从NIST 网络安全框架来看企业SaaS应用安全合规
发布时间:2022-01-17 12:43:53 所属栏目:安全 来源:互联网
导读:美国国家标准与技术研究所(NIST)的标准,由于具有专业性,加上外部专家帮助编制NIST文件,使得其在众多组织中发挥了关键作用从最新的密码要求(NIST 800-63)到制造商物联网安全(NISTIR 8259),NIST始终是个起点。NIST网络安全框架(CSF)最初于2014年发布,上一
|
美国国家标准与技术研究所(NIST)的标准,由于具有专业性,加上外部专家帮助编制NIST文件,使得其在众多组织中发挥了关键作用——从最新的密码要求(NIST 800-63)到制造商物联网安全(NISTIR 8259),NIST始终是个起点。NIST网络安全框架(CSF)最初于2014年发布,上一次更新是在2018年。该框架使众多组织能够借助一套精心规划且易于使用的框架,提高关键基础设施的安全性和弹性。 CSF 在 SaaS大行其道时编写和更新,如今伴随 SaaS 的持续发展以及工作环境因新冠疫情出现的重大变化带来了新的安全挑战。组织可以使 CSF 更适应基于 SaaS 的现代工作环境,从而更有效地应对新风险。本文阐述 CSF 的关键要素,指出主要优点,并给出具体实施方法和建议以确保 SaaS 安全。 NIST CSF 列出了五项安全功能,并进行分门别类,针对每个子类别, CSF 附有一系列知名标准和框架作为参照,比如 ISO 27001 、 COBIT 、 NIST SP 800-53 和 ANSI/ISA-62443 。这些参照标准帮助组织实施 CSF ,并与其他框架形成对比,比如说,无论一家企业需要遵守什么安全标准,安全经理或其他团队成员都可以使用这些参照标准来证明其决定是否正确。NIST CSF 框架具有五个阶段的核心功能:识别、保护、检测、响应和恢复,下面逐一介绍。 识别:NIST 对这项功能的定义为“帮助组织了解情况,以管理系统、资产、数据和能力面临的网络安全风险。”在这项功能下面, NIST 包括资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理等控制类别。 保护:NIST对这项功能的定义为“制定并实施适当的保障措施,以确保提供关键基础设施服务。”在这项功能下面,NIST包括访问控制、意识和培训、数据安全、信息保护流程和程序、维护、防护技术等控制类别。 检测:NIST 对这项功能的定义为“确定并实施适当的活动,以识别发生的网络安全事件。”在这项功能下面, NIST 包括异常和事件、安全持续监控、检测流程等控制类别。 响应:NIST 对这项功能的定义为“确定并实施适当的活动,对检测到的网络安全事件采取行动。”在这项功能下面, NIST 包括响应规划、沟通、分析、缓解、改进等控制类别。 恢复:NIST 对这项功能的定义为“确定并实施适当的活动,以维持弹性计划,并恢复因网络安全事件而受损的任何能力或服务。”在这项功能下面, NIST 包括恢复规划、改进、沟通等控制类别。  (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐