这些控制对贵公司的影响
Inhaltsübersicht
互联网安全中心(CIS) CIS Critical Security Controls (CSC) 让公司更好地保护自己免受已知的攻击. 为了实现这一点,关键的安全概念被转换为可用的控制机制。, 因此,总体而言,IT安全水平将得到改善。.
安全风险正在增加,适当的防御措施也在增加。. CIS在安全领域以其最新和具体的建议而闻名。. Diese sollen Unternehmen dabei helfen, 有效网络防御的关键安全控制, 以前被称为SANS前20名关键安全控制, zu verbessern.
而许多标准和遵从性法规, 旨在改善整体安全, 可能会受到行业导向的限制, CIS CSC第七版由众多政府机构和行业领袖的专家开发, 保持行业中立和普遍可用.
Die CIS Benchmarks 考虑到大多数公司的资源有限和需求, Prioritäten zu setzen. Daher unterteilt die CIS, unabhängig von der Branche, 必要的安全措施分为三类:基本, grundlegend und strukturell. 这种对标准的关注使CIS CSC建议有别于其他安全控制和清单。, 其中提到优先次序是必要的, die aber nicht so weit gehen, konkrete Empfehlungen zu geben.
Insgesamt gibt es 20 CIS-Kontrollen, 前六个被列为“初级”。, 所有公司在网络防范方面都应该实施的措施. 在版本7中,以下6个主要的CIS控制是:
1) Bestände und Kontrolle von Hardware-Assets
2) Bestände und Kontrolle von Software-Assets
3) Durchgehendes Schwachstellen-Management
4) Kontrollierte Nutzung von Administratorrechten
5) 安全配置移动设备上的硬件和软件, Laptops, Workstations und Servern
6) Pflege, Überwachung und Analyse von Audit-Logs
Die einzelnen Punkte sind zwar breit gefächert, 但它们是基于经过验证的原则:它们必须得到保障。, 正确的用户可以访问正确的资源,所有系统都是最新的和尽可能安全的。. 如果你以独联体关于这六个关键措施的指导方针为指导,, werden Sie davon erheblich profitieren. 即使这些是贵公司唯一能做的事情,情况也是如此。.
独联体最重要的20项关键安全控制的范围是全面和反映的。, 强健的网络安全需要什么:安全从不局限于技术层面, CIS的建议不仅仅是关于数据, Software und Hardware, sondern auch auf Menschen und Prozesse. So sind beispielsweise, Krisenreaktions红队和红队是强大的预防性防御计划的核心元素,属于CIS CSC 19和CIS CSC 19。. 20.
CIS关键安全控制还具有广泛的兼容性和/或直接对应于几个主要针对行业的控制(例如:. B. NIST 800–53, PCI DSS, FISMA和HIPAA)合规性和安全标准——即, Unternehmen, die an diese Vorschriften gebunden sind, 可以使用CIS控制作为合规工具. 此外,NIST网络安全指令是基于, ein weiteres zuverlässiges Instrument, 经常用于优化和加强操作安全情况, 将CIS CSC作为一套推荐最佳实践的基础.
Für Unternehmen, 那些对改善他们的安全结构和防御最有可能的攻击载体感兴趣的人, cis关键的安全控制是一个很好的起点, 这样他们就可以降低风险,减少大多数类型的攻击。.