CIS控制
此条目过于依赖第一手来源。 (2023年5月30日) |
CIS控制(CIS Controls,以前的英文名称是Center for Internet Security Critical Security Controls for Effective Cyber Defense)是电脑安全里的最佳实践指南。此计划是在2008年因应美国国防产业中的大量资料外流而发起的[1]。此指南最早是由系统网络安全协会所发起,后来所有权在2013年转移到网络安全理事会(Council on Cyber Security),于2015年转移到互联网安全中心(CIS)。
目的
指南中包括18项(最早是20项)行动,称为关键安全控制(critical security controls,CSC),是组织为了要阻挡攻击或是减缓攻击,应该要实施的控制措施, 这些控制措施的设计主要是为了可以用自动化方式实现、强化或是监控[2]。安全控制中的内容是针对网络安全可以执行的建议,其文字是用资讯科技人员容易理解的文字[3]。其共识审计指南中的目的包括
- 利用网络攻击的资讯来加强网络防御,重点在高报酬的区域。
- 确保安全上的投资是专注对抗最大的威胁。
- 在施行安全控制上,尽可能的使用自动化工具,避免人员的错误
- 用共识过程搜集最佳创意[4]
参考资料
- ^ "Gilligan Group Inc., CAG Background and Participants". [2023-05-30]. (原始内容存档于2016-03-04).
- ^ “Understanding Technology Stakeholders: Their Progress and Challenges” by John M. Gilligan, Software Assurance Forum, 2009-11-04 (PDF). [2023-05-30]. (原始内容存档 (PDF)于2011-09-28).
- ^ “Consensus Audit Guidelines: Overview” by Lieberman Software Corporation
- ^ “Consensus Audit Guidelines: Time to ‘Stop The Bleeding’” by John M. Gilligan, 10th Semi-Annual Software Assurance Forum, 2009-03-12 (PDF). [2023-05-30]. (原始内容存档 (PDF)于2010-05-28).