CIS的20項控制措施分爲三個部分,分別爲1)基本管控(Basic 共6項);2)基礎性管控(Foundational 共10項);3)全組織機構範圍的管控(Organizational 共4項)。
繼前兩期分別介紹6項基本管控措施和10項基礎性管控措施後,本期着重介紹最後4項全組織結構範圍的管控中子集IG1。
十七、實施安全意識和培訓計劃(Implement a Security Awareness and Training Program)
對於機構中的所有職能角色(優先考慮那些對業務及其安全至關重要的任務),確定支撐企業防禦所需的特定知識、技能和能力;制定和實施一個綜合性計劃來評估、發現差距,並通過政策、有組織的規劃、培訓和提高意識來進行補救。實施要點:
1、進行技能差距分析,來了解員工所不具備的技能和不遵循的行爲,以此信息來構建培訓的基礎路線圖。
2、培訓員工如何識別社交網絡***的不同形式,如網絡釣魚、電話詐騙和假冒電話。
IG1具體措施爲:
1、實施安全意識培訓計劃。
2、對員工進行安全認證培訓。
3、培訓員工如何識別社交媒體***。
4、培訓員工如何處理敏感數據。
5、培訓員工瞭解不小心暴露數據的各種原因。
6、培訓員工識別和報告事故。
十八、應用軟件安全(Application Software Security)
管理所有內部開發和採購軟件的安全生命週期,以防止、檢測和糾正其存在的安全缺陷。實施要點:
1、建立適合於所使用的編程語言和開發環境的安全編程實踐。
2、使用靜態和動態分析工具來驗證內部軟件開發是否遵循安全編碼的實踐。
本項管控對IG1沒有具體要求。
十九、事件響應與管理(Incident Response and Management)
通過開發和實施事件響應基礎設施(如計劃、定義角色、培訓、溝通、管理失誤),保護機構的信息以及聲譽,以快速發現***,有效止損,將***者清場,恢復網絡和系統的完整性。實施要點:
1、確保有書面的事件響應計劃,定義人員的角色以及事件處理/管理的各個階段。
2、收集和維護第三方聯繫信息用於通報安全事件,如執法部門、相關政府部門、供應商以及信息共享的合作伙伴。
IG1具體措施爲:
1、文檔化事件響應程序。
2、指定具體的管理人員來支持事件處理。
3、維護通報安全事件的聯繫信息。
4、發佈有關報告計算機異常和事件的信息。
二十、***測試和紅隊演練(Penetration Tests and Red Team Exercises)
通過模擬***者的目標和行動來測試機構的整體防禦能力(技術、流程和人員)。實施要點:
1、建立一個***測試的計劃,包括全方位的混合***,如無線***、基於客戶端的***和web應用的***。
2、創建一個模擬生產環境的測試臺,用於特定的***測試,讓紅隊***那些通常不在生產環境中測試的元素,例如對監控系統、數據採集系統以及其他控制系統的***。
本項管控對IG1沒有具體要求。
THE END
關於全息網禦:全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術,結合機器學習(人工智能),發現並實時重構網絡中不可見的”用戶-設備-數據”互動關係,推出以用戶行爲爲核心的信息安全風險感知平臺,爲企業的信息安全管理提供無感知、無死角的智能追溯系統,高效精準的審計過去、監控現在、防患未來,極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。