详解15大IT安全框架与标准

什么是IT安全标准、法规和框架？

标准如同食谱，列出了需要遵循的步骤。一个管理良好的IT组织必须遵守标准中规定的要求。

相比之下，法规具有法律约束力。它们描述做事方式表明了政府和公众对法规中规定的规则和流程的支持。不遵守IT相关法规可能导致经济处罚和诉讼。

框架详细说明了如何开发、测试、执行和维护某些内容。网络安全框架是一系列记录的过程，定义了实施和管理信息安全控制的政策和程序。此类框架是管理风险和减少漏洞的蓝图。

信息安全专业人员使用框架来定义和优先处理管理企业安全所需的任务。框架还有助于为合规性和其他IT审计做准备。因此，它们必须支持标准或法规中定义的特定要求。

为什么安全框架很重要？

框架为建立信息安全管理的过程、政策和管理活动提供了起点。

安全要求经常重叠，形成可用于证明符合不同监管标准的"交叉参考"。例如，信息安全政策在以下标准中定义：

• ISO 27002在第5节中定义
• 信息及相关技术的控制目标（COBIT）在"对齐、规划和组织"部分定义
• HIPAA在"指定的安全责任"部分定义
• PCI DSS在"维护信息安全政策"部分定义

如何选择IT安全框架

多个因素驱动选择特定安全框架，包括行业或合规要求。例如，上市公司可能希望使用COBIT来遵守SOX，而医疗保健部门可能会考虑HITRUST框架来遵守HITECH法案。相比之下，ISO 27000系列信息安全标准和框架适用于公共和私营部门。

顶级IT安全标准和框架

以下标准和框架帮助安全专业人员组织和管理信息安全计划。在这些框架中唯一糟糕的选择是不选择任何框架。

1. ISO 27000系列

ISO 27000系列由国际标准化组织开发。这是一个适用于各种类型和规模组织的灵活网络安全框架。

两个主要标准——ISO 27001和27002——建立了创建信息安全管理体系（ISMS）的要求和程序。拥有ISMS是一项重要的审计和合规活动。ISO 27000包括概述和词汇，并定义了ISMS要求。ISO 27002规定了开发ISMS控制的实践准则。

2. NIST SP 800-53

NIST开发了广泛的IT标准库，其中许多专注于信息安全。首次发布于1990年，NIST SP 800系列几乎涵盖了信息安全的各个方面，越来越关注云安全。

SP 800-53 Rev. 5：信息系统和组织安全与隐私控制是美国政府机构的信息安全基准，并广泛用于私营部门。

3. NIST SP 800-171

SP 800-171 Rev. 3：保护非联邦系统和组织中的受控非机密信息由于美国国防部关于承包商遵守安全框架的要求而越来越受欢迎。

4. NIST CSF

NIST关键基础设施网络安全改进框架，后来称为NIST CSF，是根据2013年发布的行政命令13636开发的。

5. NIST SP 1800系列

NIST SP 1800系列，也称为NIST网络安全实践指南，是一套补充SP 800系列标准和框架的文件。

6. COBIT

COBIT由IT治理专业人员的独立组织ISACA在1990年代中期开发。

7. CIS控制措施

互联网安全中心（CIS）关键安全控制措施，版本8.1——前身为SANS Top 20——列出了可应用于任何环境的技术安全和操作控制措施。

8. HITRUST通用安全框架

HITRUST通用安全框架（CSF）包括风险分析和风险管理框架，以及操作要求。

9. GDPR

欧盟的GDPR是一个安全要求框架，全球组织必须实施以保护欧盟公民个人信息的安保和隐私。

10. COSO

特雷德韦委员会赞助组织委员会是五个专业协会的联合倡议，发布了两个互补框架。

11. PCI DSS

PCI DSS是一套要求和指南，旨在帮助确保安全的商业交易并保护持卡人数据，包括信用卡号、有效期和安全码。

12. CMMC

网络安全成熟度模型认证是由美国国防部开发的框架，以确保政府批准的承包商遵守网络安全要求。

13. FISMA

联邦信息安全现代化法案与NIST风险管理框架紧密对齐，为保护联邦政府数据和系统提供了安全框架。

14. NERC CIP

北美电力可靠性公司关键基础设施保护框架包括14个已批准和拟议的标准，适用于大电力系统内的公用事业公司。

15. SOC 2

系统和组织控制2是由美国注册会计师协会开发的框架，评估组织如何管理和保护数据。