问:我需要按照一套已有的规定完成一个现有架构的差距分析。目的是找到差距,解决这些问题,从而使基础架构达到中期总结报告的标准。你可以帮助我做这件事吗,第一步该从哪开始呢? 答:我的第一个问题是:你所提到的已有的规定是什么?是PCI DSS、HIPAA、NERC CIP还是ISO 27001/2? 一旦明确了你需要满足的规定,你就可以进行一个简单的清单差距分析。下面是几种建立和获取体系架构审查清单的方法: 例如,可以将支付卡行业数据安全标准(PCI DSS)的自我评估问卷作为一个起点。
对于HIPAA合规,可以在网上找到各种组织提供的现成清单,比如NIST清单。对于NERC CIP,我发……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我需要按照一套已有的规定完成一个现有架构的差距分析。目的是找到差距,解决这些问题,从而使基础架构达到中期总结报告的标准。你可以帮助我做这件事吗,第一步该从哪开始呢?
答:我的第一个问题是:你所提到的已有的规定是什么?是PCI DSS、HIPAA、NERC CIP还是ISO 27001/2?
一旦明确了你需要满足的规定,你就可以进行一个简单的清单差距分析。下面是几种建立和获取体系架构审查清单的方法:
例如,可以将支付卡行业数据安全标准(PCI DSS)的自我评估问卷作为一个起点。对于HIPAA合规,可以在网上找到各种组织提供的现成清单,比如NIST清单。对于NERC CIP,我发现,只要你进行逐项条款而不是逐段条款,他们的标准——与可靠性标准审计工作表(RSAW)一起——可以作为一个相当体面的清单使用。
如果我没有列出与您的组织规范相符合的标准,您可以在互联网上搜索清单,也可根据你所关注的标准建立你自己的清单(下面将详细讲述)。
对于使用清单,我有如下建议:汇集了关于这个问题的内部专家(如类似你情况的网络架构人员)尝试过的标准,并确定以下内容:
1.目前的架构是否符合要求规定?
2.你能遵守这个规定吗?
3.如果不符合要求,需要采取哪些行动来达到合规呢?
这个初步清单/标准最好的审查方法是使用类似SharePoint的协作工具。在小组审查要求时,你可以跟踪合规评估,收集和发布能够证明合规的文件以及后期行动项目(包括责任和截止日期)。
最后,一个可能会出现的问题是:“如果我没有任何可用的清单该怎么办?”在这种情况下,你需要做大量的工作,你需要阅读标准和详细研究满足每一个要求的可能性,这样来建立清单。在过去,我已经这样做了,而且实际上,我采取了审计人员的做法:首先按照一个特定标准规定的要求建立一个问题清单,然后让自己和内部团队成员去检测清单是否符合标准要求。这样做可能开始有点慢,但到最后你会完全了解标准的细节。
翻译
相关推荐
-
如何通过“限制管理权限”来保护您的企业?
在你的企业中,是否所有用户都有对工作站的管理权限?这个问题关系到企业的信息安全能力……
-
2015黑帽大会:网络灾难后 重建IT安全
在遭遇重大网络攻击后,重建IT安全的过程很艰难,在本文中,Christina Kubecka分享了一些经验技巧,这些经验来自2012年她在Saudi Aramco工作时经历的重大攻击事件。
-
H3C领跑国内IT安全市场
IDC最新发布的《2013-2017中国IT安全市场预测与分析》研究报告显示,H3C涉足整个IT安全硬件市场6个细分市场中的5个,整体安全产品销售规模在各厂商中居于领先位置。
-
不能相信的13个安全神话
在IT安全领域,存在一些“安全神话”,它们经常被提到,普遍被接受,然而,其实都是不正确的观念,换句话说,它们只是神话。