讀的美國政府的信息安全相關文件越多,越會發現,大多數文件中都會出現“Continuous Monitoring”。
看來,在老美看來,持續監控是至關重要的,估計只有這樣他們才能放心,呵呵。
曾經,老美的任何文件中,都會留有一些篇幅來描述持續監控。比如NIST,比如Einstein,比如US Government Cloud Computing。
現在,他們已經不滿足於各標準自行規定持續監控了,直接打算出一個標準以規範並治理起來,概況如下:
發起:美國國家技術和標準研究院(NIST)
名稱:《聯邦政府機構及信息系統的信息安全連續監控(草案)》(Information Security Continuous Monitoring for Federal Information Systems and Organizations,draft-SP-800-137-IPD)
太酷了,估計有了這個再照章實施,他們就能踏實了。
在這個規定中,要求組織制定相應的角色和職責,並嚴格系統授權。
來張漂亮圖片:
還將流程分爲六步:
1.定義持續監控策略
2.建立測量機制
3.建立監控並定期評估
4.實施持續監控程序
5.分析數據彙報發現
6.響應發現
7.複查及更新監控程序和策略
持續監控分爲11個域,其中很多看上去和27001差不多,有一些不同,比如License Management, Patch Management, Malware Detection等。
依據這種分類,感覺更適用於公司的內部安全管理,增加了可用性。