我需要一個框架嗎？

如果您有客戶、監管機構或董事會成員詢問您如何管理網路安全，是的，有框架參考會使答案變得可信。對於小型組織的純粹內部計劃，CIS Controls IG1 是最低限度的答案。大多數組織應該至少使用一種。

SOC 2 與 ISO 27001 相同嗎？

不同的。 SOC 2 是基於美國的證明式（控制方面的審計意見），美國企業客戶經常需要。 ISO 27001 是國際認證型（經過認證的 ISMS），更嚴格且規範。許多公司都做。 SOC 2 最初實現速度更快； ISO 27001 涵蓋更多領域。

哪個框架給我最實際的安全性？

CIS Controls，以信譽為本。控制措施依影響、具體和可操作的優先順序排列。按順序實施它們會產生明顯的改進。 NIST CSF 對於治理更有用；用於營運的 CIS。

ISO 27001 認證需要多久？

從開始到獲得認證通常需要 9-18 個月。包括差距分析、控制實施、內部審核、認證機構審核（第一階段和第二階段）以及問題補救。較小的組織行動較快；複雜的速度較慢。

MITRE ATT&CK 是網路安全框架嗎？

從技術上講不是——這是對手技術的分類，用於檢測覆蓋率測量。通常與框架一起使用。 CIS Controls 和 NIST CSF 描述了要做什麼；ATT&CK 描述了攻擊者的行為。成熟的程序同時使用兩者。

網路安全框架解釋：NIST、ISO 27001、CIS 控制及其重要性

每個認真對待安全性的組織最終都會選擇一個框架 - NIST CSF、ISO 27001、CIS Controls 或其他幾個框架之一。框架本身不是安全工具；而是安全工具。它們是思考安全計畫的結構化方式。選擇一個（並了解它實際提供什麼）是一項關鍵的策略決策。

完整的文章正文以英文提供如下。

網路安全框架是組織用來建構和衡量其安全計畫的實踐、控制和評估標準的結構化集合。它們本身並不能保證你的安全；它們提供了詞彙表、清單和基準。主要框架有不同的起源、受眾和權衡。

主要框架

NIST網路安全框架(CSF) 2.0.美國自願框架，目前為2.0版本(2024年)。圍繞著六個功能組織：治理、識別、保護、偵測、回應、復原。專為跨行業和規模的廣泛適用性而設計。免費並被廣泛採用。
ISO/IEC 27001. 資訊安全管理系統 (ISMS) 的國際標準。可透過外部審核進行認證。適用於希望第三方認可其安全狀況的組織的國際標準。詳細的;顯著的合規性開銷。
CIS 控制 v8。 網路安全中心的優先 18 個控制。務實和戰術－實際做什麼，依影響排名。實施組（IG1、IG2、IG3）依組織成熟度進行擴展。來自 AICPA 的 Free.
SOC 2. 服務組織控制 2。信任服務標準涵蓋安全性、可用性、處理完整性、保密性、隱私性。許多 B2B SaaS 供應商強制執行。
HIPAA 安全規則。 美國醫療保健特定。法律要求醫療保健實體處理 PHI.
PCI-DSS. 支付卡產業資料安全標準。處理卡片資料的組織需要。高度規範化；涵蓋特定技術控制。
NIST SP 800-53 / 800-171. 美國聯邦機構和聯邦承包商使用的詳細控制目錄。其中最細粒度的是按系列組織的數百個特定控制。
FedRAMP、CMMC. 分別針對雲端服務和國防承包商的美國聯邦特定框架。
MITRE ATT&CK. 本身不是框架 - 對手策略的分類。由檢測工程團隊用來測量覆蓋範圍。

它們有何不同

類別重疊但強調不同的內容：

規定性與靈活。 PCI-DSS 指定精確控制（使用特定演算法加密持卡人資料）。 NIST CSF 描述結果（「保護：身分管理和存取控制」）並讓組織選擇如何實現它們。
可認證與自願。 ISO 27001 在審核後產生證書。 NIST CSF 是自我評估的，沒有證書。
免費與付費。 NIST 和 CIS 都是免費的。 ISO 27001 和 SOC 2 成本高昂（審核費、認證費）。
特定產業與一般產業。 HIPAA、PCI-DSS 適用於特定產業。 NIST CSF、ISO 27001 是通用的。
基於風險與基於控制。 ISO 27001 從風險評估開始。無論風險狀況如何，CIS 控制都會為您提供要實施的優先事項清單。

NIST CSF 2.0 功能

標題架構 — 大多數受美國影響的安全計畫用作參考：

Govern. 建立和監控網路安全策略、政策和監督。 2.0中添加；將領導力和風險管理納入明確範圍。
Identify. 資產管理、業務環境、治理、風險評估。
Protect. 身分管理、存取控制、資料安全、意識訓練、維護。
Detect. 異常、持續監控、偵測流程。
響應。 回應規劃、通訊、分析、緩解。
恢復。 恢復規劃、改進、通訊。

每個功能都有類別和子類別 — 總共有數百個具體結果。組織根據結果評估當前狀態和目標狀態。

CIS 控制 18

CIS 方法更具可操作性：

企業資產盤點和控制
軟體資產盤點和控制
資料保護
企業資產和軟體的安全配置
存取控制管理
持續漏洞管理
審核日誌管理
電子郵件和Web瀏覽器保護
惡意軟體防禦
資料恢復
網路基礎設施管理
網路監控與防禦
安全意識與技能訓練
服務供應商管理
應用軟體安全
事件回應管理
滲透測試

實作群組對控制進行分割：

IG — 最低基本要求網路衛生。 ~56 項保障措施。對於小型組織。
IG2 — 針對具有敏感資料的組織的附加控制。〜131 個安全措施。
IG3 — 所有控制。 ~153 項保障措施。對於面臨複雜威脅的組織。

選擇哪個

務實的答案取決於上下文：

沒有特定合規壓力的小型企業： CIS Controls IG1。具體、免費、可實現。
擁有 B2B 客戶的中型美國公司： NIST CSF 用於內部計劃，SOC 2 用於面向客戶的信任。
國際或大型企業： ISO 27001 用於可認證
US 聯邦承包商： 無論合約要求如何 — 通常是 NIST 800-171 或用於 DoD 工作的 CMMC。
醫療保健： HIPAA 安全規則是強制性的；補充 NIST CSF 或 CIS。
支付處理： PCI-DSS 是強制性的；

大多數成熟的組織最終都會有多個框架 - 一個用於內部程序結構，一個用於面向客戶的認證，分層的部門特定要求。

框架不做什麼

它們不會讓你安全。具有實施不當的控制的符合框架的程序並不比具有良好實施的控制的臨時程序更好。框架提供結構；執行提供安全性。

典型的失敗：組織建構複雜的文件來通過審核，而真正的安全操作卻萎縮。框架在組織實際工作時會有所幫助；當他們替代它時他們會受傷。

常見問題

我需要一個框架嗎？: 如果您有客戶、監管機構或董事會成員詢問您如何管理網路安全，是的，有框架參考會使答案變得可信。對於小型組織的純粹內部計劃，CIS Controls IG1 是最低限度的答案。大多數組織應該至少使用一種。
SOC 2 與 ISO 27001 相同嗎？: 不同的。 SOC 2 是基於美國的證明式（控制方面的審計意見），美國企業客戶經常需要。 ISO 27001 是國際認證型（經過認證的 ISMS），更嚴格且規範。許多公司都做。 SOC 2 最初實現速度更快； ISO 27001 涵蓋更多領域。
哪個框架給我最實際的安全性？: CIS Controls，以信譽為本。控制措施依影響、具體和可操作的優先順序排列。按順序實施它們會產生明顯的改進。 NIST CSF 對於治理更有用；用於營運的 CIS。
ISO 27001 認證需要多久？: 從開始到獲得認證通常需要 9-18 個月。包括差距分析、控制實施、內部審核、認證機構審核（第一階段和第二階段）以及問題補救。較小的組織行動較快；複雜的速度較慢。
MITRE ATT&CK 是網路安全框架嗎？: 從技術上講不是——這是對手技術的分類，用於檢測覆蓋率測量。通常與框架一起使用。 CIS Controls 和 NIST CSF 描述了要做什麼；ATT&CK 描述了攻擊者的行為。成熟的程序同時使用兩者。