實施信息安全計劃的挑戰(zhàn)非常大。我們需要考慮很多方面，從加密到應(yīng)用安全，再到災(zāi)難恢復(fù)。當(dāng)然還有合規(guī)問題，企業(yè)需要遵守很多法規(guī)要求，例如HIPAA、PCI DSS和Sarbanes-Oxley。安全專業(yè)人士應(yīng)該如何安排其工作來建立和維護(hù)信息安全計劃呢?

這正是IT安全框架和標(biāo)準(zhǔn)的用武之地。在本文中，我們將深入研究什么是信息安全框架，并討論一些比較流行的框架以及如何使用它們。

什么是IT安全框架?

信息安全框架是指一系列文檔化流程，這些流程用來定義在企業(yè)環(huán)境部署和持續(xù)管理信息安全控制所涉及的政策和程序。這些框架基本上是一個“藍(lán)圖”，用來幫助企業(yè)建立信息安全計劃，從而管理風(fēng)險和減少漏洞。信息安全專業(yè)人員可以利用這些框架對構(gòu)建安全性到企業(yè)的任務(wù)來定義和優(yōu)先排序。

這些框架往往被定制來解決具體信息安全問題，就像建筑藍(lán)圖用來滿足其所需要的規(guī)格和用途一樣。這些框架都是針對特定的行業(yè)以及不同的合規(guī)性目標(biāo)。這些框架還有不同程度的復(fù)雜性和規(guī)模。然而，你會發(fā)現(xiàn)，隨著這些框架的改進(jìn)，從一般安全概念來看，這些框架存在相當(dāng)多的重疊。

框架案例

COBIT

信息系統(tǒng)和技術(shù)控制目標(biāo)(COBIT)是ISACA(IT管理專業(yè)人士的獨立組織)在90年代中期開發(fā)的框架。ISACA目前提供知名的認(rèn)證信息系統(tǒng)審計師認(rèn)證(CISA)和信息安全管理員認(rèn)證(CISM)。該框架開始主要專注于減少企業(yè)的技術(shù)風(fēng)險，但在COBIT5中還涵蓋了讓IT遵守企業(yè)戰(zhàn)略目標(biāo)的內(nèi)容。這個框架是滿足Sarbanes-Oxley法規(guī)最常用的框架。

ISO 27000系列

ISO 27000系列是由國際標(biāo)準(zhǔn)化組織開發(fā)的。它提供非常廣泛的信息安全框架，可以應(yīng)用于所有類型和規(guī)模的企業(yè)。它也可以被認(rèn)為是相當(dāng)于制造業(yè)的ISO 9000質(zhì)量標(biāo)準(zhǔn)，甚至還包括一個類似的認(rèn)證過程。從內(nèi)容來看，該系列被劃分成不同的子標(biāo)準(zhǔn)。例如，ISO 27000包含概述和詞匯，而ISO 27001則定義了該項目的要求。ISO 27002從英國標(biāo)準(zhǔn)BS7799演變而來，定義了信息安全項目中必要的可操作步驟。

在ISO 27000系列中，還有很多其它標(biāo)準(zhǔn)和最佳實踐。例如，ISO 27799定義了醫(yī)療保健領(lǐng)域的信息安全，這對于需要HIPAA合規(guī)的企業(yè)來說很有用。新的ISO27000標(biāo)準(zhǔn)則提供了云計算、存儲安全和數(shù)字取證的具體建議。ISO 27000很廣泛，可以用于任何行業(yè)，但該認(rèn)證主要用于想要展示積極的安全計劃的云服務(wù)供應(yīng)商。

NIST SP 800系列

美國國家標(biāo)準(zhǔn)與技術(shù)研究所已收集了大量的信息安全標(biāo)準(zhǔn)和最佳實踐文檔。他們在1990年首次出版了NIST Special Publication 800系列，該系列現(xiàn)在已經(jīng)發(fā)展到提供涉及幾乎每個方面的信息安全建議。雖然不是具體的信息安全框架，但NIST SP 800-53是其它框架的“原始”模型。美國政府機構(gòu)利用NIST SP 800-53來遵守聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS )的200條要求。盡管這是針對政府機構(gòu)的標(biāo)準(zhǔn)，這個NIST框架可以適用于其它任何行業(yè)，對于試圖建立信息安全計劃的企業(yè)，不應(yīng)該忽略這個框架。

所有這些框架的優(yōu)勢在于，它們之間存在很多重疊，所以我們可以在它們之間建立“通道”來顯示不同監(jiān)管標(biāo)準(zhǔn)的合規(guī)性。例如，ISO 27002在第5節(jié)定義了信息安全政策;COBIT則在“計劃和組織”中進(jìn)行了定義;Sarbanes Oxley將其定義為“內(nèi)部環(huán)境”;HIPAA將其定義為“指定的安全責(zé)任”;而PCI DSS則將其定義為“維護(hù)信息安全政策”。通過使用共同的框架(例如ISO 27000)，企業(yè)可以使用這個通道程序來遵守多種法規(guī)，例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

建議和總結(jié)

具體使用哪個IT安全框架由多個因素影響。但行業(yè)類型或合規(guī)要求將是決定性因素。公開上市的企業(yè)可能想要使用COBIT來更好地遵守Sarbanes Oxley法案。而ISO 27000系列是信息安全框架的代表作，能夠用于任何行業(yè)，盡管部署過程很漫長。并且，該框架最好用在企業(yè)需要通過ISO 27000認(rèn)證推廣信息安全功能的領(lǐng)域。NIST SP 800-53則是美國聯(lián)邦機構(gòu)規(guī)定的標(biāo)準(zhǔn)，但也可以幫助企業(yè)構(gòu)建特定的技術(shù)信息安全計劃。這些框架將幫助安全專業(yè)人士組織和管理信息安全計劃。另外，企業(yè)最糟糕的做法就是不使用任何框架。