CISO Assistant
The list is constantly growing thanks to community requests and contributions 🙏! We add any missing open standard or regulation for free, just ask 🚀
The Korea Information Security Management System and Personal Information Protection Framework (ISMS-P) is a comprehensive standard for managing information security and protecting personal data in South Korea. It is mandated by the Korea Internet & Security Agency (KISA) and combines requirements for information security (ISMS) and personal information protection (PMS). Organizations subject to this framework must implement robust technical and administrative controls, ensuring compliance with domestic privacy laws such as the Personal Information Protection Act (PIPA). ISMS-P certification is essential for businesses handling significant volumes of personal data or providing critical IT services, showcasing their commitment to data security and regulatory compliance.
The Minimum Standard of the German Federal Office for Information Security (BSI) for the Use of External Cloud Services establishes mandatory security requirements for federal authorities using external cloud services. It covers the entire lifecycle of cloud usage—from planning and procurement to operation and termination—emphasizing the need for risk analysis and compliance with the BSI Cloud Computing Compliance Criteria Catalog (C5). Additionally, it outlines specific requirements for shared use of external cloud services without direct contractual relationships. This standard aims to ensure a uniform level of security within the federal administration and promote the secure integration of external cloud services.
Cyber Essentials is an effective, Government backed scheme that will help you to protect your organisation, whatever its size, against a whole range of the most common cyber attacks. Cyber attacks come in many shapes and sizes, but the vast majority are very basic in nature, carried out by relatively unskilled individuals. They’re the digital equivalent of a thief trying your front door to see if it’s unlocked. Our advice is designed to prevent these attacks.
Framework national italien pour la cybersécurité et la protection des données par l'ACN, intégrant les contrôles de cybersécurité avec les exigences de protection des données du RGPD.
Mesures minimales de sécurité ICT pour les administrations publiques italiennes émises par l'AGID, établissant les contrôles de sécurité de base obligatoires pour les organisations gouvernementales italiennes.
Recommandations de l'ANSSI pour la sécurisation des systèmes de contrôle d'accès physique et de vidéoprotection, couvrant l'architecture réseau, l'authentification et la protection des données des systèmes de sécurité physique.
La checklist de sécurité Active Directory de l'ANSSI fournit des points de contrôle pour évaluer et durcir les environnements AD, couvrant l'authentification, les stratégies de groupe, les comptes privilégiés et les configurations de confiance de domaine.
Recommandations de l'ANSSI pour l'administration sécurisée des systèmes d'information, couvrant les bonnes pratiques de gestion des accès privilégiés, l'architecture des réseaux d'administration et le durcissement des interfaces de gestion.
Le guide des mécanismes cryptographiques de l'ANSSI fournit des recommandations sur le choix et la mise en œuvre des algorithmes cryptographiques, des tailles de clés et des protocoles pour la sécurité de l'information.
Guide de durcissement sécurité de l'ANSSI pour les systèmes GNU/Linux, fournissant des recommandations détaillées de configuration pour sécuriser les systèmes d'exploitation Linux.
Recommandations de l'ANSSI pour l'interconnexion sécurisée des systèmes d'information à internet, couvrant la segmentation réseau, le filtrage, la supervision et les architectures de défense en profondeur.
Recommandations de sécurité de l'ANSSI pour la mise en œuvre d'IPsec pour la protection des flux réseau, couvrant la configuration du protocole, les paramètres cryptographiques et les architectures de déploiement.
Recommandations de sécurité de l'ANSSI pour l'architecture d'un système de journalisation, couvrant la collecte, le stockage, l'analyse et les stratégies de rétention des journaux.
MonAideCyber est le questionnaire d'autoévaluation de l'ANSSI conçu pour aider les petites et moyennes organisations à évaluer leur maturité en cybersécurité et identifier les axes d'amélioration prioritaires.
Recommandations de l'ANSSI pour un usage sécurisé de SSH, couvrant la configuration serveur et client, la gestion des clés, les méthodes d'authentification et les bonnes pratiques d'architecture réseau.
Recommandations de l'ANSSI pour la protection des systèmes d'information essentiels, fournissant des mesures de sécurité pour les opérateurs d'infrastructures nationales critiques.
Recommandations de sécurité de l'ANSSI pour la mise en œuvre de TLS, couvrant les versions de protocole, les suites cryptographiques, la gestion des certificats et les bonnes pratiques de déploiement.
Le CPS 230 de l'APRA définit les exigences en matière de gestion des risques opérationnels pour les institutions financières régulées en Australie, couvrant la continuité d'activité, la gestion des prestataires et la tolérance aux perturbations.
Le CPS 234 de l'APRA exige que les entités financières régulées en Australie maintiennent des capacités de sécurité de l'information proportionnelles aux menaces pesant sur leurs actifs informationnels, y compris ceux gérés par des tiers.
BIO2 est le référentiel de sécurité de l'information de base du gouvernement néerlandais, fournissant des contrôles de sécurité obligatoires pour toutes les organisations gouvernementales aux Pays-Bas.
The Cloud Computing Compliance Criteria Catalogue (C5), developed by Germany's Federal Office for Information Security (BSI), sets stringent security standards for cloud service providers, focusing on transparency and trust. Updated in 2020, C5 aligns with international frameworks like ISO/IEC 27001 and the Cloud Security Alliance's Cloud Controls Matrix, covering areas such as organizational security, physical safeguards, and compliance. It requires providers to disclose key details, including data processing locations and applicable legal jurisdictions, enabling customers to make informed decisions. Widely adopted by government and private sectors, C5 audits ensure robust cloud security, fostering confidence in the reliability of cloud services.
Édition 2025 du référentiel CyberFundamentals du Centre pour la Cybersécurité Belgique, fournissant des contrôles de sécurité de base actualisés pour les organisations de toutes tailles.
L'autoévaluation CCB CyberFundamentals Small fournit un socle de cybersécurité simplifié pour les petites organisations en Belgique, permettant une évaluation rapide des contrôles de sécurité essentiels.
Les règlements du CCPA fournissent les règles détaillées de mise en œuvre de la loi californienne sur la protection de la vie privée des consommateurs, couvrant les droits des consommateurs, les obligations des entreprises et les mécanismes d'application en matière de protection des données en Californie.
La checklist d'homologation de l'ANSSI fournit une approche structurée pour constituer les dossiers d'accréditation de sécurité, couvrant l'analyse de risque, les mesures de sécurité et l'acceptation du risque résiduel.
The CIS Benchmark for Kubernetes is a set of security best practices developed by the Center for Internet Security. It provides guidelines for configuring Kubernetes clusters securely, covering areas like API server settings, etcd, RBAC, network policies, and logging. The goal is to reduce security risks by hardening the Kubernetes environment.
Les objectifs de performance en cybersécurité de la CISA fournissent un ensemble priorisé de pratiques de sécurité pour les organisations d'infrastructure critique, offrant un socle de mesures de protection contre les menaces courantes.
Le modèle SCRM de la CISA fournit une approche structurée pour évaluer et gérer les risques liés à la chaîne d'approvisionnement des fournisseurs, couvrant la due diligence, la surveillance continue et la réponse aux incidents.
Le Cloud Controls Framework (CCF) de Cisco cartographie les contrôles de sécurité à travers plusieurs normes de conformité, offrant une approche unifiée de la gouvernance de la sécurité cloud et de la préparation à la certification.
Le Cloud Sovereignty Framework fournit des lignes directrices pour garantir la souveraineté des données et la conformité réglementaire dans les environnements cloud, couvrant la résidence des données, le contrôle juridictionnel et la transparence opérationnelle.
Clauses de sécurité numérique développées par le Club RSSI Santé, fournissant des exigences contractuelles standard de sécurité pour les marchés IT dans le secteur de la santé.
The Cyber Maturity Assessment Form – Fundamental Level is a tool developed by the French Directorate General of Armaments (DGA) to evaluate and enhance the cybersecurity practices of defense industry stakeholders. This framework comprises 21 basic requirements designed to establish a minimum security standard, enabling organizations to counter fundamental cyber threats effectively. It serves as an initial step in a progressive approach to improve cybersecurity maturity within the defense industrial and technological base (BITD). The DGA anticipates that adherence to this fundamental level will gradually become a contractual obligation in its engagements with industrial partners, thereby promoting a consistent and robust cybersecurity posture across the sector. 
L'instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR).
E-ITS est la norme nationale de cybersécurité de l'Estonie pour 2024, fournissant un ensemble complet d'exigences de sécurité adaptées aux organisations estoniennes des secteurs public et privé.
Le cahier des charges du label EBIOS RM définit les exigences pour l'obtention du label ANSSI pour les mises en œuvre de la méthodologie EBIOS Risk Manager, garantissant des pratiques d'analyse de risque cohérentes et rigoureuses.
The European Central Bank’s (ECB) Cyber Resilience Oversight Expectations (CROE) provide a comprehensive framework to enhance the cyber resilience of financial market infrastructures (FMIs). Published in December 2018, the CROE operationalize the global guidance set forth by the Committee on Payments and Market Infrastructures and the International Organization of Securities Commissions (CPMI-IOSCO) in June 2016. The framework outlines detailed steps for FMIs to strengthen their cyber resilience across key domains, including governance, identification, protection, detection, response and recovery, testing, situational awareness, and continuous learning and evolution. By adhering to these expectations, FMIs can systematically assess and enhance their cyber defenses, thereby contributing to the overall stability and security of the financial system. 
The Esquema Nacional de Seguridad (ENS) is a framework established by the Spanish government to ensure the security of information and services provided by public administrations and entities that interact with them. Its main goal is to protect the confidentiality, integrity, availability, and authenticity of the information systems. The ENS defines a series of principles, minimum requirements, and security measures that must be followed, aiming to create a more robust and resilient digital infrastructure in Spain, complying with European standards for cybersecurity.
Les ESRS définissent les exigences de reporting de durabilité dans le cadre de la directive européenne CSRD, couvrant les informations environnementales, sociales et de gouvernance.
La circulaire FINMA 2023/01 établit les exigences pour les banques suisses en matière de gestion des risques opérationnels et de résilience, couvrant les risques ICT, les cyber-risques, la gestion des données critiques et la continuité d'activité.
Framework national de cybersécurité italien version 2, fournissant un ensemble complet de lignes directrices et de contrôles de sécurité adaptés du NIST CSF au contexte italien.
The **Federal Trade Commission (FTC) Standards for Safeguarding Customer Information**, part of the Gramm-Leach-Bliley Act (GLBA), set requirements for financial institutions to protect sensitive customer data. These standards mandate the development, implementation, and maintenance of a comprehensive information security program tailored to the institution's size, complexity, and data handling practices. Key elements include conducting risk assessments, implementing safeguards to control identified risks, testing and monitoring those safeguards, and ensuring service providers maintain adequate security measures. Compliance with these standards helps organizations safeguard customer information, mitigate cybersecurity risks, and avoid legal and reputational repercussions.
Le Secure AI Framework (SAIF) de Google fournit un cadre conceptuel pour la sécurisation des systèmes d'IA. Il propose des orientations sur la gestion des risques spécifiques à l'IA, notamment l'intégrité des modèles, l'empoisonnement des données et les attaques adverses.
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Exigences pour les systèmes d'information classifiés (IGI 1300 / II 901), définissant les contrôles de sécurité pour la mise en œuvre et l'exploitation des systèmes traitant des données classifiées.
Le DPDPA indien établit un cadre complet de protection des données couvrant la gestion du consentement, les droits des personnes concernées, les obligations des fiduciaires de données et les restrictions de transfert transfrontalier.
L'ISO 22301 spécifie les exigences pour un système de management de la continuité d'activité (SMCA), permettant aux organisations de planifier, répondre et se remettre d'incidents perturbateurs.
L'ISO 42001 spécifie les exigences pour établir, mettre en œuvre et maintenir un système de management de l'IA (SMIA), offrant une approche structurée pour le développement et le déploiement responsable de l'IA.
The **International Traffic in Arms Regulations (ITAR)** is a U.S. regulatory framework that governs the export, import, and transfer of defense-related articles, services, and technical data. Administered by the U.S. Department of State, ITAR is designed to control access to sensitive military technologies and ensure that they are not shared with foreign entities or individuals without proper authorization. Organizations subject to ITAR must implement stringent compliance measures, including access controls, data security protocols, and staff training, to prevent unauthorized disclosure. ITAR compliance is critical for companies involved in defense and aerospace industries, enabling them to operate within legal boundaries while protecting national security interests.
ITIL 4 fournit un cadre complet pour la gestion des services IT, couvrant 34 pratiques de management dans les domaines de la gestion générale, de la gestion des services et de la gestion technique.
Directives du gouvernement canadien pour la protection des informations désignées dans les systèmes et organisations hors gouvernement du Canada, établissant les exigences de sécurité pour le traitement des données gouvernementales sensibles.
Transposition nationale lituanienne de la directive NIS2 en loi sur la cybersécurité, établissant les obligations de sécurité pour les entités essentielles et importantes opérant en Lituanie.
La loi 05-20 du Maroc relative à la cybersécurité établit le cadre de gouvernance national de la cybersécurité, définissant les obligations des opérateurs d'infrastructures critiques et les exigences de sécurité des systèmes d'information.
Le Cloud Security Benchmark de Microsoft fournit des bonnes pratiques et recommandations de sécurité pour les environnements Azure et multi-cloud, cartographiant les contrôles vers les référentiels de conformité courants.
Statslige myndigheder skal sikre overholdelse af en række minimumskrav til deres it-sikkerhed. Kravene er ufravigelige og skal sikre et fælles højt sikkerhedsniveau i staten. De tekniske minimumskrav har primært til formål at beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser, for eksempel hackerangreb og spredning af malware. Kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sikkerhedstiltag i relevant omfang. Kravene er indført som led i implementeringen af den nationale strategi for cyber- og informationssikkerhed 2022-2024 og skal bidrage til at styrke it-sikkerheden i staten.
MITRE ATT&CK est une base de connaissances mondialement reconnue des tactiques, techniques et procédures (TTP) des adversaires, basée sur des observations réelles, utilisée pour la modélisation des menaces et l'évaluation de la sécurité.
MITRE D3FEND est un graphe de connaissances des contre-mesures de cybersécurité, fournissant un catalogue de techniques défensives mappées sur les menaces qu'elles adressent, en complément d'ATT&CK.
La transposition française de la directive NIS-1 établit les obligations de cybersécurité pour les opérateurs de services essentiels et les fournisseurs de services numériques en France.
The NIS2 Technical and Methodological Requirements (EU Regulation 2024/2690), adopted under the NIS2 Directive, set forth detailed cybersecurity measures for essential and important entities within the EU. These requirements cover areas such as risk management, incident detection, response and recovery, supply chain security, and encryption standards. They provide clear criteria for identifying and reporting significant incidents, ensuring a uniform approach to cybersecurity across critical sectors like energy, healthcare, and finance. The regulation aims to enhance resilience, foster collaboration among member states, and safeguard the stability of essential services in an increasingly interconnected digital landscape.
Le NIST SP 800-82 fournit des directives pour la sécurisation des technologies opérationnelles (OT) et des systèmes de contrôle industriels (ICS), couvrant la sécurité SCADA, DCS et PLC dans les environnements d'infrastructure critique.
Le DORA in Control Framework de NOREA traduit le règlement européen DORA en un cadre de contrôle pratique pour les institutions financières, couvrant la gestion des risques ICT, le signalement des incidents et les tests de résilience.
Manuel officiel de sécurité de l'information de Nouvelle-Zélande fournissant les exigences et contrôles de sécurité pour les agences gouvernementales et les organisations traitant des informations classifiées.
La version 5 de l'ASVS d'OWASP fournit des exigences de sécurité actualisées pour la conception, le développement et les tests d'applications web modernes, avec une couverture renforcée des API et des architectures cloud-native.
The OWASP Top 10 for LLM Applications Cybersecurity and Governance Checklist is for leaders across executive, tech, cybersecurity, privacy, compliance, and legal areas, DevSecOps, MLSecOps, and Cybersecurity teams and defenders. It is intended for people who are striving to stay ahead in the fast-moving AI world, aiming not just to leverage AI for corporate success but also to protect against the risks of hasty or insecure AI implementations. These leaders and teams must create tactics to grab opportunities, combat challenges, and mitigate risks.
Le guide de modélisation des menaces OWASP MAS fournit un catalogue structuré de menaces spécifiques aux applications mobiles, permettant une analyse systématique des menaces.
Le OWASP Top 10 est le document de référence pour la sécurité des applications web, représentant un large consensus sur les risques de sécurité les plus critiques pour les applications web.
Part-IS (EU Regulation 2023/203) introduces requirements for identifying and managing information security risks that could affect information and communication technology systems and data used for civil aviation purposes. It sets requirements for detecting information security events, identifying those that are considered information security incidents, and responding to and recovering from those information security incidents to a level commensurate with their impact on aviation safety.
Le référentiel de certification PDIS de l'ANSSI définit les exigences pour les prestataires de détection des incidents de sécurité, couvrant les capacités organisationnelles, techniques et opérationnelles pour les opérations SOC et SIEM.
Politique générale de sécurité des systèmes d'information de santé, établissant les exigences de sécurité pour les organisations de santé traitant des données patients.
La feuille de route de migration PQC fournit des orientations pour les organisations transitant des algorithmes cryptographiques classiques vers des algorithmes résistants au quantique, couvrant les délais, l'évaluation des risques et les stratégies de mise en œuvre.
La PSSI État (Politique de Sécurité des Systèmes d'Information de l'État) définit la politique de sécurité des systèmes d'information pour les administrations françaises, établissant les règles de sécurité obligatoires et les principes de gouvernance.
Politique de sécurité des systèmes d'information des ministères chargés des affaires sociales, définissant les règles de sécurité et la gouvernance pour les SI du secteur social.
Politique de sécurité des systèmes d'information de l'État du Bénin, établissant les exigences de sécurité et la gouvernance pour les systèmes d'information de l'État.
La directive principale de la Reserve Bank of India sur la gouvernance IT et la cybersécurité établit les exigences de sécurité de l'information pour les institutions financières indiennes, couvrant la gestion des risques IT et la cyber-résilience.
Le Référentiel d’Audit de la Sécurité des Systèmes d’Information est un cadre élaboré pour guider les auditeurs dans l’évaluation de la sécurité des systèmes d’information. Il fournit des critères et des méthodologies standardisés pour assurer la qualité et la cohérence des audits de sécurité. Ce référentiel couvre divers domaines, notamment la gestion des risques, le contrôle d’accès, la continuité des activités et la conformité aux réglementations en vigueur. En adoptant ce référentiel, les organisations peuvent identifier les vulnérabilités potentielles, évaluer l’efficacité de leurs contrôles de sécurité et mettre en œuvre des mesures correctives appropriées pour renforcer la résilience de leurs systèmes d’information. 
L'annexe B2 du RGS 2.0 fournit des exigences techniques spécifiques de sécurité pour les mécanismes de signature électronique et d'authentification utilisés dans les systèmes d'information gouvernementaux.
Référentiel national de sécurité de l'information établi par le Ministère de la Poste et des Télécommunications d'Algérie, définissant les normes de sécurité pour les organisations algériennes.
The **Saudi Arabian Monetary Authority (SAMA) Cybersecurity Framework** is a comprehensive guideline developed to enhance the cybersecurity posture of organizations operating in Saudi Arabia's financial sector. Designed to align with international standards such as ISO 27001 and the NIST Cybersecurity Framework, it provides a structured approach to managing cybersecurity risks. The framework encompasses several domains, including governance, risk management, compliance, and technical controls, ensuring organizations implement robust measures to protect sensitive data and critical financial services. By adhering to the SAMA Cybersecurity Framework, financial institutions can safeguard against evolving cyber threats, maintain regulatory compliance, and foster trust in the Kingdom's financial ecosystem.
L'annexe 2 du SecNumCloud v3.2 fournit des recommandations aux commanditaires de services cloud, couvrant la spécification des exigences de sécurité, l'évaluation des prestataires et les clauses contractuelles de sécurité.
Le CSCF de SWIFT définit les contrôles de sécurité obligatoires et consultatifs pour les organisations utilisant le réseau SWIFT, couvrant l'environnement sécurisé, la gestion des accès et la détection des menaces.
Switzerland's ICT Minimum Standard is a cybersecurity framework developed by the Federal Office for National Economic Supply (FONES) to enhance the resilience of critical infrastructure operators against cyber threats. While primarily aimed at these operators, the standard is applicable to any organization seeking to bolster its ICT security. It provides a structured approach encompassing identification, protection, detection, response, and recovery measures, aligning with international standards such as the NIST Cybersecurity Framework. By implementing this standard, organizations can systematically assess and improve their cybersecurity posture, thereby ensuring the continuity of essential services and contributing to national economic stability.
Le Vehicle Cyber Security Audit (VCSA) fournit une méthodologie d'audit structurée pour évaluer la cybersécurité dans l'industrie automobile, alignée sur les réglementations UNECE WP.29 et les exigences ISO/SAE 21434.
Un questionnaire de base par intuitem pour l'évaluation des fournisseurs, fournissant les vérifications essentielles de sécurité et de conformité pour l'évaluation des risques tiers.
Check out CISO Assistant and see how it can help you manage your cybersecurity and compliance program.
Explore our collection of articles, guides, and tutorials on development, cyber security, AI, program management and so much more.
Chat mode, framework builder with revamped questionnaire respondent, visual risk matrix editor, universal fuzzy search, SoA generation, vulnerability import, and Korean language support.
Markdown policy editor with lifecycle management, persistent table filters, modernised command palette, cost summaries on action plans, SSO security hardening, and ReCyF framework support.
Admin-controlled default language, expanded folder navigation, Journey feature flags, broader currency support, customisable email and report templates, and DORA 4.0 ROI alignment.
Enforced MFA, advanced audit analytics with radar charts, EBIOS RM interactive graph editor, onboarding presets and journeys, PostgreSQL SSL support, and three new framework libraries.
