实施信息安全计划的挑战非常大。我们需要考虑很多方面，从加密到应用安全，再到灾难恢复。当然还有合规问题，企业需要遵守很多法规要求，例如HIPAA、PCI DSS和Sarbanes-Oxley。安全专业人士应该如何安排其工作来建立和维护信息安全计划呢？

这正是IT安全框架和标准的用武之地。在本文中，我们将深入研究什么是信息安全框架，并讨论一些比较流行的框架以及如何使用它们。

什么是IT安全框架？

信息安全框架是指一系列文档化流程，这些流程用来定义在企业环境部署和持续管理信息安全控制所涉及的政策和程序。这些框架基本上是一个“蓝图”，用来帮助企业建立信息安全计划，从而管理风险和减少漏洞。信息安全专业人员可以利用这些框架对构建安全性到企业的任务来定义和优先排序。

这些框架往往被定制来解决具体信息安全问题，就像建筑蓝图用来满足其所需要的规格和用途一样。这些框架都是针对特定的行业以及不同的合规性目标。这些框架还有不同程度的复杂性和规模。然而，你会发现，随着这些框架的改进，从一般安全概念来看，这些框架存在相当多的重叠。

框架案例

COBIT

信息系统和技术控制目标（COBIT）是ISACA（IT管理专业人士的独立组织）在90年代中期开发的框架。ISACA目前提供知名的认证信息系统审计师认证（CISA）和信息安全管理员认证（CISM）。该框架开始主要专注于减少企业的技术风险，但在COBIT5中还涵盖了让IT遵守企业战略目标的内容。这个框架是满足Sarbanes-Oxley法规最常用的框架。

ISO 27000系列

ISO 27000系列是由国际标准化组织开发的。它提供非常广泛的信息安全框架，可以应用于所有类型和规模的企业。它也可以被认为是相当于制造业的ISO 9000质量标准，甚至还包括一个类似的认证过程。从内容来看，该系列被划分成不同的子标准。例如，ISO 27000包含概述和词汇，而ISO 27001则定义了该项目的要求。ISO 27002从英国标准BS7799演变而来，定义了信息安全项目中必要的可操作步骤。

在ISO 27000系列中，还有很多其它标准和最佳实践。例如，ISO 27799定义了医疗保健领域的信息安全，这对于需要HIPAA合规的企业来说很有用。新的ISO27000标准则提供了云计算、存储安全和数字取证的具体建议。ISO 27000很广泛，可以用于任何行业，但该认证主要用于想要展示积极的安全计划的云服务供应商。

NIST SP 800系列

美国国家标准与技术研究所已收集了大量的信息安全标准和最佳实践文档。他们在1990年首次出版了NIST Special Publication 800系列，该系列现在已经发展到提供涉及几乎每个方面的信息安全建议。虽然不是具体的信息安全框架，但NIST SP 800-53是其它框架的“原始”模型。美国政府机构利用NIST SP 800-53来遵守联邦信息处理标准（FIPS ）的200条要求。尽管这是针对政府机构的标准，这个NIST框架可以适用于其它任何行业，对于试图建立信息安全计划的企业，不应该忽略这个框架。

所有这些框架的优势在于，它们之间存在很多重叠，所以我们可以在它们之间建立“通道”来显示不同监管标准的合规性。例如，ISO 27002在第5节定义了信息安全政策；COBIT则在“计划和组织”中进行了定义；Sarbanes Oxley将其定义为“内部环境”；HIPAA将其定义为“指定的安全责任”；而PCI DSS则将其定义为“维护信息安全政策”。通过使用共同的框架（例如ISO 27000），企业可以使用这个通道程序来遵守多种法规，例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

建议和总结

具体使用哪个IT安全框架由多个因素影响。但行业类型或合规要求将是决定性因素。公开上市的企业可能想要使用COBIT来更好地遵守Sarbanes Oxley法案。而ISO 27000系列是信息安全框架的代表作，能够用于任何行业，尽管部署过程很漫长。并且，该框架最好用在企业需要通过ISO 27000认证推广信息安全功能的领域。NIST SP 800-53则是美国联邦机构规定的标准，但也可以帮助企业构建特定的技术信息安全计划。这些框架将帮助安全专业人士组织和管理信息安全计划。另外，企业最糟糕的做法就是不使用任何框架。