1.4.5 觃定性控制和框架

在某些情况下，权威来源会提供一套规定性控制措施或控制目标，供组织实施和评估。规定性控制集或控制框架试图提供一套组织应实施的标准控制措施，以降低整个组织或特定业务流程的相关风险。

规定性控制集或控制目标的示例包括：

• 互联网安全中心18项关键安全控制[2]。一套规定性、优先和简化的最佳实践，可供组织加强其网络安全态势。

• OWASP软件保障成熟度模型[3]。一个开放式框架，可帮助组织制定和实施针对其面临的特定风险的软件安全策略。

• 服务组织控制报告[4]。由美国注册会计师协会制定的一个框架，旨在供组织用于处理与其提供的服务相关的数据。

• 支付卡行业数据安全标准（DSS）[5]。存储、处理、传输或以任何方式影响信用卡数据安全的组织必须满足的一系列要求。

• 云安全联盟云控制矩阵（CCM）[6]。云计算网络安全控制框架包含各种关键实践，以确保不同云模型下的云安全，旨在提供基本安全原则，指导云供应商并协助潜在云客户评估云提供商的整体安全风险。

采用规定性控制框架的组织必须识别适用的对策，以实现概述的控制目标。在某些情况下，基于独特的业务实践，规定性控制可能不适用于组织。例如，如果接受信用卡的组织在其业务流程中不存储信用卡数据，则旨在保护所存储信用卡信息的控制措施可能不适用。如果规定性控制措施不适用于某个组织，该组织应确保正式记录原因和不适用性验证。