阅读一份网络安全合规框架清单就像看字母汤:NIST CSF、PCI DSS、HIPAA、FISMA、GDPR……清单还在继续。人们很容易不知所措,不仅仅是因为这些首字母缩写。许多框架并没有告诉你从哪里开始,或者确切地告诉你如何变得兼容。的网络安全最佳实践互联网安全中心(CIS)提供了强大的网络安全基础优先,规范性指导。而且,他们支持你的努力向符合上述字母汤。
当开发你的网络安全问题的计划,考虑下面的内容,以确保你有一个坚实的基础:
- 优先考虑你的方法。注重基础的行动,这将有助于您的组织具体化最大的网络安全利益,同时移动你走向合规目标。想想方法(如实现双因素认证)一个安全的行动可能的工作以支持多个框架。
- 保持准确的记录。你如何知道你已经达到合规?确保您的组织是通过记录的努力和测量合规性活动在正确的道路上。自动化工具可以帮助您的企业在规模管理这个。
可信,无成本独联体资源
CIS提供多种资源来帮助组织开始制定一项合规计划,该计划也可以提高网络防御能力。每一种资源都是通过社区驱动的、基于共识的过程开发的。网络安全专家和主题专家自愿贡献他们的时间来确保这些资源是可靠和安全的。
CIS控制
它们是什么:该CIS控制接近网络防御与优先顺序和规定的安全指导。共有20个顶级CIS控制和171分控制,优先为三个实施小组(IGS)。基于组织成熟程度和可用资源的CIS控制投资公司重点发展网络安全的行为。
相关合规性框架:独联体控制映射到或几个行业和法律框架引用,例如:
- NIST CSF
- ISO 27001:2013
- 俄亥俄州数据保护法案
CIS基准
它们是什么:该CIS基准硬化操作系统,服务器,云环境,更提供强大的基于共识的指导方针。他们不仅解释为什么建议配置做什么,但也。CIS Benchmarks包含注释解释它们如何与独联体控制。
它们支持的遵从性框架:独联体基准是由几个行业框架和标准,包括引用:
- 支付卡行业数据安全标准(PCI DSS2)要求
- FISMA(S.国家清单程序储存库)
- 国防部云计算安全要求指南部
虽然这些无成本的选项可以大大有助于你制定一个坚实的合规性计划很长的路要走,但应注意这些资源需要手动执行。通过在合适的工具,政策,您的企业高速发展,以实现投资你的资源。
评估和大规模补救
如果向合规性的第一步是确定你将如何做,衡量成功,第二步是要弄清楚如何在大规模做,所以整个组织受到保护。
CIS SecureSuite会员
世界各地的杠杆作用独联体SecureSuite会员组织,帮助他们实现网络安全的最佳实践,并达到合规性。会员提供的安全工具和资源来帮助您加快政策的落实:
- 为了评估配置,CIS SecureSuite成员使用CIS- cat Pro Assessor及其仪表板组件。从仪表板上,您可以进行远程端点评估,以检查目标是否符合CIS基准配置指南。
- CIS-CAT Pro的仪表板提供交互式的图表显示一段时间内的端点一致性,使用户能够深入到每一个评估,以检查不符合要求的设置。
- 会员接受访问全格式CIS基准文件以及独联体构建套件快速基准应用到端点。
遵从是一个过程
实现完全符合任何网络安全标准是一个挑战 - 但它是一个目标值得争取的。随着CIS的共识研发资源,这项工作变得更容易一些。你的团队可以打造出一个合规计划,实施最佳实践,并限制的网络安全攻击的有效性。来启动与自动化工具和行之有效的,值得信赖的资源,贵遵之旅,今天申请CIS SecureSuite会员。