Under active development — Content is continuously updated and improved

Home / Frameworks / Canada ITSP 10.171

Canada ITSP 10.171 v10.171

Official SCF Download

Canadian IT Security Publication

Framework data extracted from the Secure Controls Framework (SCF) v2025.4 Set Theory Relationship Mapping (STRM) files, licensed under CC BY-ND 4.0 . Attribution required per license terms.

SCF Official Site License Terms

382 All

03 — Security and Privacy Controls (382 controls)

03.01.01Account Management

03.01.01.A03.01.01.A

03.01.01.B03.01.01.B

03.01.01.C03.01.01.C

03.01.01.C.0103.01.01.C.01

03.01.01.C.0203.01.01.C.02

03.01.01.C.0303.01.01.C.03

03.01.01.D03.01.01.D

03.01.01.D.0103.01.01.D.01

03.01.01.D.0203.01.01.D.02

03.01.01.E03.01.01.E

03.01.01.F03.01.01.F

03.01.01.F.0103.01.01.F.01

03.01.01.F.0203.01.01.F.02

03.01.01.F.0303.01.01.F.03

03.01.01.F.0403.01.01.F.04

03.01.01.F.0503.01.01.F.05

03.01.01.G03.01.01.G

03.01.01.G.0103.01.01.G.01

03.01.01.G.0203.01.01.G.02

03.01.01.G.0303.01.01.G.03

03.01.01.H03.01.01.H

03.01.0203.01.02

03.01.0303.01.03

03.01.04Separation of Duties

03.01.04.A03.01.04.A

03.01.04.B03.01.04.B

03.01.05Least Privilege

03.01.05.A03.01.05.A

03.01.05.B03.01.05.B

03.01.05.C03.01.05.C

03.01.05.D03.01.05.D

03.01.06Privileged Access

03.01.06.A03.01.06.A

03.01.06.B03.01.06.B

03.01.07Privileged Functions

03.01.07.A03.01.07.A

03.01.07.B03.01.07.B

03.01.08Unsuccessful Logon Attempts

03.01.08.A03.01.08.A

03.01.08.B03.01.08.B

03.01.0903.01.09

03.01.10Device Lock

03.01.10.A03.01.10.A

03.01.10.B03.01.10.B

03.01.10.C03.01.10.C

03.01.1103.01.11

03.01.12Remote Access

03.01.12.A03.01.12.A

03.01.12.B03.01.12.B

03.01.12.C03.01.12.C

03.01.12.D03.01.12.D

03.01.1303.01.13

03.01.1403.01.14

03.01.1503.01.15

03.01.16Wireless Access

03.01.16.A03.01.16.A

03.01.16.B03.01.16.B

03.01.16.C03.01.16.C

03.01.16.D03.01.16.D

03.01.1703.01.17

03.01.18Mobile Device Access

03.01.18.A03.01.18.A

03.01.18.B03.01.18.B

03.01.18.C03.01.18.C

03.01.1903.01.19

03.01.20Use of External Systems

03.01.20.A03.01.20.A

03.01.20.B03.01.20.B

03.01.20.C03.01.20.C

03.01.20.C.0103.01.20.C.01

03.01.20.C.0203.01.20.C.02

03.01.20.D03.01.20.D

03.01.2103.01.21

03.01.22Publicly Accessible Content

03.01.22.A03.01.22.A

03.01.22.B03.01.22.B

03.02.01Security Literacy Training

03.02.01.A03.02.01.A

03.02.01.A.0103.02.01.A.01

03.02.01.A.0203.02.01.A.02

03.02.01.A.0303.02.01.A.03

03.02.01.B03.02.01.B

03.02.02Role-Based Security Training

03.02.02.A03.02.02.A

03.02.02.A.0103.02.02.A.01

03.02.02.A.0203.02.02.A.02

03.02.02.B03.02.02.B

03.02.0303.02.03

03.03.01Event Logging

03.03.01.A03.03.01.A

03.03.01.B03.03.01.B

03.03.02Audit Record Content

03.03.02.A03.03.02.A

03.03.02.A.0103.03.02.A.01

03.03.02.A.0203.03.02.A.02

03.03.02.A.0303.03.02.A.03

03.03.02.A.0403.03.02.A.04

03.03.02.A.0503.03.02.A.05

03.03.02.A.0603.03.02.A.06

03.03.02.B03.03.02.B

03.03.03Audit Record Generation and Retention

03.03.03.A03.03.03.A

03.03.03.B03.03.03.B

03.03.04Audit Logging Process Failure

03.03.04.A03.03.04.A

03.03.04.B03.03.04.B

03.03.05Audit Record Review, Analysis, and Reporting

03.03.05.A03.03.05.A

03.03.05.B03.03.05.B

03.03.05.C03.03.05.C

03.03.06Audit Record Reduction and Report Generation

03.03.06.A03.03.06.A

03.03.06.B03.03.06.B

03.03.07Time Stamps

03.03.07.A03.03.07.A

03.03.07.B03.03.07.B

03.03.08Protection of Audit Information

03.03.08.A03.03.08.A

03.03.08.B03.03.08.B

03.03.0903.03.09

03.04.01Baseline Configuration

03.04.01.A03.04.01.A

03.04.01.B03.04.01.B

03.04.02Configuration Settings

03.04.02.A03.04.02.A

03.04.02.B03.04.02.B

03.04.03Configuration Change Control

03.04.03.A03.04.03.A

03.04.03.B03.04.03.B

03.04.03.C03.04.03.C

03.04.03.D03.04.03.D

03.04.04Impact Analysis

03.04.04.A03.04.04.A

03.04.04.B03.04.04.B

03.04.0503.04.05

03.04.06Least Functionality

03.04.06.A03.04.06.A

03.04.06.B03.04.06.B

03.04.06.C03.04.06.C

03.04.06.D03.04.06.D

03.04.0703.04.07

03.04.08Application Whitelisting

03.04.08.A03.04.08.A

03.04.08.B03.04.08.B

03.04.08.C03.04.08.C

03.04.0903.04.09

03.04.10System Component Inventory

03.04.10.A03.04.10.A

03.04.10.B03.04.10.B

03.04.10.C03.04.10.C

03.04.11Information Location

03.04.11.A03.04.11.A

03.04.11.B03.04.11.B

03.04.12System Use for High-Risk Travel

03.04.12.A03.04.12.A

03.04.12.B03.04.12.B

03.05.01Identification and Authentication

03.05.01.A03.05.01.A

03.05.01.B03.05.01.B

03.05.0203.05.02

03.05.0303.05.03

03.05.0403.05.04

03.05.05Identifier Management

03.05.05.A03.05.05.A

03.05.05.B03.05.05.B

03.05.05.C03.05.05.C

03.05.05.D03.05.05.D

03.05.0603.05.06

03.05.07Password Management

03.05.07.A03.05.07.A

03.05.07.B03.05.07.B

03.05.07.C03.05.07.C

03.05.07.D03.05.07.D

03.05.07.E03.05.07.E

03.05.07.F03.05.07.F

03.05.0803.05.08

03.05.0903.05.09

03.05.1003.05.10

03.05.1103.05.11

03.05.12Authenticator Management

03.05.12.A03.05.12.A

03.05.12.B03.05.12.B

03.05.12.C03.05.12.C

03.05.12.D03.05.12.D

03.05.12.E03.05.12.E

03.05.12.F03.05.12.F

03.06.0103.06.01

03.06.02Incident Tracking and Reporting

03.06.02.A03.06.02.A

03.06.02.B03.06.02.B

03.06.02.C03.06.02.C

03.06.02.D03.06.02.D

03.06.0303.06.03

03.06.04Incident Response Training

03.06.04.A03.06.04.A

03.06.04.A.0103.06.04.A.01

03.06.04.A.0203.06.04.A.02

03.06.04.A.0303.06.04.A.03

03.06.04.B03.06.04.B

03.06.05Incident Response Plan

03.06.05.A03.06.05.A

03.06.05.A.0103.06.05.A.01

03.06.05.A.0203.06.05.A.02

03.06.05.A.0303.06.05.A.03

03.06.05.A.0403.06.05.A.04

03.06.05.A.0503.06.05.A.05

03.06.05.A.0603.06.05.A.06

03.06.05.B03.06.05.B

03.06.05.C03.06.05.C

03.06.05.D03.06.05.D

03.07.0103.07.01

03.07.0203.07.02

03.07.0303.07.03

03.07.04Maintenance Tools

03.07.04.A03.07.04.A

03.07.04.B03.07.04.B

03.07.04.C03.07.04.C

03.07.05Nonlocal Maintenance

03.07.05.A03.07.05.A

03.07.05.B03.07.05.B

03.07.05.C03.07.05.C

03.07.06Maintenance Personnel

03.07.06.A03.07.06.A

03.07.06.B03.07.06.B

03.07.06.C03.07.06.C

03.07.06.D03.07.06.D

03.08.0103.08.01

03.08.0203.08.02

03.08.0303.08.03

03.08.0403.08.04

03.08.05Media Transport

03.08.05.A03.08.05.A

03.08.05.B03.08.05.B

03.08.05.C03.08.05.C

03.08.0603.08.06

03.08.07Media Use

03.08.07.A03.08.07.A

03.08.07.B03.08.07.B

03.08.0803.08.08

03.08.09Backup Confidentiality

03.08.09.A03.08.09.A

03.08.09.B03.08.09.B

03.09.01Personnel Screening

03.09.01.A03.09.01.A

03.09.01.B03.09.01.B

03.09.02Personnel Termination and Transfer

03.09.02.A03.09.02.A

03.09.02.A.0103.09.02.A.01

03.09.02.A.0203.09.02.A.02

03.09.02.A.0303.09.02.A.03

03.09.02.B03.09.02.B

03.09.02.B.0103.09.02.B.01

03.09.02.B.0203.09.02.B.02

03.10.01Physical Access Authorization

03.10.01.A03.10.01.A

03.10.01.B03.10.01.B

03.10.01.C03.10.01.C

03.10.01.D03.10.01.D

03.10.02Physical Access Monitoring

03.10.02.A03.10.02.A

03.10.02.B03.10.02.B

03.10.0303.10.03

03.10.0403.10.04

03.10.0503.10.05

03.10.06Alternate Work Sites

03.10.06.A03.10.06.A

03.10.06.B03.10.06.B

03.10.07Physical Access Control

03.10.07.A03.10.07.A

03.10.07.A.0103.10.07.A.01

03.10.07.A.0203.10.07.A.02

03.10.07.B03.10.07.B

03.10.07.C03.10.07.C

03.10.07.D03.10.07.D

03.10.07.E03.10.07.E

03.10.0803.10.08

03.11.01Risk Assessment

03.11.01.A03.11.01.A

03.11.01.B03.11.01.B

03.11.02Vulnerability Monitoring and Scanning

03.11.02.A03.11.02.A

03.11.02.B03.11.02.B

03.11.02.C03.11.02.C

03.11.0303.11.03

03.11.0403.11.04

03.12.0103.12.01

03.12.02Plan of Action and Milestones

03.12.02.A03.12.02.A

03.12.02.A.0103.12.02.A.01

03.12.02.A.0203.12.02.A.02

03.12.02.B03.12.02.B

03.12.02.B.0103.12.02.B.01

03.12.02.B.0203.12.02.B.02

03.12.02.B.0303.12.02.B.03

03.12.0303.12.03

03.12.0403.12.04

03.12.05Information Exchange

03.12.05.A03.12.05.A

03.12.05.B03.12.05.B

03.12.05.C03.12.05.C

03.13.01Boundary Protection

03.13.01.A03.13.01.A

03.13.01.B03.13.01.B

03.13.01.C03.13.01.C

03.13.0203.13.02

03.13.0303.13.03

03.13.0403.13.04

03.13.0503.13.05

03.13.0603.13.06

03.13.0703.13.07

03.13.0803.13.08

03.13.0903.13.09

03.13.1003.13.10

03.13.1103.13.11

03.13.12Collaborative Computing Devices

03.13.12.A03.13.12.A

03.13.12.B03.13.12.B

03.13.13Mobile Code

03.13.13.A03.13.13.A

03.13.13.B03.13.13.B

03.13.1403.13.14

03.13.1503.13.15

03.13.1603.13.16

03.14.01Flaw Remediation

03.14.01.A03.14.01.A

03.14.01.B03.14.01.B

03.14.02Malicious Code Protection

03.14.02.A03.14.02.A

03.14.02.B03.14.02.B

03.14.02.C03.14.02.C

03.14.02.C.0103.14.02.C.01

03.14.02.C.0203.14.02.C.02

03.14.03Security Alerts and Advisories

03.14.03.A03.14.03.A

03.14.03.B03.14.03.B

03.14.0403.14.04

03.14.0503.14.05

03.14.06System Monitoring

03.14.06.A03.14.06.A

03.14.06.A.0103.14.06.A.01

03.14.06.A.0203.14.06.A.02

03.14.06.B03.14.06.B

03.14.06.C03.14.06.C

03.14.0703.14.07

03.14.0803.14.08

03.15.01Security Policies and Procedures

03.15.01.A03.15.01.A

03.15.01.B03.15.01.B

03.15.02System Security Plan

03.15.02.A03.15.02.A

03.15.02.A.0103.15.02.A.01

03.15.02.A.0203.15.02.A.02

03.15.02.A.0303.15.02.A.03

03.15.02.A.0403.15.02.A.04

03.15.02.A.0503.15.02.A.05

03.15.02.A.0603.15.02.A.06

03.15.02.A.0703.15.02.A.07

03.15.02.A.0803.15.02.A.08

03.15.02.B03.15.02.B

03.15.02.C03.15.02.C

03.15.03Rules of Behavior

03.15.03.A03.15.03.A

03.15.03.B03.15.03.B

03.15.03.C03.15.03.C

03.15.03.D03.15.03.D

03.16.0103.16.01

03.16.02Unsupported System Components

03.16.02.A03.16.02.A

03.16.02.B03.16.02.B

03.16.03External System Services

03.16.03.A03.16.03.A

03.16.03.B03.16.03.B

03.16.03.C03.16.03.C

03.17.01Supply Chain Risk Management Plan

03.17.01.A03.17.01.A

03.17.01.B03.17.01.B

03.17.01.C03.17.01.C

03.17.0203.17.02

03.17.03Supply Chain Protection

03.17.03.A03.17.03.A

03.17.03.B03.17.03.B