提升业务发展的网络安全策略
关键要点
为了推动业务增长,企业必须扩展网络安全计划并遵循多项合规框架与规定。合规要求的层次结构往往增加复杂性,可能导致时间与资金的浪费。通过应用网络安全最佳实践,可以更有效地实现合规目标,降低资源浪费。CIS的安全控制和基准可以作为合规和安全的基础。在实现业务增长的过程中,组织必须扩展其网络安全计划,并在此过程中符合各项框架与法规。然而,这并非易事,合规要求的层次结构会引入复杂性,可能增加你在每次满足目标时浪费时间和金钱的风险。
幸运的是,通过规划合规目标,可以在更高效地扩展网络安全计划的同时降低浪费。运用经验证的安全最佳实践,这些实践与行业法规和框架相对应或被其引用,可以帮助企业实现这一目标。
简化合规的网络安全基础
你的合规要求各不相同,但在安全重点方面很可能存在重叠。为避免重复付出,可以使用由互联网安全中心CIS开发的两个安全最佳实践集:CIS关键安全控制CIS Controls和CIS基准CIS Benchmarks。
利用CIS控制提升网络安全姿态
CIS控制是一套规范性、优先级明确且简化的安全措施,旨在防御常见的网络攻击。通过独特的社区共识过程开发,这些控制项指导你需要优先采取的行动,以提高安全性。这种优先级设置帮助你的组织打下必要的网络安全基础,并在此基础上扩展,即使不再单独探索步骤列表。
CIS控制与多项可能适用的法规和框架相对应,包括:
相关法规和框架联邦金融机构检验委员会FFIECCAT1996年健康保险可携带性和责任法HIPPAMITRE企业ATTampCK v82国家标准与技术协会网络安全框架NIST CSFv20支付卡行业数据安全标准PCI DSSv40以及更多!在设定合规目标的前提下,你可以管理优先级和实施过程。CIS控制自我评估工具CIS CSAT的专业版本,能够帮助安全团队制定实施计划并分配各项任务。团队可以利用该计划跟踪和验证具体控制和CIS安全措施的分配、实施、自动化、文档及报告等,深入理解能够推动你实现合规目标,扩大网络安全计划的工作。

行业标准中提到的CIS基准安全建议
CIS控制第4条着眼于安全配置,这便是CIS基准发挥作用的地方。它们为100多项技术和25个产品供应商系列提供基于共识的指导。
基准中的安全建议有助于加强你的网络安全态势,因为每个基准与控制相映射。此外,多个行业法规将基准视为保护以下信息的标准:
信息类型说明财务PCI DSS特别提到基准作为强化手段。政府国防部DoD云计算安全要求指南将基准作为其他资源的替代品,如安全技术实施指南STIGs和安全要求指南SRGs。医疗基准与HIPAA安全规则存在重叠,互为补充。云产品及服务FedRAMP建议在特定平台无法使用时使用基准。为了确保你的系统已经安全配置,可以利用配置评估。CISCAT Pro,特别是其评估组件,允许你比较系统设置与基准的安全建议之间的一致性。CISCAT Pro还配备了仪表板组件,可以跟踪你在近期内的合规努力。
通过CIS SecureSuite会员资格扩展合规努力
CIS控制和基准帮助你管理安全配置,并扩展网络安全计划,同时简