CIS的20项控制措施分为三个部分,分别为1)基本管控(Basic 共6项);2)基础性管控(Foundational 共10项);3)全组织机构范围的管控(Organizational 共4项)。
继前两期分别介绍6项基本管控措施和10项基础性管控措施后,本期着重介绍最后4项全组织结构范围的管控中子集IG1。
十七、实施安全意识和培训计划(Implement a Security Awareness and Training Program)
对于机构中的所有职能角色(优先考虑那些对业务及其安全至关重要的任务),确定支撑企业防御所需的特定知识、技能和能力;制定和实施一个综合性计划来评估、发现差距,并通过政策、有组织的规划、培训和提高意识来进行补救。实施要点:
1、进行技能差距分析,来了解员工所不具备的技能和不遵循的行为,以此信息来构建培训的基础路线图。
2、培训员工如何识别社交网络***的不同形式,如网络钓鱼、电话诈骗和假冒电话。
IG1具体措施为:
1、实施安全意识培训计划。
2、对员工进行安全认证培训。
3、培训员工如何识别社交媒体***。
4、培训员工如何处理敏感数据。
5、培训员工了解不小心暴露数据的各种原因。
6、培训员工识别和报告事故。
十八、应用软件安全(Application Software Security)
管理所有内部开发和采购软件的安全生命周期,以防止、检测和纠正其存在的安全缺陷。实施要点:
1、建立适合于所使用的编程语言和开发环境的安全编程实践。
2、使用静态和动态分析工具来验证内部软件开发是否遵循安全编码的实践。
本项管控对IG1没有具体要求。
十九、事件响应与管理(Incident Response and Management)
通过开发和实施事件响应基础设施(如计划、定义角色、培训、沟通、管理失误),保护机构的信息以及声誉,以快速发现***,有效止损,将***者清场,恢复网络和系统的完整性。实施要点:
1、确保有书面的事件响应计划,定义人员的角色以及事件处理/管理的各个阶段。
2、收集和维护第三方联系信息用于通报安全事件,如执法部门、相关政府部门、供应商以及信息共享的合作伙伴。
IG1具体措施为:
1、文档化事件响应程序。
2、指定具体的管理人员来支持事件处理。
3、维护通报安全事件的联系信息。
4、发布有关报告计算机异常和事件的信息。
二十、***测试和红队演练(Penetration Tests and Red Team Exercises)
通过模拟***者的目标和行动来测试机构的整体防御能力(技术、流程和人员)。实施要点:
1、建立一个***测试的计划,包括全方位的混合***,如无线***、基于客户端的***和web应用的***。
2、创建一个模拟生产环境的测试台,用于特定的***测试,让红队***那些通常不在生产环境中测试的元素,例如对监控系统、数据采集系统以及其他控制系统的***。
本项管控对IG1没有具体要求。
THE END
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。