在2018年,CIS控制发布v7版本,总共20个控制分类,这些控制项广泛来源于各行业各组织的实践,用于抵抗当今威胁环境中的攻击,得到了较广泛的认可和使用。
其中特意强调安全控制的执行顺序和优先级,以确保这些控制的使用效果,正如CIS所指出的那样,关键的安全控制使用优先级帮助组织确定其数字防御从哪里开始,将资源集中在可以针对高风险项目提供保护的行动上,然后将剩余的时间和精力投入到解决业务的其他数字风险源上。
但CIS 控制项不是静态的,他们定期经历一个非正式的社区过程,在这个过程中,行业,政府和学术界的独立审查控制。然后,可以根据组织不断变化的网络环境和威胁的变化发布更新。CIS Control v8 的安全更新,包括适应云和移动技术相关的要求。(关于前者,互联网安全中心甚至创建了一个全新的控件,旨在帮助组织管理其云服务提供商。
主要的变化为,将原有20个控制项减少到了18个,并且进行了合并和顺序的调整。从下图官方对控制的变化可以看出安全的防护重心的调整和优化:
-
数据保护从控制13提升到控制3,实施的优先级被大大提升,说明了数据保护的重要性。
-
持续性的漏洞管理的优先级下降,是否也说明了漏洞管理是基础,但不能完全以漏洞管理作为主要任务而忽略了安全架构,比如访问管理等;
-
原有的特权管理和账号的监控和控制合并和分成账户管理和访问控制管理,更加符合当前IAM的管控能力,突出了身份的重要性;
-
原有的网络设备的安全配置,更名为网络基础架构管理,更符合云基础环境的描述
-
增加了服务供应商的管理,主要应对客户云化和复杂的环境下,对供应商的要求。制定一个流程来评估持有敏感数据或负责企业关键IT平台或流程的服务提供商,以确保这些提供商适当地保护这些平台和数据。
-
2193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
