行模拟攻击	CMA_0486 - 运行模拟攻击	手动、已禁用	1.1.0

1862.08d3Organizational.3 08.01 安全区域

ID：1862.08d3Organizational.3 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
实现渗透测试方法	CMA_0306 - 实现渗透测试方法	手动、已禁用	1.1.0
查看和更新物理与环境策略和过程	CMA_C1446 - 查看和更新物理与环境策略和过程	手动、已禁用	1.1.0

1892.01l1Organizational.1 01.04 网络访问控制

ID：1892.01l1Organizational.1 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义物理密钥管理流程	CMA_0115 - 定义物理密钥管理流程	手动、已禁用	1.1.0
建立和维护资产清单	CMA_0266 - 建立和维护资产清单	手动、已禁用	1.1.0

19 数据保护和隐私

1901.06d1Organizational.1-06.d 06.01 遵守法律要求

ID：1901.06d1Organizational.1-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
管理合规性活动	CMA_0358 - 管理合规性活动	手动、已禁用	1.1.0

1902.06d1Organizational.2-06.d 06.01 遵守法律要求

ID：1902.06d1Organizational.2-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义处理者的职责	CMA_0127 - 定义处理者的职责	手动、已禁用	1.1.0
阐述和分发隐私策略	CMA_0188 - 记录并分发隐私策略	手动、已禁用	1.1.0
实施隐私声明传递方法	CMA_0324 - 实现隐私通知交付方法	手动、已禁用	1.1.0
保留信息披露的准确记录	CMA_C1818 - 准确记录信息披露	手动、已禁用	1.1.0
根据要求提供信息披露的记录	CMA_C1820 - 根据要求提供披露信息的说明	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
提供隐私通知	CMA_0414 - 提供隐私通知	手动、已禁用	1.1.0
保留向第三方披露 PII 的记录	CMA_0422 - 保留向第三方披露 PII 的记录	手动、已禁用	1.1.0
限制通信	CMA_0449 - 限制通信	手动、已禁用	1.1.0
保留信息披露的记录	CMA_C1819 - 保留信息披露的记录	手动、已禁用	1.1.0
对工作人员进行关于 PII 共享及其后果的培训	CMA_C1871 - 对工作人员进行关于 PII 共享及其后果的培训	手动、已禁用	1.1.0

1903.06d1Organizational.3456711-06.d 06.01 遵守法律要求

ID：1903.06d1Organizational.3456711-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
定义加密使用	CMA_0120 - 定义加密使用	手动、已禁用	1.1.0
建立数据泄漏管理过程	CMA_0255 - 建立数据泄漏管理过程	手动、已禁用	1.1.0
进行验证器保护培训	CMA_0329 - 进行验证器保护的培训	手动、已禁用	1.1.0
通知用户系统登录或访问	CMA_0382 - 在系统登录或访问时通知用户	手动、已禁用	1.1.0
保护特殊信息	CMA_0409 - 保护特殊信息	手动、已禁用	1.1.0

1904.06.d2Organizational.1-06.d 06.01 遵守法律要求

ID：1904.06.d2Organizational.1-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

1906.06.c1Organizational.2-06.c 06.01 遵守法律要求

ID：1906.06.c1Organizational.2-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
公开提供 SORN	CMA_C1865 - 公开提供 SORN	手动、已禁用	1.1.0
向个人提供正式声明	CMA_C1864 - 向个人提供正式通知	手动、已禁用	1.1.0
向公众和个人提供隐私声明	CMA_C1861 - 向公众和个人提供隐私通知	手动、已禁用	1.1.0
为包含 PII 的系统发布 SORN	CMA_C1862 - 为包含 PII 的系统发布 SORN	手动、已禁用	1.1.0

1907.06.c1Organizational.3-06.c 06.01 遵守法律要求

ID：1907.06.c1Organizational.3-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
使 SORN 保持更新状态	CMA_C1863 - 保持 SORN 更新	手动、已禁用	1.1.0
公开提供 SORN	CMA_C1865 - 公开提供 SORN	手动、已禁用	1.1.0
向个人提供正式声明	CMA_C1864 - 向个人提供正式通知	手动、已禁用	1.1.0
为包含 PII 的系统发布 SORN	CMA_C1862 - 为包含 PII 的系统发布 SORN	手动、已禁用	1.1.0

1908.06.c1Organizational.4-06.c 06.01 遵守法律要求

ID：1908.06.c1Organizational.4-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
使 SORN 保持更新状态	CMA_C1863 - 保持 SORN 更新	手动、已禁用	1.1.0
公开提供 SORN	CMA_C1865 - 公开提供 SORN	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0
向个人提供正式声明	CMA_C1864 - 向个人提供正式通知	手动、已禁用	1.1.0
为包含 PII 的系统发布 SORN	CMA_C1862 - 为包含 PII 的系统发布 SORN	手动、已禁用	1.1.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0

1911.06d1Organizational.13-06.d 06.01 遵守法律要求

ID：1911.06d1Organizational.13-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阐述处理个人信息的法律依据	CMA_0206 - 记录处理个人信息的法律依据	手动、已禁用	1.1.0
制定处理资源的条款和条件	CMA_C1077 - 制定处理资源的条款和条件	手动、已禁用	1.1.0
定期评估和评审 PII 财产	CMA_C1832 - 定期评估和审阅 PII 资产	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
删除或修订任何 PII	CMA_C1833 - 删除或修订任何 PII	手动、已禁用	1.1.0

19134.05j1Organizational.5-05.j 05.02 外部相关方

ID：19134.05j1Organizational.5-05.j 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
指定发布可公开访问的信息的授权人员	CMA_C1083 - 指定发布可公开访问的信息的授权人员	手动、已禁用	1.1.0
制定并建立系统安全计划	CMA_0151 - 制定并建立系统安全计划	手动、已禁用	1.1.0
制定隐私计划	CMA_0257 - 制定隐私计划	手动、已禁用	1.1.0
制定连接设备制造的安全要求	CMA_0279 - 制定连接设备制造的安全要求	手动、已禁用	1.1.0
实现信息系统的安全工程原则	CMA_0325 - 实现信息系统的安全工程原则	手动、已禁用	1.1.0
信息安全和个人数据保护	CMA_0332 - 信息安全和个人数据保护	手动、已禁用	1.1.0
管理合规性活动	CMA_0358 - 管理合规性活动	手动、已禁用	1.1.0
在发布可公开访问的信息之前审阅内容	CMA_C1085 - 在发布可公开访问的信息之前审阅内容	手动、已禁用	1.1.0
审阅非公开信息的可公开访问内容	CMA_C1086 - 审阅非公开信息的可公开访问内容	手动、已禁用	1.1.0
对人员进行关于披露非公开信息的培训	CMA_C1084 - 对人员进行关于披露非公开信息的培训	手动、已禁用	1.1.0
更新隐私计划、策略和过程	CMA_C1807 - 更新隐私计划、策略和过程	手动、已禁用	1.1.0

19141.06c1Organizational.7-06.c 06.01 遵守法律要求

ID：19141.06c1Organizational.7-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
授权访问安全性函数和信息	CMA_0022 - 授权访问安全性函数和信息	手动、已禁用	1.1.0
授权和管理访问权限	CMA_0023 - 授权和管理访问权限	手动、已禁用	1.1.0
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
强制执行逻辑访问	CMA_0245 - 强制执行逻辑访问	手动、已禁用	1.1.0
建立备份策略和过程	CMA_0268 - 制定备份策略和过程	手动、已禁用	1.1.0
实现基于事务的恢复	CMA_C1296 - 实现基于事务的恢复	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0
需要批准才能创建帐户	CMA_0431 - 需要批准才能创建帐户	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0
查看有权访问敏感数据的用户组和应用程序	CMA_0481 - 查看有权访问敏感数据的用户组和应用程序	手动、已禁用	1.1.0

19142.06c1Organizational.8-06.c 06.01 遵守法律要求

ID：19142.06c1Organizational.8-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
控制便携式存储设备的使用	CMA_0083 - 控制便携式存储设备的使用	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
限制媒体使用	CMA_0450 - 限制媒体使用	手动、已禁用	1.1.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

19143.06c1Organizational.9-06.c 06.01 遵守法律要求

ID：19143.06c1Organizational.9-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
任命高级信息安全管理人员	CMA_C1733 - 任命高级信息安全管理人员	手动、已禁用	1.1.0
对信息进行分类	CMA_0052 - 对信息进行分类	手动、已禁用	1.1.0
制定业务分类方案	CMA_0155 - 制定业务分类方案	手动、已禁用	1.1.0
开发符合条件的 SSP	CMA_C1492 - 开发符合条件的 SSP	手动、已禁用	1.1.0
确保已批准安全分类	CMA_C1540 - 确保已批准安全分类	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0

19144.06c2Organizational.1-06.c 06.01 遵守法律要求

ID：19144.06c2Organizational.1-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

19145.06c2Organizational.2-06.c 06.01 遵守法律要求

ID：19145.06c2Organizational.2-06.c 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
遵守定义的保持期	CMA_0004 - 遵守定义的保持期	手动、已禁用	1.1.0
执行信息系统文档的备份	CMA_C1289 - 执行信息系统文档备份	手动、已禁用	1.1.0
管理数据的输入、输出、处理和存储	CMA_0369 - 管理数据的输入、输出、处理和存储	手动、已禁用	1.1.0
执行处置评审	CMA_0391 - 执行处置评审	手动、已禁用	1.1.0
保留安全策略和过程	CMA_0454 - 保留安全策略和过程	手动、已禁用	1.1.0
保留终止的用户数据	CMA_0455 - 保留终止的用户数据	手动、已禁用	1.1.0
查看标签活动和分析	CMA_0474 - 查看标签活动和分析	手动、已禁用	1.1.0
在处理结束时验证个人数据是否已删除	CMA_0540 - 在处理结束时验证个人数据是否已删除	手动、已禁用	1.1.0

19242.06d1Organizational.14-06.d 06.01 遵守法律要求

ID：19242.06d1Organizational.14-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
阐述处理个人信息的法律依据	CMA_0206 - 记录处理个人信息的法律依据	手动、已禁用	1.1.0
定期评估和评审 PII 财产	CMA_C1832 - 定期评估和审阅 PII 资产	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
删除或修订任何 PII	CMA_C1833 - 删除或修订任何 PII	手动、已禁用	1.1.0

19243.06d1Organizational.15-06.d 06.01 遵守法律要求

ID：19243.06d1Organizational.15-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
自动执行隐私控制措施	CMA_C1817 - 自动执行隐私控制措施	手动、已禁用	1.1.0
阐述处理个人信息的法律依据	CMA_0206 - 记录处理个人信息的法律依据	手动、已禁用	1.1.0
定期评估和评审 PII 财产	CMA_C1832 - 定期评估和审阅 PII 资产	手动、已禁用	1.1.0
实施隐私声明传递方法	CMA_0324 - 实现隐私通知交付方法	手动、已禁用	1.1.0
信息安全和个人数据保护	CMA_0332 - 信息安全和个人数据保护	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
提供隐私通知	CMA_0414 - 提供隐私通知	手动、已禁用	1.1.0
删除或修订任何 PII	CMA_C1833 - 删除或修订任何 PII	手动、已禁用	1.1.0
限制通信	CMA_0449 - 限制通信	手动、已禁用	1.1.0

19245.06d2Organizational.2-06.d 06.01 遵守法律要求

ID：19245.06d2Organizational.2-06.d 所有权：共享

名称 （Azure 门户）	说明	效果	版本 (GitHub)
确认 PII 的质量和完整性	CMA_C1821 - 确认 PII 的质量和完整性	手动、已禁用	1.1.0
阐述处理个人信息的法律依据	CMA_0206 - 记录处理个人信息的法律依据	手动、已禁用	1.1.0
定期评估和评审 PII 财产	CMA_C1832 - 定期评估和审阅 PII 资产	手动、已禁用	1.1.0
发布确保数据质量和完整性的准则	CMA_C1824 - 发布确保数据质量和完整性的指南	手动、已禁用	1.1.0
维护个人数据的处理记录	CMA_0353 - 维护个人数据的处理记录	手动、已禁用	1.1.0
在收集或处理个人数据之前获取同意	CMA_0385 - 在收集或处理个人数据之前获取同意	手动、已禁用	1.1.0
在公共网站上发布计算机匹配协议	CMA_C1829 - 在公共网站上发布计算机匹配协议	手动、已禁用	1.1.0

后续步骤

有关 Azure Policy 的其他文章：

• 法规符合性概述。
• 请参阅计划定义结构。
• 在 Azure Policy 示例中查看其他示例。
• 查看了解策略效果。
• 了解如何修正不符合的资源。