今天在读CIS Controls (version 7.1)。
个人认为写得非常好。推荐所有致力于信息安全管理的专业人员研读。
下面做一个简短的介绍并说明我推荐的理由。
在CIS Controls中列出了20项安全控制。分为Basic(6项)、Foundation(10项)、Organizational(4项)。此外,CIS从另一个维度(Implementation Groups,IGs)给出了针对不同规模的组织(对应的信息安全关注焦点也不同)的实施建议。
CIS根据组织的规模把20项安全控制的实施分成3个IG(IG1~IG3)。
IG1. A family-owned business with ~10 employees may self-classify as IG1;
IG2. A regional organization providing a service may classify itself as IG2;
IG3. A large corporation with thousands of employees may be labeled IG3.
一家公司的人员规模在10人左右,可以自行归入IG1;
对外提供服务的区域性的单位可以把自己定为IG2;
而拥有几千、上万人的大公司最好给自己贴上IG3的标签。
这种划分方法非常实用。
(虽然可以吐槽这个划分方法太不严谨,但一点也不影响它的实用价值。)
这样一来,IG1的公司就实现IG1里的控制项,IG2的单位就实现IG1+IG2的控制项,IG3的公司就实现IG1+IG2+IG3的控制项。简单易行。
推荐理由:
个人认为,CIS Controls及配套文档是一整套相当科学的方法论和相当实用的指南。
小企业,没有专门的安全负责人,老板自己看,自己盯着落实。(如果有CTO,也可以交给CTO)
区域性的中小公司,有一两个兼职的安全人员,老板可以盯着这一两个人按IG1+IG2来落实。
大公司,基本上信息安全管理体系相对成熟,有专门负责安全的团队,可以参考一下IG1+IG2+IG3的原则、方法论。具体的实施指南不可能也无须照搬,查漏补缺就好。
CIS网址:https://www.cisecurity.org/
“青藤云安全资讯”公众号文章链接:
https://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650826413&idx=1&sn=9aae31ad426a06131508f5f0535991b1&chksm=80db0508b7ac8c1ee70e5d4a1709862abb83b4caa2378dce08d95a49991baf1f66342f546ed4&mpshare=1&scene=1&srcid=&key=c8c9cb9453e09350750ccd07b34ea9fe41c3b0860a0f82add3c4370a3becfcfb29eecf93d0205d7d2c798a59ccdc46804706e7886a28a3a1f27aa28f6db3caa3995629119d827c08073db5aef3c7fe68&ascene=1&uin=NzExMDAyNDQw&devicetype=Windows+10&version=62060833&lang=zh_CN&pass_ticket=ofI9gu6jQysOFBWOl8lxRraxDOIXPYec8F5kg35DJnWUudbO%2BLTcWT696Vc9c3GC