Security Controls MCP

🚀 安全控制MCP服务器

这是一款用于安全框架映射的权威MCP服务器，可让跨262个SCF映射框架的1451项安全控制实现可搜索，并能通过Claude、Cursor或任何MCP兼容客户端进行AI访问。

🚀 快速开始

远程使用（无需安装）

直接连接到托管版本 — 零依赖，无需安装任何东西。

• 端点：https://security-controls-mcp.vercel.app/mcp

Claude桌面版 — 添加到 claude_desktop_config.json：

{
  "mcpServers": {
    "security-controls": {
      "type": "url",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot — 添加到VS Code settings.json：

{
  "github.copilot.chat.mcp.servers": {
    "security-controls": {
      "type": "http",
      "url": "https://security-controls-mcp.vercel.app/mcp"
    }
  }
}

本地使用（npm）

pipx install security-controls-mcp

Claude桌面版 — 添加到 claude_desktop_config.json：

• macOS：~/Library/Application Support/Claude/claude_desktop_config.json
• Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

macOS用户：使用完整路径（GUI应用不会继承shell PATH）：

{
  "mcpServers": {
    "security-controls": {
      "command": "/Users/YOUR_USERNAME/.local/bin/scf-mcp"
    }
  }
}

使用 which scf-mcp 查找路径。

Cursor / VS Code：

{
  "mcp.servers": {
    "security-controls": {
      "command": "scf-mcp"
    }
  }
}

✨ 主要特性

• 涵盖治理、风险、合规和技术领域的1451项安全控制。
• 262个SCF映射框架，包括ISO 27001、NIST CSF、DORA、PCI DSS、CMMC和TIBER - EU等。
• AI治理：ISO 42001、NIST AI RMF、欧盟AI法案、网络弹性法案。
• 通过SCF罗塞塔石碑实现框架之间的双向映射。
• 捆绑了BIO、KATAKRI、NSM、MSB、CFCS、CCB和ANSSI等公共国家框架配置文件。
• 可选择与购买的标准（ISO、NIST 800 - 53）集成以获取官方文本。
• 对所有控制描述进行全文搜索。
• 支持自然语言查询，而非特定框架ID查询。

💻 使用示例

示例查询

• "GOV - 01有哪些要求？"
• "搜索有关加密密钥管理的控制措施"
• "ISO 27001的哪些控制措施与DORA映射？"
• "列出PCI DSS合规所需的所有控制措施"
• "ISO 27001 A.5.15满足哪些DORA要求？"
• "展示所有与事件响应相关的NIST CSF 2.0控制措施"
• 新增："ISO 42001的哪些控制措施与NIST AI RMF映射？"
• 新增："展示高风险AI系统的欧盟AI法案要求"

📚 详细文档

可用框架（262个）

AI治理（v0.4.0新增）

• ISO 42001:2023 (149) - AI管理体系
• NIST AI RMF 1.0 (158) - AI风险管理框架
• NIST AI 600 - 1 (139) - 生成式AI配置文件
• 欧盟AI法案 (119) - 法规2024/1689
• 欧盟网络弹性法案 (18)

核心框架

• 美国政府：NIST 800 - 53 R5 (777)、NIST CSF 2.0 (253)、FedRAMP R5 (423)、CMMC 2.0 (198/52)
• 国际标准：ISO 27001 (51)、ISO 27002 (316)、ISO 27017 (119)、ISO 27018 (70)、ISO 27701 (187)、ISO 22301 (52)
• 美国行业：PCI DSS v4.0.1 (364)、SOC 2 (412)、HIPAA (136)、SOX (2)
• 金融：SWIFT CSCF 2023 (127)、FFIEC (231)、GLBA (108)、DORA (103)
• 云：CSA CCM v4 (334)、德国C5 (239)

区域覆盖（50多个国家）

• 亚太地区：澳大利亚ISM/基本8项、新加坡MAS TRM、日本ISMAP、中国网络安全法、印度DPDPA
• 欧盟：GDPR (42)、NIS2 (68)、PSD2 (61)，以及20多个国家框架
• 美洲：美国州法律（加利福尼亚州、纽约州、得克萨斯州等）、巴西LGPD、加拿大PIPEDA
• 中东/非洲：沙特SAMA、阿联酋NIAF、南非POPIA

专业领域

• 工业/OT：IEC 62443 (197)、NERC CIP (224)、NIST 800 - 82
• 汽车：ISO/SAE 21434、TISAX、UN R155
• 医疗保健/医疗设备：HIPAA、HITRUST、CMS MARS - E、IEC 81001 - 5 - 1、IMDRF N60/N73、FDA上市前网络安全

完整的262个SCF映射框架列表请见 docs/coverage.md。

工具

核心工具

• version_info() - 获取服务器版本、统计信息和顶级框架。建议首先调用此方法以了解可用数据。
• list_frameworks() - 列出所有262个SCF映射框架及其控制数量。
• get_control(control_id) - 获取特定SCF控制的完整详细信息，返回描述、领域、权重、PPTDF类别以及与所有262个SCF映射框架的映射关系。
• search_controls(query, frameworks=[], limit=10) - 按关键字搜索控制，可选择按框架过滤，对名称和描述进行全文搜索。
• get_framework_controls(framework) - 获取特定框架的所有控制，返回按领域组织的控制。
• map_frameworks(source_framework, target_framework, source_control=None) - 通过SCF进行框架之间的双向映射，可选择过滤到特定源控制。

标准工具

• list_available_standards() - 列出所有可用标准（SCF + 捆绑公共配置文件 + 导入的标准）。
• query_standard(standard, query, limit=10) - 在捆绑公共配置文件或购买的标准中进行搜索。捆绑公共配置文件返回带有官方源链接的精选摘要，购买的标准需要先导入并返回用户副本中的条款文本。
• get_clause(standard, clause_id) - 获取特定条款或部分。捆绑公共配置文件返回精选摘要部分，购买的标准需要先导入以获取官方条款文本。

捆绑公共国家配置文件

这些配置文件安装后即可立即使用，来源为官方公开出版物：

• netherlands_bio - 荷兰BIO2
• finland_katakri - 芬兰KATAKRI 2020
• norway_nsm - 挪威NSM信息通信技术安全基本原则
• sweden_msb - 瑞典MSB信息安全和事件报告配置文件
• denmark_cfcs - 丹麦CFCS网络防御配置文件
• belgium_ccb - 比利时网络基础（CyFun）
• france_anssi - 法国ANSSI网络卫生基线

导入说明请见 PAID_STANDARDS_GUIDE.md。

添加购买的标准（可选）

导入您购买的ISO 27001、NIST SP 800 - 53或其他标准，以获取与SCF描述一起的官方文本：

# 安装导入工具
pip install security-controls-mcp[import-tools]

# 导入购买的PDF
scf-mcp-import import-standard \
  --file ~/Downloads/ISO-27001-2022.pdf \
  --type iso_27001_2022 \
  --title "ISO/IEC 27001:2022"

# 重启MCP，然后查询

您购买的内容将保存在 ~/.security-controls-mcp/ 中（不会提交到git）。 完整指南：PAID_STANDARDS_GUIDE.md

🔧 技术细节

数据管道

SCF JSON → 内存索引 → MCP工具 → AI响应

关键原则

• 所有控制文本直接从SCF源返回，无LLM释义。
• 框架映射使用ComplianceForge的权威交叉引用。
• 可选购买的标准本地存储（不提交）。
• 搜索结果针对AI上下文窗口进行优化。

数据完整性

• SCF版本锁定为2025.4以确保一致性。
• 所有映射均来自官方SCF框架交叉引用。
• 用户导入的标准需要有效许可证。

数据源

基于 SCF 2025.4（2025年12月29日发布）

• 涵盖所有领域的1451项控制。
• 262个SCF映射框架，具有完整的映射覆盖。
• 数据采用知识共享许可。
• 来源：ComplianceForge SCF

包含的数据文件：

• scf-controls.json - 所有1451项带有框架映射的控制。
• framework-to-scf.json - 用于框架到SCF查找的反向索引。

相关项目

本项目是 Ansvar合规套件 的一部分，这些MCP服务器协同工作以实现端到端合规：

• 欧盟法规MCP - 查询47项欧盟法规（GDPR、AI法案、DORA、NIS2等）
  • npx @ansvar/eu-regulations-mcp
  • github.com/Ansvar-Systems/EU_compliance_MCP
• 美国法规MCP - 查询美国联邦和州合规法律（HIPAA、CCPA、SOX等）
  • npm install @ansvar/us-regulations-mcp
  • github.com/Ansvar-Systems/US_Compliance_MCP
• OT安全MCP - 查询IEC 62443、NIST 800 - 82/53、MITRE ATT&CK for ICS
  • npm install @ansvar/ot-security-mcp
  • github.com/Ansvar-Systems/ot-security-mcp

工作流示例

1. "哪些DORA要求适用于信息通信技术风险管理？"
   → 欧盟法规MCP返回第6条全文

2. "哪些安全控制措施满足DORA第6条？"
   → 安全控制MCP映射到ISO 27001、NIST CSF控制措施

3. "展示ISO 27001 A.8.1的实施细节"
   → 安全控制MCP返回控制要求

开发

分支策略

本仓库使用 dev 集成分支。请勿直接推送到 main。

功能分支 → PR到dev → 在dev上验证 → PR到main → 部署

• main 为生产就绪分支，仅通过PR从 dev 合并。
• dev 是集成分支，所有更改首先在此落地。
• 功能分支从 dev 创建。

环境设置

# 克隆并安装
git clone https://github.com/Ansvar-Systems/security-controls-mcp.git
cd security-controls-mcp
pip install -e '.[dev]'

# 安装预提交钩子
pre-commit install

# 运行测试
pytest tests/ -v

预提交钩子在每次提交前自动运行：

• 代码格式化（black, ruff）
• 代码检查（ruff check、YAML/JSON验证）
• 测试（pytest、冒烟测试、服务器启动）

绕过钩子（仅紧急情况）：git commit --no-verify

重要声明

⚠️ 重要提示

• 非法律或合规建议：控制文本直接来自官方SCF数据，但本工具不应作为合规决策的唯一依据。请始终对照官方框架来源进行验证，并咨询合格的合规专业人员。
• AI内容限制：SCF许可证明确禁止使用AI系统基于SCF数据生成衍生内容，如政策、标准、程序、指标、风险或威胁。您可以查询和分析控制措施，但不得生成衍生合规工件。
• 购买的标准：可选标准导入需要有效许可证。您必须拥有合法副本并遵守版权限制。本工具不包含或分发任何受版权保护的标准文本。
• 框架覆盖：虽然SCF提供了全面的映射，但并非所有控制措施在各框架之间都能实现一对一映射。请始终查阅官方框架文档以获取权威要求。

📄 许可证

• 代码：采用Apache许可证2.0（详见 LICENSE）。
• 数据：由ComplianceForge提供的知识共享署名 - 禁止演绎4.0国际许可（CC BY - ND 4.0）。
  • 来源：安全控制框架（SCF）
  • 版本：SCF 2025.4（2025年12月29日）

允许的操作

• 查询和分析SCF控制措施。
• 在框架之间进行映射。
• 在您自己的工作中引用控制措施（需注明出处）。
• 使用此MCP服务器了解控制要求。

不允许的操作

• 使用AI基于SCF控制措施生成政策或程序。
• 创建衍生框架或修改版本进行分发。
• 删除或修改控制定义。

完整条款请见 SCF条款与条件。

更多Ansvar的开源项目

我们为合规和安全专业人员维护了一系列MCP服务器：

浏览所有项目：ansvar.eu/open - source

开发者：Ansvar Systems（瑞典斯德哥尔摩）