CIS关键安全控制措施集18项完整目录
本篇作为本公众号提供的CIS关键安全控制措施集18项的完整目录,方便收藏和分享,并着重补充介绍了“实现组”的概念。
笔者:国际认证信息系统审计师、软考系统分析师
CIS关键安全控制措施(CIS Critical Security Controls),简称CIS控制措施,是国际上认可的,通过把关于威胁、业务技术和防御选项的专家观点结合在一起,形成一种有效、连贯且简单的方式,用于管理企业组织网络安全的改进计划。
CIS方面认为,企业组织有各种不同规模和复杂程度,因此需要有针对性地给出更多的指引帮助信息,使不同情况的企业能轻松地按指引行动,集中注意力和资源去做好自身的网络安全。
因此,CIS开发了实现组(Implementation Groups,IGs)。IG的作用是给企业组织确定如何优先实施CIS控制措施的建议指南。为了帮助各种不同规模的企业,IG被分为三组。
基于企业实施CIS控制措施的风险概况和资源。每个IG都确定了一套需要实施的保障措施(以前称为CIS子控制)。在CIS关键安全控制措施集第8版本中共有153项保障措施。
每个企业都应该从IG1开始。IG1通过常见、可用的技术和流程提供了有效的安全价值,同时为企业在必要时进一步量身定制更复杂的安全管理行动提供了基础。
在IG1的基础上,CIS为具有更多资源和专业知识,但也有更大风险暴露面的企业组织确定了一套额外的保障措施,即IG2。
最后,其余的保障措施构成了IG3。
这3套IG定义,共同形成了一种简单易理解的表述方式,帮助不同类别的企业组织能集中其有限的安全资源,充分利用和发挥CIS控制措施所涉及的行动程序、安全社区、配套工具的价值。
以下是本公众号对18项控制措施内容较详细的表述:
如何应用CIS关键安全控制措施集之二:软硬件资产的库存和控制
如何应用CIS关键安全控制措施集之四:企业资产和软件的安全配置
如何应用CIS关键安全控制措施集之九:电子邮件和浏览器的防护
以下是18项控制措施的IG适用性汇总:
本站微信订阅号:
本页网址二维码: