提升业务发展的网络安全策略

关键要点

为了推动业务增长，企业必须扩展网络安全计划并遵循多项合规框架与规定。合规要求的层次结构往往增加复杂性，可能导致时间与资金的浪费。通过应用网络安全最佳实践，可以更有效地实现合规目标，降低资源浪费。CIS的安全控制和基准可以作为合规和安全的基础。

在实现业务增长的过程中，组织必须扩展其网络安全计划，并在此过程中符合各项框架与法规。然而，这并非易事，合规要求的层次结构会引入复杂性，可能增加你在每次满足目标时浪费时间和金钱的风险。

幸运的是，通过规划合规目标，可以在更高效地扩展网络安全计划的同时降低浪费。运用经验证的安全最佳实践，这些实践与行业法规和框架相对应或被其引用，可以帮助企业实现这一目标。

你的合规要求各不相同，但在安全重点方面很可能存在重叠。为避免重复付出，可以使用由互联网安全中心CIS开发的两个安全最佳实践集：CIS关键安全控制CIS Controls和CIS基准CIS Benchmarks。

CIS控制是一套规范性、优先级明确且简化的安全措施，旨在防御常见的网络攻击。通过独特的社区共识过程开发，这些控制项指导你需要优先采取的行动，以提高安全性。这种优先级设置帮助你的组织打下必要的网络安全基础，并在此基础上扩展，即使不再单独探索步骤列表。

CIS控制与多项可能适用的法规和框架相对应，包括：

相关法规和框架联邦金融机构检验委员会FFIECCAT1996年健康保险可携带性和责任法HIPPAMITRE企业ATTampCK v82国家标准与技术协会网络安全框架NIST CSFv20支付卡行业数据安全标准PCI DSSv40以及更多！

在设定合规目标的前提下，你可以管理优先级和实施过程。CIS控制自我评估工具CIS CSAT的专业版本，能够帮助安全团队制定实施计划并分配各项任务。团队可以利用该计划跟踪和验证具体控制和CIS安全措施的分配、实施、自动化、文档及报告等，深入理解能够推动你实现合规目标，扩大网络安全计划的工作。

CIS控制第4条着眼于安全配置，这便是CIS基准发挥作用的地方。它们为100多项技术和25个产品供应商系列提供基于共识的指导。

基准中的安全建议有助于加强你的网络安全态势，因为每个基准与控制相映射。此外，多个行业法规将基准视为保护以下信息的标准：

信息类型说明财务PCI DSS特别提到基准作为强化手段。政府国防部DoD云计算安全要求指南将基准作为其他资源的替代品，如安全技术实施指南STIGs和安全要求指南SRGs。医疗基准与HIPAA安全规则存在重叠，互为补充。云产品及服务FedRAMP建议在特定平台无法使用时使用基准。

为了确保你的系统已经安全配置，可以利用配置评估。CISCAT Pro，特别是其评估组件，允许你比较系统设置与基准的安全建议之间的一致性。CISCAT Pro还配备了仪表板组件，可以跟踪你在近期内的合规努力。

CIS控制和基准帮助你管理安全配置，并扩展网络安全计划，同时简