在資訊安全領域很常見的是IT人員從新聞當中看到最新的攻擊並且想像需要一個閃亮的嶄新工具來因應這個攻擊。

資訊安全控制項目所以是資訊安全防禦具體落實的基礎~因為資訊安全控制項目涵蓋了在處理變遷情境中的風險所需要的廣度。

隨著時間經過~新的資訊安全控制項目有可能成為納入;但是舊有的控制項目大多數仍然保留為成功風險管理的核心。

任何時刻當有新的威脅要因應的時候,與其期待取得一個閃亮的嶄新工具來防禦~是否考慮先如何具體落實應用現有的控制項目來獲得更多的成效。

CIS CSC關鍵資訊安全控制項目一共有20項,依照重要性優先落實順序排列
優先順序 控制項目名稱 工作類別
CSC V.7-1 盤點與控管硬體資產 必要工作
CSC V.7-2 盤點與控管軟體資產 必要工作
CSC V.7-3 持續弱點管理 必要工作
CSC V.7-4 針對特權管理帳號的使用進行控管 必要工作
CSC V.7-5 手機;筆電;工作站;伺服器的硬體與軟體的安全設定 必要工作
CSC V.7-6 針對稽核紀錄做到維護、監控、分析 必要工作
CSC V.7-7 Email 與 Web 瀏覽器防禦 基本工作
CSC V.7-8 惡意程式防禦 基本工作
CSC V.7-9 針對網路端限制並控管使用的埠號、協定與服務 基本工作
CSC V.7-10 資料復原能力 基本工作
CSC V.7-11 網路/資安設備的安全設定 基本工作
CSC V.7-12 邊界防護 基本工作
CSC V.7-13 資料保護 基本工作
CSC V.7-14 基於僅需要知道【need-to-know】原則實施存取控管 基本工作
CSC V.7-15 無線存取控管 基本工作
CSC V.7-16 帳號的監視與控管 基本工作
CSC V.7-17 實施資訊安全認知與訓練計畫 組織性
CSC V.7-18 應用軟體安全 組織性
CSC V.7-19 事件的處理與管理 組織性
CSC V.7-20 滲透測試與Red Team的演練 組織性
CIS CSC關鍵資訊安全控制項目每一個控制項目之下並有列出具體的落實子項目,如對子項目具體細節有興趣,麻煩請聯絡:
yy-chen@mbatec.com.tw
(02)27397700
陳先生

CIS關鍵資訊安全控制項目是世界各地組織和機構的首選資訊安全防禦準備規則手冊。 這些關鍵資訊安全控制項目最初是由美國政府於2008年開發的,旨在通過經濟有效的實用方法幫助組織實現網路完整性。 在由CIS管理之前,它們由SANS Institute管理,稱為SANS Top 20和Critical Security Controls。

CIS的使命是通過協同合作致力於卓越來加強公/私部門的資訊安全防禦準備以及回應。
為此CIS提出了關鍵資訊安全控制項目(CSC)實務規範,目前已經發展到第七版。

CIS第七版關鍵資安控制項目分為三種類別:必要工作,基礎工作和組織性工作。CIS強烈建議所有組織和機構採用前六項必要控制項目做為最低限度的資安防禦策略。基礎控制項目(7-16)建立在這些必要控制項目的建置上,提供明確的安全性效益。組織性控制項目(17-20)聚焦於通過實施必要與基礎控制項目而建立的安全狀態。

導入CIS關鍵資安控制項目來協助防禦這5項攻擊類型。
這不是資訊安全防禦的萬靈丹~但是可以明顯的提升資訊安全防禦的免疫力;降低面對這5項攻擊類型的風險。

如何導入CIS關鍵資訊安全控制項目~重點部署、輕重緩急、層次分明的最佳提升資訊安全防禦免疫力的實務規範。