CIS控制(CIS Controls,以前的英文名称是Center for Internet Security Critical Security Controls for Effective Cyber Defense)是电脑安全里的最佳实践指南。此计划是在2008年因应美国国防产业中的大量资料外流而发起的[1]。此指南最早是由系统网络安全协会英语SANS Institute所发起,后来所有权在2013年转移到网络安全理事会(Council on Cyber Security),于2015年转移到互联网安全中心英语Center for Internet Security(CIS)。

目的

指南中包括18项(最早是20项)行动,称为关键安全控制(critical security controls,CSC),是组织为了要阻挡攻击或是减缓攻击,应该要实施的控制措施, 这些控制措施的设计主要是为了可以用自动化方式实现、强化或是监控[2]。安全控制中的内容是针对网络安全可以执行的建议,其文字是用资讯科技人员容易理解的文字[3]。其共识审计指南中的目的包括

  • 利用网络攻击的资讯来加强网络防御,重点在高报酬的区域。
  • 确保安全上的投资是专注对抗最大的威胁。
  • 在施行安全控制上,尽可能的使用自动化工具,避免人员的错误
  • 用共识过程搜集最佳创意[4]

参考资料