隨筆- 1  文章- 0  評論- 0 

今天在讀CIS Controls (version 7.1)。

個人認為寫得非常好。推薦所有致力于信息安全管理的專業人員研讀。

下面做一個簡短的介紹并說明我推薦的理由。

在CIS Controls中列出了20項安全控制。分為Basic(6項)、Foundation(10項)、Organizational(4項)。此外,CIS從另一個維度(Implementation Groups,IGs)給出了針對不同規模的組織(對應的信息安全關注焦點也不同)的實施建議。

CIS根據組織的規模把20項安全控制的實施分成3個IG(IG1~IG3)。

IG1. A family-owned business with ~10 employees may self-classify as IG1;

IG2. A regional organization providing a service may classify itself as IG2;

IG3. A large corporation with thousands of employees may be labeled IG3.

一家公司的人員規模在10人左右,可以自行歸入IG1;

對外提供服務的區域性的單位可以把自己定為IG2;

而擁有幾千、上萬人的大公司最好給自己貼上IG3的標簽。

這種劃分方法非常實用。

(雖然可以吐槽這個劃分方法太不嚴謹,但一點也不影響它的實用價值。)

這樣一來,IG1的公司就實現IG1里的控制項,IG2的單位就實現IG1+IG2的控制項,IG3的公司就實現IG1+IG2+IG3的控制項。簡單易行。

 

推薦理由:

個人認為,CIS Controls及配套文檔是一整套相當科學的方法論和相當實用的指南。

小企業,沒有專門的安全負責人,老板自己看,自己盯著落實。(如果有CTO,也可以交給CTO)

區域性的中小公司,有一兩個兼職的安全人員,老板可以盯著這一兩個人按IG1+IG2來落實。

大公司,基本上信息安全管理體系相對成熟,有專門負責安全的團隊,可以參考一下IG1+IG2+IG3的原則、方法論。具體的實施指南不可能也無須照搬,查漏補缺就好。

 

CIS網址:https://www.cisecurity.org/

“青藤云安全資訊”公眾號文章鏈接:
https://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650826413&idx=1&sn=9aae31ad426a06131508f5f0535991b1&chksm=80db0508b7ac8c1ee70e5d4a1709862abb83b4caa2378dce08d95a49991baf1f66342f546ed4&mpshare=1&scene=1&srcid=&key=c8c9cb9453e09350750ccd07b34ea9fe41c3b0860a0f82add3c4370a3becfcfb29eecf93d0205d7d2c798a59ccdc46804706e7886a28a3a1f27aa28f6db3caa3995629119d827c08073db5aef3c7fe68&ascene=1&uin=NzExMDAyNDQw&devicetype=Windows+10&version=62060833&lang=zh_CN&pass_ticket=ofI9gu6jQysOFBWOl8lxRraxDOIXPYec8F5kg35DJnWUudbO%2BLTcWT696Vc9c3GC

posted on 2019-06-07 10:40 程序員歸來 閱讀(...) 評論(...) 編輯 收藏