CIS控制

CIS控制(CIS Controls,以前的英文名稱是Center for Internet Security Critical Security Controls for Effective Cyber Defense)是電腦安全裡的最佳实践指南。此計劃是在2008年因應美國國防產業中的大量資料外流而發起的[1]。此指南最早是由系統網路安全協會所發起,後來所有權在2013年轉移到網路安全理事會(Council on Cyber Security),於2015年轉移到網際網路安全中心(CIS)。

目的

指南中包括18項(最早是20項)行動,稱為關鍵安全控制(critical security controls,CSC),是組織為了要阻擋攻擊或是減緩攻擊,應該要實施的控制措施, 這些控制措施的設計主要是為了可以用自動化方式實現、強化或是監控[2]。安全控制中的內容是針對網路安全可以執行的建議,其文字是用資訊科技人員容易理解的文字[3]。其共識審計指南中的目的包括

  • 利用網路攻擊的資訊來加強網路防禦,重點在高報酬的區域。
  • 確保安全上的投資是專注對抗最大的威脅。
  • 在施行安全控制上,盡可能的使用自動化工具,避免人員的錯誤
  • 用共識過程搜集最佳創意[4]

參考資料
  1. . [2023-05-30]. (原始内容存档于2016-03-04).
  2. (PDF). [2023-05-30]. (原始内容存档 (PDF)于2011-09-28).
  3. “Consensus Audit Guidelines: Overview” by Lieberman Software Corporation
  4. (PDF). [2023-05-30]. (原始内容存档 (PDF)于2010-05-28).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.