如何构建网络安全遵从性计划

一开始,网络安全遵从性看起来是压倒一切的。有许多标准,工具,以及市场上的资源,以帮助组织通过该过程。

如何找到合法的供应商??

如果任何供应商告诉你,使用他们的工具保证遵守给定的制度,认为他们是可疑的。当你和供应商谈话时,请他们解释他们的产品如何支持更大的信息安全项目。例如,工具可以通过与CMDB(配置管理数据库)集成来促进网络安全资产管理。然而,除非对CIS控制1和CIS控制2中的每个子控制具有100%的一致性,否则它不提供总遵从性。另一个工具可以根据企业标准配置自动评估端点。但是确保端点按照健壮的标准进行测试是很重要的,比如一致开发的CIS基准测试。

有哪些资源可用来帮助我构建遵从性计划??

独联体®免费提供多种资源,以帮助组织开始执行合规计划并改善其网络安全态势:

  • 这个CIS控制提供优先安全指导,帮助防范常见的网络威胁
  • 顺式随机存取存储器(风险评估方法)帮助企业基于对风险的定制评估组织CIS控制和子控制
  • 这个独联体基准是用于保护包括服务器在内的140多种技术的具体配置指南,操作系统,和软件
这些资源中的每一个都是通过社区驱动的,基于共识的过程;网络安全专家和主题专家自愿花时间确保这些资源是健壮和安全的。

这些资源是如何相互映射的??

作为CIS基准开发过程的一部分,每项建议都审查是否适用于CIS控制。CIS基准指南可以映射到一个或多个:

  • 顶级CIS控制(例如CIS控制18)
  • 具体子控制(例如CIS控制3.3)
映射不能保证您的安全程序符合CIS控件,但它确实为组织提供了支持其CIS控制一致性的证据。

CIS RAM将风险评估方法中的每个问题映射到特定的CIS控制或子控制。它帮助组织将CIS Controls以定制的方式付诸实施,风险通报方式。

有这么多的风险管理方法(二元风险分析,公平的,等)什么使得CIS RAM不同??

CIS RAM的三项原则和十项实践直接支持了注意义务的法律概念。事实上,CIS RAM是第一种风险评估方法,它以监管者定义的方式提供用于分析信息安全风险的非常具体的指令。合理的法官(在美国)评价为应有的关心。”“

通过实现CIS RAM,组织将遵循一种考虑风险管理的法律后果的方法,正如美国法院所解释的。CIS RAMs强调了安全事件可能造成的危害和保障措施的负担之间的平衡-“基础”合理性。”“

正在实现顺从精神够了吗??

很难说——一些审计人员更关心遵循他们使用的任何框架(PCI,NIST比起HIPAA)的精神框架。我们最好的建议是什么?记录您的方法。例如,如果CIS控件是您的安全路线图,使用CIS RAM作为风险评估方法。CIS RAM将帮助您确定哪些控件具有业务意义,并相应地确定优先级。在这个例子中,CIS Controls加上CIS RAM将帮助您记录(和演示)适当的注意事项。

顺从是一次旅行

实现完全遵守任何网络安全标准都是一个挑战,但它是一个值得努力的目标。免费的,共识开发的资源,任务变得简单了一点。要了解更多关于网络安全遵从性的信息,查看我们的遵守周网络研讨会的记录。

如何构建网络安全遵从性计划

一开始,网络安全遵从性看起来是压倒一切的。有许多标准,工具,还有…

多读

3基础设施安全和弹性的步骤

11月是基础设施安全和复原的关键月份。在这篇博文中,我们将调查……

多读

8个关键基础设施部门的公共保护战略

美国国土安全部(DHS)已经确定了美国16个关键基础设施部门。

多读
查看全部
报名参加
动力杂志
决策简介
每月电子通讯!!
需要电子邮件