今天在读 CIS Controls (version 7.1).
个人认为写得非常好. 推荐所有致力于信息安全管理的专业人员研读.
下面做一个简短的介绍并说明我推荐的理由.
在 CIS Controls 中列出了 20 项安全控制. 分为 Basic(6 项),Foundation(10 项),Organizational(4 项). 此外, CIS 从另一个维度 (Implementation Groups,IGs) 给出了针对不同规模的组织 (对应的信息安全关注焦点也不同) 的实施建议.
CIS 根据组织的规模把 20 项安全控制的实施分成 3 个 IG(IG1~IG3).
- IG1. A family-owned business with ~10 employees may self-classify as IG1;
- IG2. A regional organization providing a service may classify itself as IG2;
IG3. A large corporation with thousands of employees may be labeled IG3.
一家公司的人员规模在 10 人左右, 可以自行归入 IG1;
对外提供服务的区域性的单位可以把自己定为 IG2;
而拥有几千, 上万人的大公司最好给自己贴上 IG3 的标签.
这种划分方法非常实用.
(虽然可以吐槽这个划分方法太不严谨, 但一点也不影响它的实用价值.)
这样一来, IG1 的公司就实现 IG1 里的控制项, IG2 的单位就实现 IG1+IG2 的控制项, IG3 的公司就实现 IG1+IG2+IG3 的控制项. 简单易行.
推荐理由:
个人认为, CIS Controls 及配套文档是一整套相当科学的方法论和相当实用的指南.
小企业, 没有专门的安全负责人, 老板自己看, 自己盯着落实.(如果有 CTO, 也可以交给 CTO)
区域性的中小公司, 有一两个兼职的安全人员, 老板可以盯着这一两个人按 IG1+IG2 来落实.
大公司, 基本上信息安全管理体系相对成熟, 有专门负责安全的团队, 可以参考一下 IG1+IG2+IG3 的原则, 方法论. 具体的实施指南不可能也无须照搬, 查漏补缺就好.
CIS 网址: https://www.cisecurity.org/
"青藤云安全资讯" 公众号文章链接:
https://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650826413&idx=1&sn=9aae31ad426a06131508f5f0535991b1&chksm=80db0508b7ac8c1ee70e5d4a1709862abb83b4caa2378dce08d95a49991baf1f66342f546ed4&mpshare=1&scene=1&srcid=&key=c8c9cb9453e09350750ccd07b34ea9fe41c3b0860a0f82add3c4370a3becfcfb29eecf93d0205d7d2c798a59ccdc46804706e7886a28a3a1f27aa28f6db3caa3995629119d827c08073db5aef3c7fe68&ascene=1&uin=NzExMDAyNDQw&devicetype=Windows+10&version=62060833&lang=zh_CN&pass_ticket=ofI9gu6jQysOFBWOl8lxRraxDOIXPYec8F5kg35DJnWUudbO+LTcWT696Vc9c3GC
来源: https://www.cnblogs.com/pback/p/10987759.html