CIS控制
此條目過於依賴第一手來源。 (2023年5月30日) |
CIS控制(CIS Controls,以前的英文名稱是Center for Internet Security Critical Security Controls for Effective Cyber Defense)是電腦安全裡的最佳實踐指南。此計劃是在2008年因應美國國防產業中的大量資料外流而發起的[1]。此指南最早是由系統網路安全協會所發起,後來所有權在2013年轉移到網路安全理事會(Council on Cyber Security),於2015年轉移到網際網路安全中心(CIS)。
目的
指南中包括18項(最早是20項)行動,稱為關鍵安全控制(critical security controls,CSC),是組織為了要阻擋攻擊或是減緩攻擊,應該要實施的控制措施, 這些控制措施的設計主要是為了可以用自動化方式實現、強化或是監控[2]。安全控制中的內容是針對網路安全可以執行的建議,其文字是用資訊科技人員容易理解的文字[3]。其共識審計指南中的目的包括
- 利用網路攻擊的資訊來加強網路防禦,重點在高報酬的區域。
- 確保安全上的投資是專注對抗最大的威脅。
- 在施行安全控制上,盡可能的使用自動化工具,避免人員的錯誤
- 用共識過程搜集最佳創意[4]
參考資料
- ^ "Gilligan Group Inc., CAG Background and Participants". [2023-05-30]. (原始內容存檔於2016-03-04).
- ^ “Understanding Technology Stakeholders: Their Progress and Challenges” by John M. Gilligan, Software Assurance Forum, 2009-11-04 (PDF). [2023-05-30]. (原始內容存檔 (PDF)於2011-09-28).
- ^ 「Consensus Audit Guidelines: Overview」 by Lieberman Software Corporation
- ^ “Consensus Audit Guidelines: Time to ‘Stop The Bleeding’” by John M. Gilligan, 10th Semi-Annual Software Assurance Forum, 2009-03-12 (PDF). [2023-05-30]. (原始內容存檔 (PDF)於2010-05-28).