實施信息安全計劃的挑戰非常大。我們需要考慮很多方面，從加密到應用安全，再到災難恢復。當然還有合規問題，企業需要遵守很多法規要求，例如HIPAA、PCI DSS和Sarbanes-Oxley。安全專業人士應該如何安排其工作來建立和維護信息安全計劃呢?

這正是IT安全框架和標準的用武之地。在本文中，我們將深入研究什么是信息安全框架，并討論一些比較流行的框架以及如何使用它們。

什么是IT安全框架?

信息安全框架是指一系列文檔化流程，這些流程用來定義在企業環境部署和持續管理信息安全控制所涉及的政策和程序。這些框架基本上是一個“藍圖”，用來幫助企業建立信息安全計劃，從而管理風險和減少漏洞。信息安全專業人員可以利用這些框架對構建安全性到企業的任務來定義和優先排序。

這些框架往往被定制來解決具體信息安全問題，就像建筑藍圖用來滿足其所需要的規格和用途一樣。這些框架都是針對特定的行業以及不同的合規性目標。這些框架還有不同程度的復雜性和規模。然而，你會發現，隨著這些框架的改進，從一般安全概念來看，這些框架存在相當多的重疊。

框架案例

COBIT

信息系統和技術控制目標(COBIT)是ISACA(IT管理專業人士的獨立組織)在90年代中期開發的框架。ISACA目前提供知名的認證信息系統審計師認證(CISA)和信息安全管理員認證(CISM)。該框架開始主要專注于減少企業的技術風險，但在COBIT5中還涵蓋了讓IT遵守企業戰略目標的內容。這個框架是滿足Sarbanes-Oxley法規最常用的框架。

ISO 27000系列

ISO 27000系列是由國際標準化組織開發的。它提供非常廣泛的信息安全框架，可以應用于所有類型和規模的企業。它也可以被認為是相當于制造業的ISO 9000質量標準，甚至還包括一個類似的認證過程。從內容來看，該系列被劃分成不同的子標準。例如，ISO 27000包含概述和詞匯，而ISO 27001則定義了該項目的要求。ISO 27002從英國標準BS7799演變而來，定義了信息安全項目中必要的可操作步驟。

在ISO 27000系列中，還有很多其它標準和最佳實踐。例如，ISO 27799定義了醫療保健領域的信息安全，這對于需要HIPAA合規的企業來說很有用。新的ISO27000標準則提供了云計算、存儲安全和數字取證的具體建議。ISO 27000很廣泛，可以用于任何行業，但該認證主要用于想要展示積極的安全計劃的云服務供應商。

NIST SP 800系列

美國國家標準與技術研究所已收集了大量的信息安全標準和最佳實踐文檔。他們在1990年首次出版了NIST Special Publication 800系列，該系列現在已經發展到提供涉及幾乎每個方面的信息安全建議。雖然不是具體的信息安全框架，但NIST SP 800-53是其它框架的“原始”模型。美國政府機構利用NIST SP 800-53來遵守聯邦信息處理標準(FIPS )的200條要求。盡管這是針對政府機構的標準，這個NIST框架可以適用于其它任何行業，對于試圖建立信息安全計劃的企業，不應該忽略這個框架。

所有這些框架的優勢在于，它們之間存在很多重疊，所以我們可以在它們之間建立“通道”來顯示不同監管標準的合規性。例如，ISO 27002在第5節定義了信息安全政策;COBIT則在“計劃和組織”中進行了定義;Sarbanes Oxley將其定義為“內部環境”;HIPAA將其定義為“指定的安全責任”;而PCI DSS則將其定義為“維護信息安全政策”。通過使用共同的框架(例如ISO 27000)，企業可以使用這個通道程序來遵守多種法規，例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

建議和總結

具體使用哪個IT安全框架由多個因素影響。但行業類型或合規要求將是決定性因素。公開上市的企業可能想要使用COBIT來更好地遵守Sarbanes Oxley法案。而ISO 27000系列是信息安全框架的代表作，能夠用于任何行業，盡管部署過程很漫長。并且，該框架最好用在企業需要通過ISO 27000認證推廣信息安全功能的領域。NIST SP 800-53則是美國聯邦機構規定的標準，但也可以幫助企業構建特定的技術信息安全計劃。這些框架將幫助安全專業人士組織和管理信息安全計劃。另外，企業最糟糕的做法就是不使用任何框架。