用于IT安全和規范的差距分析方法
問:我需要按照一套已有的規定完成一個現有架構的差距分析。目的是找到差距,解決這些問題,從而使基礎架構達到中期總結報告的標準。你可以幫助我做這件事嗎,***步該從哪開始呢?
答:我的***個問題是:你所提到的已有的規定是什么?是PCI DSS、HIPAA、NERC CIP還是ISO 27001/2?
一旦明確了你需要滿足的規定,你就可以進行一個簡單的清單差距分析。下面是幾種建立和獲取體系架構審查清單的方法:
例如,可以將支付卡行業數據安全標準(PCI DSS)的自我評估問卷作為一個起點。對于HIPAA合規,可以在網上找到各種組織提供的現成清單,比如NIST清單。對于NERC CIP,我發現,只要你進行逐項條款而不是逐段條款,他們的標準——與可靠性標準審計工作表(RSAW)一起——可以作為一個相當體面的清單使用。
如果我沒有列出與您的組織規范相符合的標準,您可以在互聯網上搜索清單,也可根據你所關注的標準建立你自己的清單(下面將詳細講述)。
對于使用清單,我有如下建議:匯集了關于這個問題的內部專家(如類似你情況的網絡架構人員)嘗試過的標準,并確定以下內容:
1.目前的架構是否符合要求規定?
2.你能遵守這個規定嗎?
3.如果不符合要求,需要采取哪些行動來達到合規呢?
這個初步清單/標準***的審查方法是使用類似SharePoint的協作工具。在小組審查要求時,你可以跟蹤合規評估,收集和發布能夠證明合規的文件以及后期行動項目(包括責任和截止日期)。
***,一個可能會出現的問題是:“如果我沒有任何可用的清單該怎么辦?”在這種情況下,你需要做大量的工作,你需要閱讀標準和詳細研究滿足每一個要求的可能性,這樣來建立清單。在過去,我已經這樣做了,而且實際上,我采取了審計人員的做法:首先按照一個特定標準規定的要求建立一個問題清單,然后讓自己和內部團隊成員去檢測清單是否符合標準要求。這樣做可能開始有點慢,但到***你會完全了解標準的細節。
【編輯推薦】
