这是一篇关于安全框架的集大成之作。结合了9种具体框架进行了综述:ISO 27001、NIST CSF、ISO 27002、NIST SP 800-53、NIST SP 800-171、CIS 20、ISA/IEC 62443、COBIT 2019、ITIL。
安全框架为构建一致性安全能力提供了良好基础,但框架的多样性可能使其成为一个艰难的选择。
安全框架包含三类框架族:安全控制框架(SCF)、安全管理计划(SMP)框架、IT治理框架(ITGF)。
选择控制很重要,但正确地管理控制更重要。一个管理不善的好控制,可能不如一个管理良好的坏控制。这就是为什么说:安全管理计划(SMP)是最重要的框架。
安全框架与风险管理的关系:组织应采用基于风险的方法,来选择和管理各项安全控制措施。RMF(风险管理框架)提供了决策过程,支持确定活动优先级、与业务沟通、证明费用和资源合理性。最重要的是,它提供了一种持续评估业务活动、环境的方法。所有安全框架,只有在与风险管理方法结合时,才能提供最佳结果。
安全框架与安全架构的关系:安全架构不是一个框架。安全架构是一种为决策过程定义规则的方法,它使用安全框架来提供在给定用例中必须使用的安全控制组件。对于没有安全架构功能的组织,安全框架提供了一种有价值的引导方法;对于具有安全架构功能的组织,安全框架也可以通过指示一组公共控制来加快将业务需求转换为控制标识的过程。
关于安全架构之综述,请参见《建立安全架构方法的指导框架》,以了解如何使用安全架构方法,从安全框架中获得最佳效果,并与风险管理相集成。
本报告译自Gartner于2020年非公开发布的《Security Frameworks: The What and Why, and How to Select Yours》。译文近两万字,精简至一万言,稍作结构调整。并无商业目的,只为同步信息。如果存在侵权,联系笔者删除。
本文目录一、概述1)主要发现2)建议
二、比较框架族
1)框架族的关系
2)框架族的比较
三、解释框架
1)安全控制框架(SCF)
2)安全管理计划(SMP)框架3)IT治理框架(ITGF)4)三种框架应该一起工作5)控制列表需要筛选和排序6)相关联的框架更容易协调
7)映射工具:统一合规框架(UCF)
四、选择框架
1)决定使用哪个框架套件2)建立在现有计划的基础上五、使用框架
1)风险管理为过程提升成熟度2)IT治理是安全的使能器3)安全管理计划是最重要的框架
六、框架说明
1)安全控制框架(SCF)
□ ISO 27002
□ NIST SP 800-53
□ NIST SP 800-171
□ CIS 20
□ ISA/IEC 62443
2)IT治理框架(ITGF)□ COBIT 2019 信息安全□ ITIL3)安全管理计划(SMP)□ ISO 27001□ NIST CSF
关键词:
∙SCF(安全控制框架)
∙SMP(安全管理计划)
∙ITGF(IT治理框架)
∙ITIL(IT基础设施库)
∙ITSM(IT服务管理)
∙ISMS(信息安全管理系统)
∙CIS(Internet安全中心)
∙CSF(网络安全框架)
∙COBIT(信息系统和技术控制目标)
∙RMF(风险管理框架)
一、概述
01主要发现
∙安全管理计划(SMP)是最重要的框架。国际标准化组织(ISO)称之为信息安全管理系统(ISMS)。若想在没有SMP的情况下实现控制,几乎是无法保障的。著名的SMP包括NIST CSF和ISO 27001。
∙安全控制框架(SCF)为控制提供了良好的基线,但得益于基于风险的控制选择过程。最受欢迎的SCF是CIS 20、NIST SP 800-53、ISO 27002。
∙IT治理框架(ITGF)是安全的使能器。IT治理提供了资产管理、变更管理、企业规划——即安全有效性的所有基础。著名的ITGF包括COBIT和ITIL。
02建议
负责选择或实施安全框架的安全和风险管理技术专家,应采取以下步骤:
∙当刚开始很少或没有时,使用CIS 20来提供基本的卫生、沟通、计划。一旦你可以成熟你的方法,则尽快引入一种基于安全管理计划(SMP)的方法。
∙如果你已经制定了安全策略,又正好需要一个沟通或组织工具,则从NIST网络安全框架(CSF)开始。在此基础之上,再使用NIST SP 800-53(或ISO 27002),随着时间推移深入发展。
∙如果可能的话,在任何地方使用单一的安全管理计划(SMP)框架和实现。因为不同的安全方法,将导致混乱。
二、比较框架族
01框架族的关系
许多组织都认识到,需要一种结构化的方法,来提供可靠有效的控制。然而,从头开始构建一个控制列表可能会很费劲,也容易出现各种错误。对于没有安全架构功能的组织,安全框架提供了一种有价值的引导方法。而对于那些具有安全架构功能的组织,这些框架也可以通过指示一组公共控制,来加快将业务需求转换为控制标识的过程。Gartner已经明确了三种安全框架族:安全控制框架、治理框架、安全计划管理框架。这些框架族不同于风险管理方法,但与之密切相关。图1展示了这三个框架族是如何联系在一起的,还展示了风险管理和安全架构如何与安全框架的使用相关联。
图1-安全框架族及其与其它过程的关系图中的三种安全框架族的特征分别如下:1)IT治理框架(ITGF)具有以下特点:
∙聚焦于IT治理而非安全性
∙对过程控制而非技术控制(如变更、资产或事件管理)的严重倾向
∙安全性被视为一个补充性问题,而风险管理可能更接近框架的核心
2)安全管理计划(SMP)框架具有以下特点:
∙聚焦于安全治理过程、、度量和质量维护
∙可能包含控制列表,但与更大的控制框架相关
∙提供安全计划的实施框架,而非基于战术控制的方法
3)安全控制框架(SCF)具有以下主要特征:
∙包含了可能在您的环境中使用的控制的大列表
∙很少或根本不讨论过程或其他治理
∙需要某种形式的选择过程,这样您就不需要实施所有列出的控制
组织需要安全框架做两件事:1)实现组织的控制列表:
1.保护他们的环境
2.证明预算的合理性
3.制定全面的安全计划
2)定义和管理其计划的方,使组织能够:
1.合规
2.使审计员满意
3.改善他们的风险管理成效
本文重点介绍上述三个安全框架族。而关于风险管理和安全架构的内容,不在本文中详细描述:
∙风险管理框架(RMF):提供了决策过程。RMF是一个具有广泛影响的复杂主题。之所以强调RMF,源于在开发和运行安全计划时使用基于风险的方法的重要性。RMF支持确定优先级、支出理由、度量成效。最重要的是,它提供了一种持续评估业务活动、环境的方法。所有安全框架,只有在与风险管理方法结合时,才能提供最佳结果。
∙安全架构(方):不是一个安全框架。相反,它是一种为决策过程定义规则的方法,它使用框架来提供在给定用例中必须使用的安全控制组件。参见《建立安全架构方法的指导框架》,了解如何使用正式方法从安全框架中获得最佳效果,并与风险管理集成。
02框架族的比较
图2显示了本文档中讨论的框架(即横轴)针对评判标准(即纵轴)的响应。
图2-流行框架的特点表1对上图中的评判标准进行了解释。表1:对评判标准的解释
| 评判标准 | 解释 |
| 聚焦安全控制 | 该框架包含一个全面的或其他的安全控制列表,包括可以应用的技术控制和过程控制。这样一个列表应该涵盖适用于框架预期范围的各种领域。大多数这样的列表都包含了对控制应该如何工作的重要解释,以及关于预期效能级别的关键信息。 |
| 详细控制 | 框架在控制的描述和要求中,包含不同级别的细节信息。一些框架,如CIS 20,是特意的高级别框架。而其他的框架,比如治理框架,可能在非安全性(即服务管理和治理)控制领域有更多的细节,因为这是框架的主要关注点。 |
| 安全管理计划(SMP) | 一个简单的控制列表并不足以帮助组织制定可靠的安全计划。还需要一个安全计划,被ISO称为信息安全管理系统(ISMS)。这是对计划的一种有用的思考方式——过程和治理的集合,它们共同构成了一种系统的和严谨的方法来控制实现。控制框架也可能包含ISMS,但通常作为单独(相关)标准提供的,如NIST SP 800-53和NIST CSF。 |
| 集成的风险管理框架 | Gartner的立场是,组织应根据风险选择和管理控制,以确保更好地协调和排序资源分配。仅仅选择控制或试图在SCF中应用完整列表,将导致一些人的支出过度,而另一些人的支出不足,导致控制无法与业务风险保持一致。组织应该使用风险管理方法,这些方法可以基于风险管理框架。 |
| 相关的风险管理框架 | 不包含某种程度的风险管理的SCF,可能有旨在整合的密切相关的标准。NIST SP 800-37和ISO 27005(或更广泛范围的ISO 31000)都提供了这一点。注意安全风险不与企业风险一样;将一个框架用于另一个目的,将导致不恰当的评估和风险管理。 |
| 安全报告过程 | 该框架包含一个固有的过程来支持度量,并向领导层和其他干系人报告这些度量指标。该报告是一个主要的沟通工具,有助于明确风险管理的有效性以及资源和预算讨论。 |
| 可用的组织认证 | 遵守框架是可取的,但在某些情况下需要加以确认,例如对于潜在的安全敏感服务的服务提供商。合规性的证明通常由第三方提供。在编写本报告时,只有NIST SP 800-171和ISO 27001可在组织层面获得认证。NIST SP 800-171只是一个特定的用例;而ISO认证很少适用于整个组织。NIST CSF目前不可认证,但可能会根据NIST SP 800-171和FedRAMP认证决策的未来而改变。 |
| 需要专门技能 | 提供对安全框架的合规性或一致性并不简单。认证人员是有用的。有些框架向个人提供特定的培训或认证,以支持他们的发展。一些框架要么非常复杂,要么有其他特定的要求(如NIST SP 800-171),因此需要专门培训。 |
| 主要范围:IT或OT | 一般IT的安全方法不同于操作技术(OT)和物联网(IoT)。IT的安全标准可用于OT,但不是特定的,可能与OT没有直接关系。而OT标准不能有效地用于IT。 |
| 过程范围 | 这将考虑框架是否包括对控制和/或组织内更广泛的安全活动进行管理的过程的要求、建议或其他信息。 |
| 标准 | 标准是于行业还是国家所有制?一些组织更喜欢使用于任何既得利益的标准或定义,如ISO或Internet安全中心(CIS)。有些要求只使用国家标准,这可能会妨碍它们使用这里列出的框架。 |
| 免费使用 | 这些标准都不昂贵(NIST和CIS文件是免费的)。然而,组织内大量的许可副本可能会变得昂贵。请注意,“付费”并不一定等于“更好”。例如,NIST标准是免费的,但被视为标准领域的领导者。 |
01安全控制框架(SCF)
SCF主要由一系列控制组成,这些控制在较小或较大程度上是通过各种选择、操控、管理方法打包的。比较知名的SCF如下:
∙通用SCF:Gartner最常用的三种是ISO 27002、NIST SP 800-53、CIS 20。
∙特定用例SCF:它们旨在解决特定的用例,比如NIST SP 800-171和ISA/IEC 62443。
∙统一合规框架(UCF):UCF是一个综合的(商业)映射系统,它映射法规、标准和其他控制驱动因素,但它并不是一个的框架。
SCF可以单独使用。但是,如果缺少安全管理计划(SMP),将会严重控制列表的长期有效性和可靠性,将很难与领导层进行富有成效的对话,也很难与同级团队达成一致。
02安全管理计划(SMP)框架
SMP框架提供了一种更广泛和正式的安全治理方法,来管理安全性,而不是“仅仅”一个控制列表。SMP在ISO27001中被称为ISMS(信息安全管理系统)。之所以也称为“系统”,其实是想强调:实施和治理应该以系统的和可重复的方式执行,而非任何单一的设备或工具。安全管理计划(SMP)已成为事实上的要求。它要求您在治理和流程上更加严谨,以确保:
1.您为您的风险要求,选择了正确的控制。
2.您可以有效且持续地管理控制。
3.你记录下你这样做的证据。
4.你提供了有效的安全保障。
Gartner强烈建议,任何成功的安全方法,都应包括一个安全管理计划(SMP),旨在提供安全控制实施的周期性治理、度量和持续改进。
03IT治理框架(ITGF)
ITGF是一种管理更广泛的IT关注点的方,可能也会包括安全性,但并不以安全为重点。例如,ITIL(信息技术基础设施库)聚焦于IT服务管理(ITSM),使IT与业务需求保持一致。它们可能提供特定于安全性的框架,比如ITIL安全管理组件。由于安全性存在于IT和业务流程的世界中,IT治理框架(ITGF)具有重大影响,因为ITGF提供了安全性可以利用的过程和方法。
04三种框架应该一起工作
对于大多数组织来说,安全控制框架几乎完全由一系列控制组成。但是,控制本身并不能有效地保护您的组织。就像CIS 20和ISO27002,虽然非常流行,但不足以实现始终如一的“良好”安全效果。为了获得更高的成熟度、更好的效率以及度量和沟通的能力,组织需要使用安全管理计划(SMP)框架,来管理安全控制。这不仅适用于过程控制,也适用于技术控制。就像使用CIS 20的组织,最终被迫要开发一个安全管理计划(SMP),以便为20个控制和大约200个子控制中的每一个实现提供信心。IT治理是安全的使能器。IT治理框架(ITGF)对安全性具有重大影响。IT治理提供了变更管理、资产管理、企业规划——即安全有效性的所有基础。一个有组织的安全计划与一个有组织的IT计划共存时,将提供健壮的安全成效。综上所述,通过实现所有三种框架,组织可以从安全控制定义、安全治理过程、安全和IT治理之间的一致性中获益。当所有三种框架类型一起工作时,就可以在安全性的组织和交付方面实现卓越。
05控制列表需要筛选和排序
对许多组织来说,即使从长远来看,180个控制也可能太贵、太多。那么,我应该做的第一件事是什么?剩下的我怎么做?这个要多少钱?框架中的控制列表,尤其是NIST SP 800-53或ISO 27002中的较大列表,只有经过筛选和排序,才能有效地使用。即使是NIST SP 800-53,尽管它已经根据数据敏感性将控制预分类为三个基线,也仍需要改进以反映上下文。图3已经展示了大多数组织中做控制选择的真实驱动因素。
图3-控制选择的驱动因素
需要根据以下驱动因素,应用筛选过程:
1.告知作用域的IT上下文。
2.合规要求:如果第三方机构要求你做某事,那么你必须做。
3.风险管理驱动因素:在前两个过滤器之后,还需要对环境执行风险评估,以决定任何额外的控制要求。
在筛选过程中,您必须记录系统中不包含所需或建议的控制的所有理由。因为审计员喜欢正当理由。如果没有记录,您将无法解释丢失的控制,也无法在发生变更时重新访问该项决策。所有安全控制框架都希望您在某个时候应用基于风险的过滤器。Gartner建议将风险管理作为有效安全管理的基本能力。它允许您确定活动优先级、与业务沟通、证明费用和资源合理性。
06相关联的框架更容易协调
NIST在800系列中提供了广泛的安全出版物。最著名的是NIST SP 800-53、NIST CSF、NIST SP 800-171。ISO也是类似的,在ISO 27000系列中,有40个或更多的文档覆盖了一系列安全域。选择一种方法并坚持下去,比使用不同套件的不同标准更加容易:
∙如果需要使用ISO27001,请使用ISO27002进行控制,不要试图直接使用NIST SP 800-53。如果还需要风险管理框架,请考虑ISO 31000或ISO 27005。
∙如果需要使用NIST SP 800-171,则使用NIST CSF和NIST SP 800-53,同时使用NIST 800-37风险管理。
如果确实需要使用或反映多个框架套件,请考虑使用统一合规框架(UCF)。即使必须映射控制,也要选择一框架套件作为您的主方法。
07映射工具:统一合规框架(UCF)
这里列出的许多框架,都在附录或其他地方包含了映射工具。ISACA COBIT和NIST SP 800-53提供了这样的框架,但是映射的范围可以在一个或两个其他框架内。UCF是一个商业性的映射解决方案,远远超出了核心安全框架的范围,监控了广泛的标准、法规和其他方法,并映射了它们之间的控制需求。但不应单独使用UCF。在确定需要哪些控制之后,需要对这些控制进行详细评估,并进行风险评估,以评估控制的水平和范围。此外,UCF没有提供ISMS,也没有建议遵循哪些原则,这仍然需要由组织决定。UCF强调了安全控制管理的一个最重要的部分。为确定需要哪些控制,您需要考虑组织所在的法规和合同环境。
四、选择框架
01决定使用哪个框架套件
没有哪个单独的框架,对于所有的用例都是完整的。最接近完整的框架是NIST CSF和ISO 27001标准。使用完整框架的问题在于,您必须能够确定优先级。虽然基于风险的方法对于有效和高效的安全非常重要,但它们需要时间来实施,而且在一开始可能不是一个实际的帮助。在这种情况下,请回到基础上来,即把基本的控制放在适当的位置,专注于开发管理实践,然后随着时间推移逐渐建立起来。图4中提供了一个决策流程,帮助您按照所面临的主要问题组织思考。
图4-决定使用哪个框架套件
如果之前用过任何框架,那么显然会倾向于使用和开发那种方法。但如果使用的框架有问题,您可能不得不重新选择框架。
1.你必须遵循特定的框架吗?在美国处理敏感数据的人员需要NIST SP 800-171。
2.现有的IT治理框架为引入安全流程和直接相关的控制提供了坚实的基础。但从长远来看,ITGF安全控制评估可能是不够的。因此,随着ITGF方法的成熟,希望引入一个以安全性为中心的框架。ITGF和以安全为中心的框架协同工作得非常好:一个框架提供优秀的治理,另一个框架提供控制选择和安全管理技术。
3.“向上沟通”是大多数安全经理的必备条件。向高级管理层描述安全计划、进展、有效性(及其资源需求)对成功至关重要。CIS 20是向IT部门报告的良好起点,因为控制群组很好地映射到了常见的IT和网络问题。NIST CSF也为向上展示提供了一个完整的框架,其中包括一个自我评估工具和其他制品。而ISO 27000标准则根本没有解决这个问题。
02建立在现有计划的基础上
许多组织已经为安全管理准备了一些东西,然而是非正式的。如果没有策略、过程、报告或任何形式的正式文档,那么它就不是一个安全管理计划(SMP)。如果已有安全管理计划(SMP),并且是基于您选择的框架,那么很好,说明一些基础工作已经完成。但你需要重新审视这些基础工作,以获得对“现状”的理解:
∙您是否使用CIS 20,如果是,子控制的状态如何?
∙您是否在使用ISO27001,如果是,ISMS是否已经启动或实施?
∙如果您使用的是NIST SP 800-53,选择了哪些控制?文件在哪里解释了他们是如何被选中的,以及为什么被选中的?
一旦获得了这些历史信息,就可以在开发控制的同时为框架构建ISMS。使用基于风险的方法,重新评估现有控制措施并确定新的控制。安全管理计划(SMP)比安全控制更难,比如说NIST CSF与ISO 27001就有很大不同,您无法像映射控制那样,轻松映射治理过程。但您可以利用先前存在的治理、流程和记录,从头开始重建是不必要的。
五、使用框架
01风险管理为过程提升成熟度
一些基本控制是普遍适用的,比如CIS 20中规定的基线控制。但在某个时候,比如在项目早期,你需要基于风险管理做出决策和沟通。业务领导想知道你为什么要花钱,而审计员想知道你为什么不花钱。你需要根据以下思路来陈述:
∙“我们面对这个问题,这意味着我们的业务面临着这种程度的损失。”
∙“我们需要花费这笔钱实施控制,以便业务风险达到可以接受的水平。”
∙“我们已经确定这个控制不适合我们的需要,因为实现的成本将超过它所解决的风险。”
∙通过实施这种控制,我们允许IT这样做,从而安全地实现业务目标。
02IT治理是安全的使能器
安全性依赖于IT过程作为使能器。分散的IT治理,例如缺乏变更和资产管理,或者没有企业架构或战略,使得安全性变得不那么有效,也难于计划和管理。问题将随着组织的规模和复杂性而增加,因为非正式的IT管理方法可能会逐渐失去可见性和控制。如果您有一个ITGF,它将是安全管理的一个良好起点,但更重要的是,它意味着许多关键的基础实践也将到位。比如说,三个主要的SCF都将资产管理作为控制。而实际上,资产管理很少是IT安全的责任,也不应该是。IT治理使安全性更好。你应该在坚实的基础上建造安全墙,其中大部分来自IT或HR。
03安全管理计划是最重要的框架
选择控制很重要,但正确管理控制更为重要。一个管理不善的好控制,可能不如一个管理良好的坏控制有用。审计员喜欢过程。他们喜欢一个没有技术的过程,胜过一项没有过程的技术。随着环境的变化,您的控制措施可能需要显著改变。随着不同类型的数据在各种环境中移动,例如云SaaS、IaaS、供应商和合作伙伴,对控制的选择、实施和监控进行管理的过程,也会变得越来越重要。安全管理计划(SMP)是将所有安全组件(控制选择、安全家规、风险管理、安全框架、合规性、运行和策略)有效地结合在一起的粘合剂。从临时和非正式的方法,到正式的、有文档记录的系统,构建这种治理必须是一个高度优先的任务。
六、框架说明
01安全控制框架(SCF)
■ ISO 27002ISO 27002可能是所有可用框架中历史最长的一个,以及它的姊妹文档ISO 27001。在2005年NIST SP 800-53首次发布之前,ISO 27002是唯一一个包含安全控制选项综合列表的公认标准。该框架包含大量的控制声明,包括控制应如何操作以及该控制将实现的结果的必需和建议的详细信息。许多控制都是以面向过程的方式编写的。这突出了ISO 27002的背景,即它实际上是比ISO 27001的附件更详细和全面的控制方法。ISO方法完全是关于过程的,这就是为什么只有ISO 27001才可以获得认证。
■ NIST SP 800-53在编写本报告时,NIST SP 800-53以第4版发布,而第5版尚处于草稿阶段。NIST 800系列安全文件由美国联邦机构NIST提供。它们专门为美国联邦机构提供基线和框架,是联邦信息安全管理法案(FISMA)合规性的重要组成部分。然而,该框架产生了巨大的吸引力和兴趣,原因有三:
1.它比ISO 27002略为全面,因为它包括选择控制和评估安全性的过程(通过NIST SP 800-53A),以及修订版5中与隐私相关的特定控制。
2.许多美国组织更喜欢使用NIST框架。向联邦机构提供服务的组织,必须遵守NIST SP 800-171,该标准与NIST SP 800-53紧密结合。使用NIST SP 800-53作为初步或扩展到800-171合规性,是合乎逻辑的步骤。
3.有人认为,其技术控制清单有所改进,并在某种程度上预选。还注意到,其控制与低、中、高灵敏度基线的相关性。对于某些控制要求,NIST SP 800-53更为具体。这使得NIST 800系列几乎成为一个现成的安全计划。
因此,NIST SP 800-53是一个的控制框架,为安全治理提供了全面的方法。
■ NIST SP 800-171向美国联邦机构提供服务的组织,可能需要遵守NIST SP 800-171,其中服务中包含特定的信息敏感性。标题“保护非联邦系统和组织中的受控非密信息”对此进行了描述。不建议未参与此类服务或不打算参与此类服务的组织使用此标准。NIST SP 800-171是NIST SP 800-53的一个子集,与特定的过程要求一起。NIST SP 800-171在附录中包括了与NIST CSF和NIST SP 800-53的控制映射。
■ CIS 20CIS 20在历史上被称为SANS 20,但在2015年被CIS接管。CIS以其确保各种系统和设备安全(“加固”)的全面技术基准清单而闻名。顾名思义,框架列出了20个区域(称为控制),而每个区域又包含了多达20个更详细的控制要求。对于一无所有或刚刚起步的组织来说,CIS 20非常受欢迎。一个常见的误会是将其视为仅包含20个控制的列表,而实际上它包含150个以上的详细项。详细的控制是具体的和规定性的,并且主要集中在基本安全控制上,即所有组织都应该在某个级别上使用的控制,不管它们作为安全实践的成熟程如何。从架构的角度来看,CIS 20提供了物理层安全机制的详细信息,而NIST SP 800-53和ISO 27002提供了逻辑层的安全服务描述。CIS 20确实缺乏任何基于风险的方法,以选择控制、讨论治理(如标准和)或更高级别的ISMS指导。CIS 20是一个很好的起点,它提出了大多数(如果不是所有)组织都应该至少使用的通用最佳实践控制。但对于构建控制框架的长期成熟方法,NIST和ISO方法更为合适。
■ ISA/IEC 62443国际自动化协会(ISA)为自动化过程中使用的设备和系统而非企业IT制定了各种标准。有时也被认为是操作/运营技术(OT),这些设备通常需要与IT系统不同的安全模式。虽然有些核心原则显然是一致的,但将ISA/IEC 62443应用于ICT(信息和通信技术)环境是不明智的。ISA/IEC 62443标准应被视为自动化控制系统环境中使用的特定框架,而不适合企业IT。
02IT治理框架(ITGF)
■ COBIT 2019 信息安全COBIT是ISACA(信息系统审计与控制协会)开发和维护的IT治理框架。ISACA为那些希望更好地管理其整体IT的人和负责审计IT的人提供支持。20多年来,该框架被希望对IT治理的各个领域进行严格管理的组织所使用。COBIT随着时间的推移而扩展,引入了治理的其他方面,包括安全性。但其安全部分比专用的SCF框架更加有限。所以,除非组织中使用COBIT作为IT治理方法,一般很少看到组织使用COBIT来实现信息安全。
■ ITILITIL(撰写本文时的版本4)提供了将IT视为服务的方法,并将服务管理概念应用于治理和交付。它有助于使IT实践与业务需求保持一致,并对IT的交付提供强有力的控制,以支持业务。一个关键的概念是“服务水平协议”(SLA),它有助于提供度量安全性交付的目标和重点。ITIL安全管理聚焦于定义ITIL上下文中安全工作方式的过程,并最终定义可能需要的控制。但是,它并没有提供控制本身的列表,而是一个面向过程的框架。
03安全管理计划(SMP)
■ ISO 27001ISO 27001定义了如何开发和实现安全管理系统(ISMS),以提供足够的治理和控制,从而实现认证。它包含了一个基于“计划、执行、检查、行动”(PDCA)周期的过程、治理和风险评估与领导支持的要求。作为认证过程的一部分,它还提供了100多个必须由组织记录的控制。在27000系列中,ISO 27001还附带了40多个其他标准(包括上面描述的ISO 27002),这些标准以不同的详细程度处理了安全治理的其他方面。
ISO 27001是寿命最长的框架之一,作为一种安全治理对齐的方非常流行。重要的是,ISO27001认证对于提供服务和某些情况下提供产品的组织而言,实际上是必须具备的资质。
■ NIST CSFNIST CSF自2014年开始提供,在撰写本文时为1.1版。它是一个安全治理框架,基于风险的方法来定义安全过程、安全能力层、安全控制。它使用了五步方法(IPDRR,即识别、保护、检测、响应、恢复)来实现安全流程和治理,并对控制进行了分类。从NIST的角度来看,IPDRR是一个有效的安全管理计划(SMP)所需的五个高级过程类别。NIST CSF提供了广泛的控制列表,但这些控制的级别更高,而不像NIST SP 800-53中的详细列表。若想要较低级别的技术控制的组织,需要回到ISO27002或NIST SP 800-53以获得那样的列表。NIST CSF不是为联邦机构编写的(与NIST SP 800-53相比),而是为美国的公共组织编写的,最初是针对那些构成关键基础设施一部分的机构。因此,它明确承认使用的方法不同于NIST SP 800-53。因此,控制列表提供了对CIS、COBIT、ISO、其他NIST和一些ISA文档的映射。示例见图5。
图5-NIST CSF v1.1中的控制条目示例,显示控制需求和映射
NIST CSF在商业和其他组织中越来越受欢迎。它有NIST提供的固有工具用于风险和成熟度评估,而IPDRR方法则有助于沟通和战略管理,这是ISO 27001的一个明显差距。
(本篇完) 下载本文
