使用安全基线
时间:2023年3月14日 星期二
作者:小王
安全基线(security baseline)是最低安全标准,通常是一个检查清单。
一、剪裁(Tailoring)
剪裁指的是为了符合组织任务,对基线里的安全控制列表进行修改。NIST SP 800-53B定义的活动有:
1.识别和确定通用控制
2.应用范围界定
3.选择补偿控制
4.分配控制值
二、范围界定(Scoping)×
范围界定是剪裁过程的一部分,审查基线安全控制列表,并选择应用于组织的控制。
三、最佳实践
NIST SP 800-53附录D、PCI DSS、GDPR等,根据组织所处行业、特点按需选择。