如何构建网络安全遵从性计划

网络安全合规似乎势不可挡。有各种各样的标准,工具,和资源在市场上通过这个过程来帮助组织。

如何找到合法的供应商?吗?

如果任何供应商告诉你使用他们的工具保证符合给定的政权,考虑他们怀疑。当你跟一个供应商,请他们解释他们的产品如何支持更大的信息安全项目。例如,工具可以通过与CMDB(配置管理数据库)集成来促进网络安全资产管理。然而,它不提供合规除非有100%符合每个副CIS控制1和独联体控制2。另一个工具可以根据企业标准配置自动评估端点。但是确保端点按照健壮的标准进行测试是很重要的,比如consensus-developed CIS基准™。

有哪些资源可用来帮助我构建遵从性计划?吗?

独联体®免费提供多个资源帮助组织开始使用合规计划,提高网络安全的姿势:

  • 独联体控制™提供优先安全指导,帮助防范常见的网络威胁
  • 顺式随机存取存储器(风险评估方法)帮助企业组织CIS控制和副基于定制的风险评估
  • 独联体基准是用于保护包括服务器在内的140多种技术的具体配置指南,操作系统,和软件
通过社区主导型开发这些资源,基于共识的过程;网络安全专家和主题专家志愿者自己的时间,以确保这些资源是健壮的和安全的。

这些资源是如何相互映射的?吗?

作为CIS基准开发过程的一部分,每个推荐了CIS的适用性控制。独联体基准指南可以映射到一个或多个:

  • 顶级CIS控制(例如CIS控制18)
  • 特定的副控制(如独联体控制3.3)
映射并不能保证您的安全程序是符合CIS控制,但它提供组织支持的证据来支撑他们的CIS控制一致性。

独联体内存映射每个问题在风险评估方法到一个特定的CIS控制或副。它帮助组织将CIS Controls以定制的方式付诸实施,风险通报方式。

有这么多的风险管理方法(二元风险分析,公平的,等),独联体RAM的不同吗?吗?

独联体RAM的三原则和十实践让自己直接支持注意义务的法律概念。事实上,独联体RAM是第一个风险评估方法为分析提供非常具体的指示信息安全风险,监管机构定义为“合理的”和法官(在美国)评价为“由于护理。””

通过实施CIS内存,组织将遵循一种考虑风险管理的法律后果的方法,正如美国法院所解释的。独联体RAM强调之间的平衡对安全事故可能造成的伤害,保障的负担——的基础”合理性。””

是实现“顺从精神足够了吗?吗?

很难说——一些审计人员更关心遵循他们使用的任何框架(PCI,国家标准与技术研究院比起HIPAA)的精神框架。我们最好的建议吗?记录你的方法。例如,如果您的安全路线图CIS控制,使用CIS RAM作为风险评估的方法。独联体RAM可以帮助你确定哪些控件具有商业意义并据此调整优先级。在这个例子中,CIS Controls加上CIS RAM将帮助您记录(和演示)适当的注意事项。

遵从性是一个旅程

实现完整合规的任何网络安全标准是一个挑战,但这是一个值得去奋斗的目标。免费的,consensus-developed资源,的任务变得更加容易。要了解更多关于网络安全遵从性的信息,查看我们的记录合规星期研讨会。

如何构建网络安全遵从性计划

网络安全合规似乎势不可挡。有各种各样的标准,工具,和…

阅读更多

3基础设施安全和弹性的步骤

11月是基础设施安全和复原的关键月份。在这个博客中,我们会考虑……

阅读更多

公众对8关键基础设施行业的保护策略

美国国土安全部(DHS)定义了16个关键基础设施行业在美国....

阅读更多
查看全部
注册为
电力杂志的
DecisionBriefs
每月电子通讯!!
电子邮件是必需的