Security Controls MCP

🚀 安全控制MCP服務器

這是一款用於安全框架映射的權威MCP服務器，可讓跨262個SCF映射框架的1451項安全控制實現可搜索，並能通過Claude、Cursor或任何MCP兼容客戶端進行AI訪問。

🚀 快速開始

遠程使用（無需安裝）

直接連接到託管版本 — 零依賴，無需安裝任何東西。

• 端點：https://security-controls-mcp.vercel.app/mcp

Claude桌面版 — 添加到 claude_desktop_config.json：

{
  "mcpServers": {
    "security-controls": {
      "type": "url",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot — 添加到VS Code settings.json：

{
  "github.copilot.chat.mcp.servers": {
    "security-controls": {
      "type": "http",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

本地使用（npm）

pipx install security-controls-mcp

Claude桌面版 — 添加到 claude_desktop_config.json：

• macOS：~/Library/Application Support/Claude/claude_desktop_config.json
• Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

macOS用戶：使用完整路徑（GUI應用不會繼承shell PATH）：

{
  "mcpServers": {
    "security-controls": {
      "command": "/Users/YOUR_USERNAME/.local/bin/scf-mcp"
    }
  }
}

使用 which scf-mcp 查找路徑。

Cursor / VS Code：

{
  "mcp.servers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

✨ 主要特性

• 涵蓋治理、風險、合規和技術領域的1451項安全控制。
• 262個SCF映射框架，包括ISO 27001、NIST CSF、DORA、PCI DSS、CMMC和TIBER - EU等。
• AI治理：ISO 42001、NIST AI RMF、歐盟AI法案、網絡彈性法案。
• 通過SCF羅塞塔石碑實現框架之間的雙向映射。
• 捆綁了BIO、KATAKRI、NSM、MSB、CFCS、CCB和ANSSI等公共國家框架配置文件。
• 可選擇與購買的標準（ISO、NIST 800 - 53）集成以獲取官方文本。
• 對所有控制描述進行全文搜索。
• 支持自然語言查詢，而非特定框架ID查詢。

💻 使用示例

示例查詢

• "GOV - 01有哪些要求？"
• "搜索有關加密密鑰管理的控制措施"
• "ISO 27001的哪些控制措施與DORA映射？"
• "列出PCI DSS合規所需的所有控制措施"
• "ISO 27001 A.5.15滿足哪些DORA要求？"
• "展示所有與事件響應相關的NIST CSF 2.0控制措施"
• 新增："ISO 42001的哪些控制措施與NIST AI RMF映射？"
• 新增："展示高風險AI系統的歐盟AI法案要求"

📚 詳細文檔

可用框架（262個）

AI治理（v0.4.0新增）

• ISO 42001:2023 (149) - AI管理體系
• NIST AI RMF 1.0 (158) - AI風險管理框架
• NIST AI 600 - 1 (139) - 生成式AI配置文件
• 歐盟AI法案 (119) - 法規2024/1689
• 歐盟網絡彈性法案 (18)

核心框架

• 美國政府：NIST 800 - 53 R5 (777)、NIST CSF 2.0 (253)、FedRAMP R5 (423)、CMMC 2.0 (198/52)
• 國際標準：ISO 27001 (51)、ISO 27002 (316)、ISO 27017 (119)、ISO 27018 (70)、ISO 27701 (187)、ISO 22301 (52)
• 美國行業：PCI DSS v4.0.1 (364)、SOC 2 (412)、HIPAA (136)、SOX (2)
• 金融：SWIFT CSCF 2023 (127)、FFIEC (231)、GLBA (108)、DORA (103)
• 雲：CSA CCM v4 (334)、德國C5 (239)

區域覆蓋（50多個國家）

• 亞太地區：澳大利亞ISM/基本8項、新加坡MAS TRM、日本ISMAP、中國網絡安全法、印度DPDPA
• 歐盟：GDPR (42)、NIS2 (68)、PSD2 (61)，以及20多個國家框架
• 美洲：美國州法律（加利福尼亞州、紐約州、得克薩斯州等）、巴西LGPD、加拿大PIPEDA
• 中東/非洲：沙特SAMA、阿聯酋NIAF、南非POPIA

專業領域

• 工業/OT：IEC 62443 (197)、NERC CIP (224)、NIST 800 - 82
• 汽車：ISO/SAE 21434、TISAX、UN R155
• 醫療保健/醫療設備：HIPAA、HITRUST、CMS MARS - E、IEC 81001 - 5 - 1、IMDRF N60/N73、FDA上市前網絡安全

完整的262個SCF映射框架列表請見 docs/coverage.md。

工具

核心工具

• version_info() - 獲取服務器版本、統計信息和頂級框架。建議首先調用此方法以瞭解可用數據。
• list_frameworks() - 列出所有262個SCF映射框架及其控制數量。
• get_control(control_id) - 獲取特定SCF控制的完整詳細信息，返回描述、領域、權重、PPTDF類別以及與所有262個SCF映射框架的映射關係。
• search_controls(query, frameworks=[], limit=10) - 按關鍵字搜索控制，可選擇按框架過濾，對名稱和描述進行全文搜索。
• get_framework_controls(framework) - 獲取特定框架的所有控制，返回按領域組織的控制。
• map_frameworks(source_framework, target_framework, source_control=None) - 通過SCF進行框架之間的雙向映射，可選擇過濾到特定源控制。

標準工具

• list_available_standards() - 列出所有可用標準（SCF + 捆綁公共配置文件 + 導入的標準）。
• query_standard(standard, query, limit=10) - 在捆綁公共配置文件或購買的標準中進行搜索。捆綁公共配置文件返回帶有官方源鏈接的精選摘要，購買的標準需要先導入並返回用戶副本中的條款文本。
• get_clause(standard, clause_id) - 獲取特定條款或部分。捆綁公共配置文件返回精選摘要部分，購買的標準需要先導入以獲取官方條款文本。

捆綁公共國家配置文件

這些配置文件安裝後即可立即使用，來源為官方公開出版物：

• netherlands_bio - 荷蘭BIO2
• finland_katakri - 芬蘭KATAKRI 2020
• norway_nsm - 挪威NSM信息通信技術安全基本原則
• sweden_msb - 瑞典MSB信息安全和事件報告配置文件
• denmark_cfcs - 丹麥CFCS網絡防禦配置文件
• belgium_ccb - 比利時網絡基礎（CyFun）
• france_anssi - 法國ANSSI網絡衛生基線

導入說明請見 PAID_STANDARDS_GUIDE.md。

添加購買的標準（可選）

導入您購買的ISO 27001、NIST SP 800 - 53或其他標準，以獲取與SCF描述一起的官方文本：

# 安裝導入工具
pip install security-controls-mcp[import-tools]

# 導入購買的PDF
scf-mcp-import import-standard \
  --file ~/Downloads/ISO-27001-2022.pdf \
  --type iso_27001_2022 \
  --title "ISO/IEC 27001:2022"

# 重啟MCP，然後查詢

您購買的內容將保存在 ~/.security-controls-mcp/ 中（不會提交到git）。 完整指南：PAID_STANDARDS_GUIDE.md

🔧 技術細節

數據管道

SCF JSON → 內存索引 → MCP工具 → AI響應

關鍵原則

• 所有控制文本直接從SCF源返回，無LLM釋義。
• 框架映射使用ComplianceForge的權威交叉引用。
• 可選購買的標準本地存儲（不提交）。
• 搜索結果針對AI上下文窗口進行優化。

數據完整性

• SCF版本鎖定為2025.4以確保一致性。
• 所有映射均來自官方SCF框架交叉引用。
• 用戶導入的標準需要有效許可證。

數據源

基於 SCF 2025.4（2025年12月29日發佈）

• 涵蓋所有領域的1451項控制。
• 262個SCF映射框架，具有完整的映射覆蓋。
• 數據採用知識共享許可。
• 來源：ComplianceForge SCF

包含的數據文件：

• scf-controls.json - 所有1451項帶有框架映射的控制。
• framework-to-scf.json - 用於框架到SCF查找的反向索引。

相關項目

本項目是 Ansvar合規套件 的一部分，這些MCP服務器協同工作以實現端到端合規：

• 歐盟法規MCP - 查詢47項歐盟法規（GDPR、AI法案、DORA、NIS2等）
  • npx @ansvar/eu-regulations-mcp
  • github.com/Ansvar-Systems/EU_compliance_MCP
• 美國法規MCP - 查詢美國聯邦和州合規法律（HIPAA、CCPA、SOX等）
  • npm install @ansvar/us-regulations-mcp
  • github.com/Ansvar-Systems/US_Compliance_MCP
• OT安全MCP - 查詢IEC 62443、NIST 800 - 82/53、MITRE ATT&CK for ICS
  • npm install @ansvar/ot-security-mcp
  • github.com/Ansvar-Systems/ot-security-mcp

工作流示例

1. "哪些DORA要求適用於信息通信技術風險管理？"
   → 歐盟法規MCP返回第6條全文

2. "哪些安全控制措施滿足DORA第6條？"
   → 安全控制MCP映射到ISO 27001、NIST CSF控制措施

3. "展示ISO 27001 A.8.1的實施細節"
   → 安全控制MCP返回控制要求

開發

分支策略

本倉庫使用 dev 集成分支。請勿直接推送到 main。

功能分支 → PR到dev → 在dev上驗證 → PR到main → 部署

• main 為生產就緒分支，僅通過PR從 dev 合併。
• dev 是集成分支，所有更改首先在此落地。
• 功能分支從 dev 創建。

環境設置

# 克隆並安裝
git clone https://github.com/Ansvar-Systems/security-controls-mcp.git
cd security-controls-mcp
pip install -e '.[dev]'

# 安裝預提交鉤子
pre-commit install

# 運行測試
pytest tests/ -v

預提交鉤子在每次提交前自動運行：

• 代碼格式化（black, ruff）
• 代碼檢查（ruff check、YAML/JSON驗證）
• 測試（pytest、冒煙測試、服務器啟動）

繞過鉤子（僅緊急情況）：git commit --no-verify

重要聲明

⚠️ 重要提示

• 非法律或合規建議：控制文本直接來自官方SCF數據，但本工具不應作為合規決策的唯一依據。請始終對照官方框架來源進行驗證，並諮詢合格的合規專業人員。
• AI內容限制：SCF許可證明確禁止使用AI系統基於SCF數據生成衍生內容，如政策、標準、程序、指標、風險或威脅。您可以查詢和分析控制措施，但不得生成衍生合規工件。
• 購買的標準：可選標準導入需要有效許可證。您必須擁有合法副本並遵守版權限制。本工具不包含或分發任何受版權保護的標準文本。
• 框架覆蓋：雖然SCF提供了全面的映射，但並非所有控制措施在各框架之間都能實現一對一映射。請始終查閱官方框架文檔以獲取權威要求。

📄 許可證

• 代碼：採用Apache許可證2.0（詳見 LICENSE）。
• 數據：由ComplianceForge提供的知識共享署名 - 禁止演繹4.0國際許可（CC BY - ND 4.0）。
  • 來源：安全控制框架（SCF）
  • 版本：SCF 2025.4（2025年12月29日）

允許的操作

• 查詢和分析SCF控制措施。
• 在框架之間進行映射。
• 在您自己的工作中引用控制措施（需註明出處）。
• 使用此MCP服務器瞭解控制要求。

不允許的操作

• 使用AI基於SCF控制措施生成政策或程序。
• 創建衍生框架或修改版本進行分發。
• 刪除或修改控制定義。

完整條款請見 SCF條款與條件。

更多Ansvar的開源項目

我們為合規和安全專業人員維護了一系列MCP服務器：

瀏覽所有項目：ansvar.eu/open - source

開發者：Ansvar Systems（瑞典斯德哥爾摩）