CIS控制(CIS Controls,以前的英文名稱是Center for Internet Security Critical Security Controls for Effective Cyber Defense)是電腦安全裡的最佳实践指南。此計劃是在2008年因應美國國防產業中的大量資料外流而發起的[1]。此指南最早是由系統網路安全協會英语SANS Institute所發起,後來所有權在2013年轉移到網路安全理事會(Council on Cyber Security),於2015年轉移到網際網路安全中心英语Center for Internet Security(CIS)。

目的

指南中包括18項(最早是20項)行動,稱為關鍵安全控制(critical security controls,CSC),是組織為了要阻擋攻擊或是減緩攻擊,應該要實施的控制措施, 這些控制措施的設計主要是為了可以用自動化方式實現、強化或是監控[2]。安全控制中的內容是針對網路安全可以執行的建議,其文字是用資訊科技人員容易理解的文字[3]。其共識審計指南中的目的包括

  • 利用網路攻擊的資訊來加強網路防禦,重點在高報酬的區域。
  • 確保安全上的投資是專注對抗最大的威脅。
  • 在施行安全控制上,盡可能的使用自動化工具,避免人員的錯誤
  • 用共識過程搜集最佳創意[4]

參考資料