CIS将发布一致性的企业IT系统安全标准

      信息安全中心(CIS)即将发布指南来指导企业对其安全状况进行评估,同时将发布一项企业服务–提供某一企业和其他企业安全系统状况的对比。

      CIS的CEO Bert Miuccio说,CIS最近一项工程的目标是解除企业的安全困惑,同时解决当前企业IT安全系统评估方式缺乏一致性的问题。

      Miuccio说,我们逐渐意识到,对于"达到什么标准就可算企业IT系统安全达标"这一问题,实际上负责安全系统的专业人员更加困惑。他们知道仅仅是合规拥有审查体系并不能确保能够提高企业安全水平,这也不是评估企业安全水平的最佳方式。

      CIS是一个非营利性组织,由几家企业和其他几家对安全问题感兴趣的组织建立。这一组织创建于2000年,迄今为止已创建了40个安全系统软件基准,基准范围涵盖了操作系统、中间件以及网络设备。这些基准都可以免费从CIS网站上下载到,其目的是帮助企业减少IT系统的安全风险。

      Miuccio说,对于评估系统安全的标准,安全系统的专业人士众说纷纭。CIS综合了85个信息安全专家关于评估方法所达成的一致意见:采用八个度量标准从不同角度进行评估。评估标准将于十月底或十一月初发布。

      两条标准是"成果"标准:安全问题出现的平均时长;从安全问题中恢复的时长。其他的六条标准是和安全处理过程相关的:达到标准配置的系统的百分比;根据政策安装补丁的系统的百分比;有防病毒技术的系统的百分比;有风险评估的商务软件的百分比;拥有插件或漏洞评估的商务软件的百分比;以及在配置前进行安全评估或代码检查的应用软件的百分比。

      随着众多评估标准的出台,CIS计划在同一时间发布基于软件的企业服务,实现企业之间安全系统水平的匿名对比。企业间的财务结果对比很早以前即已采用这一形式,很多企业也用这一方式进行商业运作状况(如客户服务水平)的对比。

      Miuccio说,"安全系统当前尚没有此类对比。相信我们的服务将填补这一空缺。"