共同控制安全框架的基本面

安全风险和合规团队处于恒定的助焊状态,因为他们努力跟上安全框架,标准和法规的字母汤。考虑以下方案:

共同控制框架挑战

您刚刚使用NIST Cyber​​Security Framework(NIST CSF)完成了您的评估。您现在对您所处的位置和您当前的国家个人资料如下 NIST CSF框架。几个星期后,您的执行管理似乎听到了福利 Fedramp. 优惠,如竞标大量美元的政府合同,以及您是全球公司,您的首席合规官员也向您通知了您的GDPR。你恐慌并开始寻找之间的共性 Fedramp.,nist csf和gdpr。

我震惊了在金融部门和医疗保健到制造业的网络安全几乎每次垂直一遍遍布同样的次数。在那种情况下唯一改变的事情是新的缩略语。具有快速新兴需求和大量冗余的多个安全框架是常见的。

共同控制框架

这是“共同控制框架”的概念和思想。主要思想是,如果我们能够遵守框架的单一要求,理论上,我们应该能够重用对所有框架的要求的遵守。这是网络安全合规性和风险管理的圣杯。

共同控制专家

在理论和实践中,有几种方法可以实现这种共同控制框架。我们还可以争论定义“要求”是什么,以及“控制”是什么。我们还可以开始讨论合规科学,并采取纯粹,学术和理论方法对共同控制的发展主题。该行业充满了这些类型的专家,我们会在大多数情况下这么说,这些人正在以主要的方式帮助行业。但是因为这些讨论总是专注于 “为什么,” 他们很少导致现代组织的实际共同控制框架的实际专业知识。在这个博客中,我们将把它击落到基本基本的基础积木,然后从那里建立我们的框架。

你需要知道什么:

只要 为组织开发共同控制框架的两种方法 - 并且了解细微差异可以让您的生活更轻松。

方法1:控制协调

协调是创建从几种源语言的全新语言达成考虑内容&语境。在理论上,单词和句子的意图和含义仍然完好无损,但是 语言和实际单词已更改 具有定义的新谐析含义。

如果每个人都说单一语言,例如英语,在全球范围内,它不会更有效吗?更好的是,如果我们只知道英语和没有其他语言,怎么办?这就是这里的想法 - 理论上非常好,但实际上,人们总会谈论许多不同的语言。安全性不是不同的 - 域专家和法律专家将始终创建一种新的语言集(因此,网络监管和标准开发景观中的激进变化和更新)。

但是,如果我们实际上可以实现单一语言作为一个行业的用法,在全球范围内,它会产生重大好处,这将是 最有效的操作方式 不仅是安全专业人士,也是人类。也许它会使我们能够重建巴贝尔技术塔。 UCF(统一合规框架)是这种类型的构造的一个例子。拥有单一语言的好处可以真正在工作和个人生活中真正令人惊叹,但对于现代公司来说是完全不切实际的和不可认真的。

方法2:控制映射

这是在学习协调的利弊之后。今天, 最辉煌和前瞻性的安全专业人员正在使用映射方法。这种方法背后的主要思想是保持原始语言在映射和匹配每个句子和单词的意图和含义时保持原始语言。我们称之为最实际和最现实的方法,因为这就是人类如何在全球范围内互相互动。您可以在现实生活中看到这两个不同的人在那里,个人们掌握了两种不同的语言,并保持主要完整,但翻译或语言学家在两者之间翻译 - 地图是在语言学家的思想中开发的。

语言解释是映射的一个极端例子 - 正式,我们称之为翻译。事实上,我争辩说,可以开发复杂的安全映射表的人可能是一个出色的语言学家。我有机会在中东地区正式地正式正式上班,担任美国军队。在我们的防御语言能力测试(DLPT)期间,测试的标准之一是您如何将一个单词映射到另一个单词并记住地图。您在映射和维护心理贴图时越好 - 拾取学习复杂语言的机会越好,例如阿拉伯语或中国普通话。

在居住框架,云安全联盟框架,甚至是美国政府中,可以看到用于网络安全框架的一些现实生活示例,因为它正式使用NIST SP 800-53附录H-NIST RMF到ISO 27001映射表。映射的缺点是新框架的连续映射。然而,利益是它允许您实际地从介绍新监管时易碎的单一单片语言。

抓住我们的下一个博客 我们符合为什么我们需要安全计划?

了解有关Ignyte保证平台如何翻译和映射引擎的工作, 请求演示 today.