实现和维护网络安全在一个小公司或大型组织不可或缺的一部分的商业模式。某些组织和协会建立了定义遵循的规则和程序在开发IT基础设施或增加其最低限度的安全。这些规则被称为框架和标准。
有各种不同的组织在世界各地,导致这些文件。让我们探讨这些不同的文档可以受益所有人参与全球和为什么它成为必要创建这些标准和框架。
表的内容
框架和标准:有什么区别吗?
根据定义,下面的框架是指结构或超出系统。没有定义一个框架,并且只给出了系统的概述,而不是采用的方法来实现这个系统。因此,一个公司可以采取一个框架以任何方式的选择和可以声称遵循一个特定的框架,只要所有特定框架的需求被满足。个体可能会添加一个框架,使之更有效率,他们仍将遵循同样的框架。
另一方面,顾名思义,一个标准是最著名的实践,它定义了完成任务所涉及的步骤和程序。此外,一个国际公认的标准也意味着在世界范围内遵循相同的步骤来执行特定的任务,如果特定的标准被采用。
一个组织可以创建自己的一套规则只适用在其公司或适应一定的标准和规则,国际上的认可。近年来,许多组织一直致力于标准化组织的基本安全基础设施处理个人识别信息(PII)或财务信息以便他们不容易未经授权的人员访问。这确保了所有公司遵循了最低限度的要求保持他们的客户的数据免受黑客和损失最小数据对于成功的突破。
最重要的是安全标准和框架
COBIT是一个安全框架由一个组织的名字被称为信息系统审计与控制协会(ISACA)。这个框架定义了治理和管理原则,为企业信息技术流程和组织结构。COBIT提供了实现信息安全管理系统的需求(主义)和兼容标准的ISO / IEC 27000系列,这将在本文进一步讨论。
COBIT运行在5基本原则,见下图:
最近引入的COBIT 5,注册信息安全框架的一部分。三COBIT 5流程具体地址信息安全:7月13日“管理安全,”DSS04“管理连续性,”和DSS05“管理安全服务。”雷竞技下载iOS地址
COBIT 5有五个过程域指定企业的治理和管理它。这些领域是:
- 评估、直接和监控(EDM)
- 对齐,计划,组织(APO)
- 构建、购买和实施(白)
- 交付、服务和支持(DSS)
- 监控、评价和评估(MEA)
ISO / IEC 27000系列信息安全管理系统(主义)
信息安全管理系统(主义)是一个编译规则手册定义的政策,程序和活动参与构建一个组织单位负责处理和维护公司内部网络和信息安全方面。组织结构倾向于自己的资源、范围和责任。但是他们中的许多人倾向于遵循pre-structured,标准化,和预应力的方法,如ISO / IEC 27000系列标准。
国际标准化组织(ISO)和国际电工委员会(IEC)收集了一系列/家庭标准关注安全技术,信息技术和主义。
ISO / IEC 27000系列包括各种标准,如27001年,27005年,27032年,这些指南在不同的领域。例如,ISO / IEC 27001提供指导主义在一个组织。使用这个标准,任何组织可以获得他们的IT基础设施,确保所有基本需求得到了满足。此外,ISO / IEC 27001还提供了证书在审核,以确保公司已经通过了测试。
ISO / IEC 27005进行风险评估安全基础设施和提供指导如何处理场景的违反。
同时,ISO / IEC 27032标准提供一般指导规范和最佳实践适应确保最大虚拟安全。
NIST的网络安全控制框架(CSF)
国家标准与技术研究院(NIST)创建了网络安全控制框架(CSF)在与美国政府合作。这个框架的主要目的是为私人部门提供足够的信息,以便他们关键的IT基础设施是安全的。与许多NIST指导文档,CSF是专门为企业,满足他们的需求,支持业务目标。
CSF不同于其他框架,因为它关注风险管理。它提出了三个部分:
- 核心功能(识别、保护、检测、响应、恢复)
- 实现层(风险管理过程和实践)
- 配置文件(具体业务或行业-目标和想要的结果)
这些步骤时使用NIST的CSF适应增加的安全组织,按照以下顺序:
- 地图,确定当前安全实现。
- 点和识别潜在的网络安全策略和标准。
- 理解公司的商业模式和新需求沟通。
- 创建一个新的网络安全计划。
NIST特殊出版物800 - 53和800 - 171
NIST的特殊的出版物800 - 53年和800 - 171已经存在了一段时间,改善多年来进一步修正。这是两种不同的标准化文件,但很大程度上是相互关联的,因为大多数的控制相关SP 800 - 171 SP 800 - 53。
最初,SP800-53是为政府机构来保护他们的关键数据和基础设施。它确保他们的网络是令人费解的。然而,随着SP 800 - 171年,美国国防部(DoD)强制要求所有网络安全供应商和承包商实施本标准,投标的新机会。
NIST SP 800 - 171可以应用到大型和小型组织,因为它是电脑桌。此外,较大的组织不可能受益于这个标准尽可能多的小公司,大的已经有了基础设施设置来实现信息和网络安全。NIST 800 - 171也有最高的覆盖范围,它包括所有的安全协议和定期测试,出现在其他框架。
关闭的话
你可以选择从不同的框架和标准,以实现在你的组织中或从头设置它。这是你的选择你是否想适应框架或混合了一些,使一个更好的提高您的安全。这取决于您正在运行的业务类型。
有几种常见的元素之间的信息安全框架中定义的ISO / IEC 27000标准的家庭,COBIT框架,NIST的网络安全控制框架。这些地址的风险,企业必须解决,取决于数字形式的信息,信息系统,信息基础设施。每个框架提供了结构化的IT治理和IT管理活动列表必须采用和实施有效地管理风险,保护数字资产。