網絡安全框架主要包括安全控制框架（SCF）、安全管理框架（SMP）和安全治理框架（SGF）等類型。對于那些希望按照行業最佳實踐來開展網絡安全能力建設的企業來說，理解并實施強大的網絡安全框架至關重要。本文收集整理了目前行業中已被廣泛應用的10種較流行網絡安全框架，并對其應用特點進行了簡要分析。

01CIS關鍵安全控制

CIS關鍵安全控制（CIS Controls）框架提供了一系列簡單的、清晰的、規范化的網絡安全防護最佳實踐，可用于增強組織的網絡安全態勢。框架中所列舉的控制措施是全球數千名網絡安全專家在達成共識的情況下不斷發展完善而來的。該框架可以幫助企業簡化威脅防護、遵守行業監管法規、做好網絡安全基本功、將信息轉化為實際行動以及遵守法律法規。

傳送門：

https://www.cisecurity.org/controls

02COBIT

COBIT（即信息和相關技術的控制目標）來自ISACA（國際信息系統審計協會），是一個強大的IT管理和治理框架。該框架以數字化業務發展為中心，為IT管理定義了一組通用流程，每個流程都融合了流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型等因素。業內專業人士表示，COBIT是解決企業組織信息和技術治理和管理的模型，雖然其主要目的不是專門針對網絡安全風險，但在整個框架中整合了多種風險實踐，并引用了多個全球公認的風險框架。COBIT框架主要由以下五個部分組成：體系架構、流程描述、控制目標、管理指導方針以及成熟度模型。

傳送門：

https://www.isaca.org/resources/cobit

03CSA云控制矩陣（CCM）

CSA云控制矩陣（CCM）是一種專門為云計算量身定制的網絡安全控制框架。它包括了覆蓋17個安全領域的197個控制目標，涵蓋云應用安全的所有重要方面。該框架對于系統性地評估云實施非常有用，同時還為組織提供了實施哪種安全控制措施方面的建議。CSA云控制矩陣控制框架與CSA云計算安全指南保持一致，被認為是云安全保障和合規方面的應用實踐標準之一。

傳送門：

https://cloudsecurityalliance.org/research/cloud-controls-matrix/

04NIST網絡安全框架（CSF）

NIST網絡安全框架旨在幫助組織啟動或增強網絡安全計劃。它基于一套成熟的網絡安全建設實踐，有助于加強組織的網絡安全防御。該框架可以促進組織內、外部各方在網絡安全方面的協作與對話，尤其對于大型企業組織，該框架可以將網絡安全風險管理與更廣泛的企業風險管理策略相集成和協調。

這套框架可以幫助各類型的組織更有效地理解、管理和降低面臨的網絡安全風險，并保護網絡和數據。它為企業組織概述了一系列最佳實踐，有助于確定將時間和資金重點投入到哪個方面，從而確保有效地保護網絡安全。

傳送門：

https://hitrustalliance.net/product-tool/hitrust-csf/

05TARA

根據網絡安全公司MITRE的定義，TARA（威脅評估和補救分析）是一種網絡安全工程方法框架，用于識別和評估網絡安全漏洞并部署對策來緩解它們。TARA是一種在考慮緩解措施的同時確定關鍵風險的實用方法，其獨特之處包括使用目錄存儲的緩解映射方式，為給定的攻擊向量范圍預先選擇可能的對策，以及提供基于風險容忍度的對策。

該框架同時也是MITRE系統安全工程（SSE）實踐組合的一部分。MITRE方面表示，TARA評估方法可以被描述為聯合交易研究，其中第一個交易是基于評估的風險識別和排列攻擊向量，第二個交易是基于評估的效用、成本識別和選擇對策。

06SOGP

信息安全良好規范標準（SOGP）是由信息安全論壇（ISF）發布，這是一套以業務安全為重心、注重實用的綜合性安全實踐指南，主要可用于識別和管理組織及第三方供應鏈中的信息安全風險，從而在信息安全建設方面提供實用可靠的指引。該框架能夠幫助組織將當前的安全建設最佳實踐以及風險管理和合規框架落實到業務運營、信息安全計劃和政策中。該標準被目前已經被各類型組織的首席信息安全官（CISO）、信息安全經理廣泛采用。

傳送門：

https://en.wikipedia.org/wiki/Standard_of_Good_Practice_for_Information_Security

07OCTAVE

OCTAVE（運營關鍵威脅、資產和漏洞評估）由卡內基梅隆大學的計算機應急小組（CERT）開發，主要用于識別和管理信息安全風險的網絡安全框架。它可以從物理、技術和人力資源的角度來全面看待網絡安全，并可以識別企業組織關鍵任務資產，發現其中的威脅和漏洞OCTAVE-S是一種簡化方法，主要為具有扁平層次結構的小型企業組織而設計。而OCTAVE Allegro是一個更加全面的框架，適用于大型或結構復雜的企業組織。

08ISO / IEC 27001:2022

ISO/IEC 27001是一項全球公認的信息安全管理系統（ISMS）標準，設定了網絡和信息化系統必須滿足的安全標準。這項標準為各種規模的組織建立、實施、維護和持續增強其信息安全管理體系提供了全面的指導。ISO/IEC 27000系列中的十多項標準較全面地涵蓋了數據保護和網絡彈性方面的行業最佳實踐。它們共同使所有行業、各種規模的組織都能夠管理資產的安全性，比如財務信息、知識產權、員工數據以及第三方委托看管的信息等資產。

傳送門：

https://www.iso.org/standard/iso-iec-27000-family

09HITRUST CSF

HITRUST CSF是一種可認證的網絡安全框架，能夠為組織提供一種有效的方法來確保在數字化發展中的法律合規，并妥善管理網絡安全風險。它提供了必要的框架、透明度、指南以及交叉引用權威來源，幫助企業能夠確保遵守數據保護規定。早期版本的HITRUST CSF主要利用了美國國內的安全和隱私相關法規、標準及框架，包括ISO、NIST、PCI、HIPAA，以確保安全和隱私控制。在最新版本中，則吸納了更多國際公認的法規來源和應用實踐。

傳送門：

https://www.nist.gov/cyberframework/framework

10PCI DSS

支付卡行業數據安全標準（PCI DSS）是一種主要用于管理支付卡發卡機構信息安全的安全標準。這項標準由支付卡行業安全標準委員會（PCI SSC）制定并實施監管，需要各大支付卡機構共同遵守，其目的是加強對持卡人數據的管理，最大限度地減少信用卡欺詐。

PCI DSS不是一項法律或法規要求。然而，它已經成為處理和存儲信用卡、借記卡及其他支付卡交易的企業組織需要遵守的一項義務。只有滿足PCI DSS的要求，支付卡機構才能為其客戶建立和維護一個安全的環境。

傳送門：https://www.pcisecuritystandards.org/document_library/?document=pci_dss

參考鏈接：https://www.helpnetsecurity.com/2024/01/16/cybersecurity-frameworks/