深入解析15大IT安全框架与标准

本文详细介绍了15种关键的IT安全框架与标准,包括ISO 27000系列、NIST CSF、COBIT、PCI DSS等,阐述了它们的特点、适用场景及如何为组织选择合适的框架以应对合规要求与风险管理。

深入解析15大IT安全框架与标准

信息安全涵盖众多领域——从边界防护、加密到应用安全和灾难恢复。合规性法规和标准(如 HIPAA、PCI DSS、SOX 和 GDPR)使 IT 安全更具挑战性。

这正是 IT 安全框架和标准至关重要的地方。所有网络安全专业人员都需要了解法规、标准和框架。从审计角度来看,遵守这些框架和标准尤为重要。

为帮助管理这一过程,让我们来研究标准、法规和框架,以及更流行的安全选项及其使用方法。

什么是 IT 安全标准、法规和框架?

标准就像食谱;它们列出了要遵循的步骤。一个管理良好的 IT 组织必须遵守标准中规定的要求。

法规则具有法律约束力。它们描述如何做某事的方式表明了政府和公众对法规中设定的规则和流程的支持。未能遵守以 IT 为重点的法规可能会导致经济处罚和诉讼。

框架详细说明了如何开发、测试、执行和维护某些事物。网络安全框架是一系列文档化的流程,定义了实施和管理信息安全控制的政策和程序。此类框架是管理风险和减少漏洞的蓝图。

信息安全专业人员使用框架来定义和管理企业安全所需的任务,并对其进行优先级排序。框架还有助于为合规性及其他 IT 审计做好准备。因此,它们必须支持标准或法规中定义的特定要求。

组织可以定制框架以解决特定的信息安全问题,例如行业特定要求或合规性目标。框架的复杂性和规模也各不相同。当今的框架经常重叠,因此选择能有效支持运营、合规和审计要求的框架非常重要。它们还应易于适应现有的安全活动。

为什么安全框架很重要?

框架为建立信息安全管理流程、政策和行政活动提供了起点。

安全要求经常重叠,从而产生了可用于证明符合不同监管标准的“交叉参考表”。例如,信息安全政策在以下标准中定义:

  • ISO 27002 在第 5 节中定义。
  • COBIT 在 “Align, Plan and Organize” 部分定义。
  • HIPAA 在 “Assigned Security Responsibility” 部分定义。
  • PCI DSS 在 “Maintain an Information Security Policy” 部分定义。

使用一个通用框架(如 ISO 27002),组织可以建立交叉参考来证明符合多种法规,包括 HIPAA、SOX、PCI DSS 和 GLBA。

与标准和法规不同,框架并不总是有合规要求。例如,ISO 27001 有特定的合规要求,而 ISO 27002 则没有。

在确定合规要求后,安全分析师应寻找能帮助组织遵守主要标准或法规的框架。这就是 ISO 27002 如何支持 ISO 27001 的方式。

如何选择 IT 安全框架

多种因素促使选择特定的安全框架,包括行业或合规要求。例如,上市公司可能希望使用 COBIT 来遵守 SOX,而医疗保健行业可能会考虑 HITRUST 框架来遵守 HITECH 法案。相比之下,ISO 27000 系列信息安全标准和框架适用于公共和私营部门。

ISO 标准的实施通常耗时,但当组织需要通过 ISO 27000 认证来证明其信息安全能力时,它们很有帮助。虽然 NIST SP 800-53 是美国联邦机构要求的标准,但任何组织都可以用它来构建特定技术的信息安全计划。

顶级 IT 安全标准和框架

以下标准和框架可帮助安全专业人员组织和管理信息安全计划。在这些框架中,唯一糟糕的选择是不选择其中任何一个。

1. ISO 27000 系列

ISO 27000 系列由国际标准化组织开发。它是一个灵活的网络安全框架,适用于所有类型和规模的组织。

两个主要标准——ISO 27001 和 27002——建立了创建信息安全管理体系 (ISMS) 的要求和程序。拥有 ISMS 是一项重要的审计和合规活动。ISO 27000 包含概述和词汇,并定义了 ISMS 要求。ISO 27002 规定了制定 ISMS 控制措施的实践准则。

遵守 ISO 27000 系列标准是通过审计和认证过程建立的,通常由 ISO 和其他认可机构批准的第三方组织提供。

ISO 27000 系列有 60 项标准,涵盖了广泛的网络安全问题,包括:

  • ISO 27017: 描述云环境的安全控制。
  • ISO 27018: 解决云计算中个人身份信息 (PII) 的保护问题。
  • ISO 27031: 提供业务连续性及相关活动的指导。
  • ISO 27037: 解决数字证据的收集和保护。
  • ISO 27040: 解决存储安全问题。
  • ISO 27400: 涵盖物联网安全和隐私。
  • ISO 27799: 定义了医疗保健中的信息安全。

2. NIST SP 800-53

NIST 开发了大量的 IT 标准,其中许多专注于信息安全。NIST SP 800 系列首次发布于 1990 年,几乎涉及信息安全的各个方面,并且越来越关注云安全。

SP 800-53 是美国政府机构的信息安全基准,并在私营部门广泛使用。它有助于促进信息安全框架的发展,包括 NIST 网络安全框架 (CSF)。

3. NIST SP 800-171

SP 800-171 由于美国国防部关于承包商遵守安全框架的要求而广受欢迎。政府承包商因其靠近联邦系统而经常成为网络攻击的目标。为了竞标联邦和州的商业机会,制造商和分包商必须拥有一个网络安全框架。

SP 800-171 框架中包含的控制措施与 SP 800-53 直接相关,但详细程度较低且更通用。如果一个组织必须证明符合 SP 800-53,则可以以 SP 800-171 为基础,在两者之间建立交叉参考。这为小型组织提供了灵活性——他们可以使用 SP 800-53 中包含的额外控制措施来展示其成长过程中的合规性。

4. NIST CSF

NIST 改进关键基础设施网络安全框架(后来称为 NIST CSF)是根据 2013 年发布的第 13636 号行政命令制定的。它的创建是为了解决美国关键基础设施问题,包括能源生产、供水、食品供应、通信、医疗保健服务和交通运输。这些行业必须保持高度的戒备状态,因为它们都曾成为国家行为者的目标。

与其他 NIST 框架不同,CSF 侧重于网络安全风险分析和风险管理。该框架中的安全控制基于风险管理的五个阶段:识别、保护、检测、响应和恢复。与所有 IT 安全计划一样,这些阶段需要高级管理层的支持。NIST CSF 适用于公共和私营部门。

2024 年发布的 CSF 2.0 扩大了该框架对所有规模组织的适用性,扩展了其响应核心功能活动,增加了一个新的核心功能以强调治理的重要性,并使勒索软件和供应链威胁更加突出。

5. NIST SP 1800 系列

NIST SP 1800 系列,也称为 NIST 网络安全实践指南,是一套补充 SP 800 系列标准和框架的文件。这些指南提供了如何在现实世界应用中实施和应用基于标准的网络安全技术的信息。

SP 1800 系列出版物提供以下内容:

  • 具体情境和能力的示例。
  • 基于经验的、使用多种产品实现预期结果的实践方法。
  • 适用于所有规模组织的能力的模块化实施指南。
  • 所需组件的规范以及安装、配置和集成信息,以便组织可以轻松地自行复制该过程。

指南包括实施零信任、DevSecOps 实践、移动设备安全、5G 安全和数据保密性。

6. COBIT

COBIT 于 1990 年代中期由独立 IT 治理专业组织 ISACA 开发。ISACA 提供著名的注册信息系统审计师和注册信息安全经理认证。

COBIT 最初侧重于降低 IT 风险。2012 年发布的 COBIT 5 包含了新技术和业务趋势,以帮助组织平衡 IT 和业务目标。当前版本是 COBIT 2019。它是实现 SOX 合规性最常用的框架。大量出版物和专业认证涉及 COBIT 要求。

7. CIS 关键安全控制

互联网安全中心 (CIS) 关键安全控制,版本 8.1(前身为 SANS Top 20)列出了可应用于任何环境的技术安全和运营控制。它不像 NIST CSF 那样涉及风险分析或风险管理;而是完全专注于降低技术基础设施的风险并提高其弹性。它在 2024 年进行了更新,以与更新的 NIST CSF 2.0 保持一致。

18 项 CIS 控制包括:

  • 企业资产的盘点和控制。
  • 数据保护。
  • 审计日志管理。
  • 恶意软件防御。
  • 渗透测试。

CIS 控制与现有的风险管理框架相关联,以帮助补救已识别的风险。对于缺乏技术安全经验的 IT 部门来说,它们是宝贵的资源。

8. HITRUST 通用安全框架 (CSF)

HITRUST 通用安全框架 (CSF) 包括风险分析和风险管理框架,以及运营要求。该框架有 14 个不同的控制类别,几乎适用于任何组织,包括医疗保健。类别包括访问控制、人力资源安全、风险管理、物理和环境安全以及隐私实践。

HITRUST CSF 是一项艰巨的任务,因为它在文档和流程方面赋予了很大的权重。因此,许多组织最终将 HITRUST 的范围限定在较小的重点领域。获取和维护 HITRUST 认证的成本增加了采用该框架所需的工作量。该认证由第三方审核,这增加了一定的有效性。

9. GDPR

欧盟的 GDPR 是一个安全要求框架,全球组织必须实施该框架以保护欧盟公民个人数据的安全和隐私。

GDPR 要求包括限制未经授权访问存储数据的控制措施以及访问控制措施,例如最小权限原则、基于角色的访问和多因素认证 (MFA)。未能遵守 GDPR 要求可能会导致巨额罚款。

10. COSO

Treadway 委员会发起组织委员会是五个专业协会的联合倡议,已发布两个互补的框架。其于 1992 年发布并于 2013 年更新的《内部控制——整合框架》帮助公司实现基于风险的内部控制方法。它涵盖了以下组成部分,称为五大支柱:

  • 控制环境。
  • 风险评估。
  • 控制活动。
  • 信息与沟通。
  • 监督活动。

COSO 正与全美公司董事协会合作开发公司治理框架。该框架预计将于 2025 年底发布,旨在统一美国上市公司现有的公司治理活动。它将补充现有的 COSO 框架,包括其企业风险管理框架。

11. PCI DSS

PCI DSS 是一套要求和指南,旨在帮助确保安全的商业交易并保护持卡人数据,包括信用卡号、有效期和安全码。

12 项 PCI DSS 要求包括:

  • 安装和维护网络安全控制。
  • 保护存储的账户数据。
  • 开发和维护安全的系统和软件。
  • 定期测试系统和网络安全。

它于 2004 年由五大信用卡公司创建,并于 2022 年更新至 4.0 版本,要求采取更严格的安全措施,例如 MFA 和强密码。2024 年发布的 4.0.1 版本没有增加或删除要求,但澄清了现有要求并更新了术语。

12. CMMC

网络安全成熟度模型认证是由美国国防部开发的一个框架,以确保政府批准的承包商遵守网络安全要求。它基于 NIST SP 800-171 中的控制措施和指南构建,并定义了以下三个认证级别:

  • 基础级:政府基础合同的最低安全要求。
  • 高级:适用于处理受控非保密信息的承包商。
  • 专家级:适用于处理高度机密信息的承包商。

CMMC 1.0 于 2020 年发布。2.0 版本于 2024 年定稿。

13. FISMA

《联邦信息安全现代化法案》与 NIST 风险管理框架紧密结合,为保护联邦政府数据和系统提供了一个安全框架。

FISMA 要求美国联邦机构以及处理联邦系统的第三方、承包商和供应商制定、记录和实施安全计划。合规要求包括持续监控、年度安全审查和基线安全控制,例如 NIST SP 800-53 中概述的那些。

FISMA 于 2002 年推出,并于 2014 年更新。目前正在进行立法更新工作。

14. NERC CIP

北美电力可靠性公司关键基础设施保护框架包括 14 项已批准和拟议的标准,适用于大电力系统内的公用事业公司。这些标准概述了监控、监管、管理和维护关键基础设施系统安全的推荐控制措施和政策。大电力系统的所有者、运营商和用户必须遵守 NERC CIP 框架。

CIP 标准包括:

  • CIP-004-7 网络安全——人员与培训。
  • CIP-008-6 网络安全——事件报告与响应计划。
  • CIP-013-2 网络安全——供应链风险管理。
  • CIP-014-3 物理安全。

15. SOC 2

系统和组织控制 2 是由美国注册会计师协会开发的框架,用于评估组织如何管理和保护数据。它是一种内部控制,使公司能够证明其满足以下信任服务标准:

  • 安全:在创建、使用、处理、传输和存储过程中保护数据并维护其隐私。专注于防止数据泄露、未经授权的访问以及对系统造成影响数据可用性、完整性和保密性的损害。
  • 可用性:实施控制措施,确保系统可操作、可用且受到监控。
  • 处理完整性:确认处理是完整、准确、及时、授权和安全的。
  • 保密性:保护指定为机密的数据。
  • 隐私:确保个人身份信息 (PII) 被正确收集、使用、保留、披露和处置。

由第三方注册会计师执行的 SOC 2 审计检查组织的控制是否符合 SOC 2 标准。虽然不是法律要求,但许多客户用它来评估其供应商和服务提供商的安全和隐私控制。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次