用于IT安全和规范的差距分析方法

安全
本文介绍了用于IT安全和规范的差距分析方法。

问:我需要按照一套已有的规定完成一个现有架构的差距分析。目的是找到差距,解决这些问题,从而使基础架构达到中期总结报告的标准。你可以帮助我做这件事吗,***步该从哪开始呢?

答:我的***个问题是:你所提到的已有的规定是什么?是PCI DSS、HIPAA、NERC CIP还是ISO 27001/2?

一旦明确了你需要满足的规定,你就可以进行一个简单的清单差距分析。下面是几种建立和获取体系架构审查清单的方法:

例如,可以将支付卡行业数据安全标准(PCI DSS)的自我评估问卷作为一个起点。对于HIPAA合规,可以在网上找到各种组织提供的现成清单,比如NIST清单。对于NERC CIP,我发现,只要你进行逐项条款而不是逐段条款,他们的标准——与可靠性标准审计工作表(RSAW)一起——可以作为一个相当体面的清单使用。

如果我没有列出与您的组织规范相符合的标准,您可以在互联网上搜索清单,也可根据你所关注的标准建立你自己的清单(下面将详细讲述)。

对于使用清单,我有如下建议:汇集了关于这个问题的内部专家(如类似你情况的网络架构人员)尝试过的标准,并确定以下内容:

1.目前的架构是否符合要求规定?  

2.你能遵守这个规定吗?  

3.如果不符合要求,需要采取哪些行动来达到合规呢?

这个初步清单/标准***的审查方法是使用类似SharePoint的协作工具。在小组审查要求时,你可以跟踪合规评估,收集和发布能够证明合规的文件以及后期行动项目(包括责任和截止日期)。

***,一个可能会出现的问题是:“如果我没有任何可用的清单该怎么办?”在这种情况下,你需要做大量的工作,你需要阅读标准和详细研究满足每一个要求的可能性,这样来建立清单。在过去,我已经这样做了,而且实际上,我采取了审计人员的做法:首先按照一个特定标准规定的要求建立一个问题清单,然后让自己和内部团队成员去检测清单是否符合标准要求。这样做可能开始有点慢,但到***你会完全了解标准的细节。

【编辑推荐】

  1. 缺乏信息安全架构IT治理易成空中楼阁
  2. 如何根据情况更改企业IT安全策略
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2019-09-17 10:45:03

物联网边缘计算IOT

2022-08-09 13:29:25

云计算安全工具

2011-06-30 10:12:57

安全资源技术差距安全从业人员

2014-04-30 12:40:52

安全工具扫描网络发现工具

2022-03-16 10:32:02

安全人员网络安全

2020-07-29 10:52:54

物联网安全技术

2020-01-31 18:56:51

网络安全IT安全漏洞

2019-07-19 10:59:43

云计算安全开发

2020-08-04 12:15:19

物联网安全技能

2023-08-08 08:25:18

2018-12-06 10:17:10

2018-10-06 05:00:53

2020-11-05 10:20:54

前端编码规范安全漏洞

2024-09-24 13:44:37

2013-11-25 10:20:25

2023-12-04 18:08:49

云安全云计算

2021-08-12 10:38:58

安全分析数据安全网络安全

2024-09-23 09:20:00

Python文本分析

2024-02-04 10:20:41

2022-06-16 11:24:53

软件安全区块链去中心化
点赞
收藏

51CTO技术栈公众号