提升业务发展的网络安全策略

关键要点

• 为了推动业务增长，企业必须扩展网络安全计划并遵循多项合规框架与规定。
• 合规要求的层次结构往往增加复杂性，可能导致时间与资金的浪费。
• 通过应用网络安全最佳实践，可以更有效地实现合规目标，降低资源浪费。
• CIS的安全控制和基准可以作为合规和安全的基础。

在实现业务增长的过程中，组织必须扩展其网络安全计划，并在此过程中符合各项框架与法规。然而，这并非易事，合规要求的层次结构会引入复杂性，可能增加你在每次满足目标时浪费时间和金钱的风险。

幸运的是，通过规划合规目标，可以在更高效地扩展网络安全计划的同时降低浪费。运用经验证的安全最佳实践，这些实践与行业法规和框架相对应或被其引用，可以帮助企业实现这一目标。

简化合规的网络安全基础

你的合规要求各不相同，但在安全重点方面很可能存在重叠。为避免重复付出，可以使用由互联网安全中心（CIS）开发的两个安全最佳实践集：CIS关键安全控制（CISControls）和CIS基准（CIS Benchmarks）。

利用CIS控制提升网络安全姿态

CIS控制是一套规范性、优先级明确且简化的安全措施，旨在防御常见的网络攻击。通过独特的社区共识过程开发，这些控制项指导你需要优先采取的行动，以提高安全性。这种优先级设置帮助你的组织打下必要的网络安全基础，并在此基础上扩展，即使不再单独探索步骤列表。

CIS控制与多项可能适用的法规和框架相对应，包括：

相关法规和框架

联邦金融机构检验委员会（FFIEC-CAT）
1996年健康保险可携带性和责任法（HIPPA）
MITRE企业ATT&CK v8.2
国家标准与技术协会网络安全框架（NIST CSF）v2.0
支付卡行业数据安全标准（PCI DSS）v4.0
以及更多！

在设定合规目标的前提下，你可以管理优先级和实施过程。CIS控制自我评估工具（CISCSAT）的专业版本，能够帮助安全团队制定实施计划并分配各项任务。团队可以利用该计划跟踪和验证具体控制和CIS安全措施的分配、实施、自动化、文档及报告等，深入理解能够推动你实现合规目标，扩大网络安全计划的工作。


行业标准中提到的CIS基准安全建议

CIS控制第4条着眼于安全配置，这便是CIS基准发挥作用的地方。它们为100多项技术和25个产品供应商系列提供基于共识的指导。

基准中的安全建议有助于加强你的网络安全态势，因为每个基准与控制相映射。此外，多个行业法规将基准视为保护以下信息的标准：

为了确保你的系统已经安全配置，可以利用配置评估。CIS-CAT® Pro，特别是其评估组件，允许你比较系统设置与基准的安全建议之间的一致性。CIS-CATPro还配备了仪表板组件，可以跟踪你在近期内的合规努力。

通过CIS SecureSuite会员资格扩展合规努力

CIS控制和基准帮助你管理安全配置，并扩展网络安全计划，同时简