實(shí)施信息安全計(jì)劃的挑戰(zhàn)非常大。我們需要考慮很多方面，從加密到應(yīng)用安全，再到災(zāi)難恢復(fù)。當(dāng)然還有合規(guī)問(wèn)題，企業(yè)需要遵守很多法規(guī)要求，例如HIPAA、PCI DSS和Sarbanes-Oxley。安全專(zhuān)業(yè)人士應(yīng)該如何安排其工作來(lái)建立和維護(hù)信息安全計(jì)劃呢?

這正是IT安全框架和標(biāo)準(zhǔn)的用武之地。在本文中，我們將深入研究什么是信息安全框架，并討論一些比較流行的框架以及如何使用它們。

什么是IT安全框架?

信息安全框架是指一系列文檔化流程，這些流程用來(lái)定義在企業(yè)環(huán)境部署和持續(xù)管理信息安全控制所涉及的政策和程序。這些框架基本上是一個(gè)“藍(lán)圖”，用來(lái)幫助企業(yè)建立信息安全計(jì)劃，從而管理風(fēng)險(xiǎn)和減少漏洞。信息安全專(zhuān)業(yè)人員可以利用這些框架對(duì)構(gòu)建安全性到企業(yè)的任務(wù)來(lái)定義和優(yōu)先排序。

這些框架往往被定制來(lái)解決具體信息安全問(wèn)題，就像建筑藍(lán)圖用來(lái)滿(mǎn)足其所需要的規(guī)格和用途一樣。這些框架都是針對(duì)特定的行業(yè)以及不同的合規(guī)性目標(biāo)。這些框架還有不同程度的復(fù)雜性和規(guī)模。然而，你會(huì)發(fā)現(xiàn)，隨著這些框架的改進(jìn)，從一般安全概念來(lái)看，這些框架存在相當(dāng)多的重疊。

框架案例

COBIT

信息系統(tǒng)和技術(shù)控制目標(biāo)(COBIT)是ISACA(IT管理專(zhuān)業(yè)人士的獨(dú)立組織)在90年代中期開(kāi)發(fā)的框架。ISACA目前提供知名的認(rèn)證信息系統(tǒng)審計(jì)師認(rèn)證(CISA)和信息安全管理員認(rèn)證(CISM)。該框架開(kāi)始主要專(zhuān)注于減少企業(yè)的技術(shù)風(fēng)險(xiǎn)，但在COBIT5中還涵蓋了讓IT遵守企業(yè)戰(zhàn)略目標(biāo)的內(nèi)容。這個(gè)框架是滿(mǎn)足Sarbanes-Oxley法規(guī)最常用的框架。

ISO 27000系列

ISO 27000系列是由國(guó)際標(biāo)準(zhǔn)化組織開(kāi)發(fā)的。它提供非常廣泛的信息安全框架，可以應(yīng)用于所有類(lèi)型和規(guī)模的企業(yè)。它也可以被認(rèn)為是相當(dāng)于制造業(yè)的ISO 9000質(zhì)量標(biāo)準(zhǔn)，甚至還包括一個(gè)類(lèi)似的認(rèn)證過(guò)程。從內(nèi)容來(lái)看，該系列被劃分成不同的子標(biāo)準(zhǔn)。例如，ISO 27000包含概述和詞匯，而ISO 27001則定義了該項(xiàng)目的要求。ISO 27002從英國(guó)標(biāo)準(zhǔn)BS7799演變而來(lái)，定義了信息安全項(xiàng)目中必要的可操作步驟。

在ISO 27000系列中，還有很多其它標(biāo)準(zhǔn)和最佳實(shí)踐。例如，ISO 27799定義了醫(yī)療保健領(lǐng)域的信息安全，這對(duì)于需要HIPAA合規(guī)的企業(yè)來(lái)說(shuō)很有用。新的ISO27000標(biāo)準(zhǔn)則提供了云計(jì)算、存儲(chǔ)安全和數(shù)字取證的具體建議。ISO 27000很廣泛，可以用于任何行業(yè)，但該認(rèn)證主要用于想要展示積極的安全計(jì)劃的云服務(wù)供應(yīng)商。

NIST SP 800系列

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所已收集了大量的信息安全標(biāo)準(zhǔn)和最佳實(shí)踐文檔。他們?cè)?990年首次出版了NIST Special Publication 800系列，該系列現(xiàn)在已經(jīng)發(fā)展到提供涉及幾乎每個(gè)方面的信息安全建議。雖然不是具體的信息安全框架，但NIST SP 800-53是其它框架的“原始”模型。美國(guó)政府機(jī)構(gòu)利用NIST SP 800-53來(lái)遵守聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS )的200條要求。盡管這是針對(duì)政府機(jī)構(gòu)的標(biāo)準(zhǔn)，這個(gè)NIST框架可以適用于其它任何行業(yè)，對(duì)于試圖建立信息安全計(jì)劃的企業(yè)，不應(yīng)該忽略這個(gè)框架。

所有這些框架的優(yōu)勢(shì)在于，它們之間存在很多重疊，所以我們可以在它們之間建立“通道”來(lái)顯示不同監(jiān)管標(biāo)準(zhǔn)的合規(guī)性。例如，ISO 27002在第5節(jié)定義了信息安全政策;COBIT則在“計(jì)劃和組織”中進(jìn)行了定義;Sarbanes Oxley將其定義為“內(nèi)部環(huán)境”;HIPAA將其定義為“指定的安全責(zé)任”;而PCI DSS則將其定義為“維護(hù)信息安全政策”。通過(guò)使用共同的框架(例如ISO 27000)，企業(yè)可以使用這個(gè)通道程序來(lái)遵守多種法規(guī)，例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

建議和總結(jié)

具體使用哪個(gè)IT安全框架由多個(gè)因素影響。但行業(yè)類(lèi)型或合規(guī)要求將是決定性因素。公開(kāi)上市的企業(yè)可能想要使用COBIT來(lái)更好地遵守Sarbanes Oxley法案。而ISO 27000系列是信息安全框架的代表作，能夠用于任何行業(yè)，盡管部署過(guò)程很漫長(zhǎng)。并且，該框架最好用在企業(yè)需要通過(guò)ISO 27000認(rèn)證推廣信息安全功能的領(lǐng)域。NIST SP 800-53則是美國(guó)聯(lián)邦機(jī)構(gòu)規(guī)定的標(biāo)準(zhǔn)，但也可以幫助企業(yè)構(gòu)建特定的技術(shù)信息安全計(jì)劃。這些框架將幫助安全專(zhuān)業(yè)人士組織和管理信息安全計(jì)劃。另外，企業(yè)最糟糕的做法就是不使用任何框架。