合规与框架
CIS Controls
别称: CIS Top 18, SANS Top 20(旧版)
定义
由 Center for Internet Security 维护的优先级排序的最佳实践网络安全控制集,用于防御最常见的网络攻击。
CIS Controls 是由互联网安全中心(CIS)发布、社区共同维护的优先级网络安全控制框架。当前 8.1 版定义了 18 项控制,细化为 153 项保障措施,并按照组织规模与风险划分为 3 个实施分组(IG1、IG2、IG3)。涵盖企业资产清单、安全配置、账户管理、数据保护、事件响应等内容。CIS Controls 虽非法律强制要求,但被广泛用作实用路线图,并与 NIST CSF、ISO/IEC 27001、PCI DSS 等众多法规和框架进行映射,以简化多框架合规工作。
示例
- 中小企业采用 IG1 保障措施构建基础安全计划。
- 厂商在营销材料中将其产品映射到特定 CIS 保障措施。