实施信息安然打算的挑战很是大年夜。我们需要考虑良多方面，从加密到利用安然，再到灾害恢复。当然还有合规标题问题，企业需要遵循良多律例要求，例如HIPAA、PCI DSS和Sarbanes-Oxley。安然专业人士应当若何放置其工作来成立和保护信息安然打算呢?

　　这恰是IT安然框架和尺度的用武之地。在本文中，我们将深进研究甚么是信息安然框架，并会商一些比较风行的框架和若何利用它们。

　　甚么是IT安然框架?

　　信息安然框架是指一系列文档化流程，这些流程用来定义在企业环境摆设和延续治理信息安然节制所触及的政策和法度。这些框架根基上是一个“蓝图”，用来帮忙企业成立信息安然打算，从而治理风险和削减缝隙。信息安然专业人员可以操纵这些框架对构建安然性到企业的任务来定义和优先排序。

　　这些框架常常被定制来解决具体信息安然标题问题，就像建筑蓝图用来知足其所需要的规格和用处一样。这些框架都是针对特定的行业和不合的合规性方针。这些框架还有不合程度的复杂性和范围。但是，你会发现，跟着这些框架的改进，从一般安然概念来看，这些框架存在相当多的堆叠。

　　框架案例

　　COBIT

　　信息系统和手艺节制方针(COBIT)是ISACA(IT治理专业人士的自力组织)在90年代中期开辟的框架。ISACA目前提供驰名的认证信息系统审计师认证(CISA)和信息安然治理员认证(CISM)。该框架开端首要专注于削减企业的手艺风险，但在COBIT5中还涵盖了让IT遵循企业计谋方针的内容。这个框架是知足Sarbanes-Oxley律例最常常利用的框架。

　　ISO 27000系列

　　ISO 27000系列是由国际尺度化组织开辟的。它供给很是遍及的信息安然框架，可以利用于所有类型和范围的企业。它也能够被觉得是相当于制造业的ISO 9000质量尺度，乃至还包含一个近似的认证过程。从内容来看，该系列被划分成不合的子尺度。例如，ISO 27000包含概述和词汇，而ISO 27001则定义了该项目标要求。ISO 27002从英国尺度BS7799演变而来，定义了信息安然项目中需要的可把持步调。

　　在ISO 27000系列中，还有良多其它尺度和最好实践。例如，ISO 27799定义了医疗保健范畴的信息安然，这对需要HIPAA合规的企业来讲很有效。新的ISO27000尺度则供给了云计较、存储安然和数字取证的具体建议。ISO 27000很遍及，可以用于任何行业，但该认证首要用于想要揭示积极的安然打算的云办事供给商。

　　NIST SP 800系列

　　美国国度尺度与手艺研究所已汇集了大年夜量的信息安然尺度和最好实践文档。他们在1990年初次出版了NIST Special Publication 800系列，该系列此刻已成长到供给触及几近每个方面的信息安然建议。当然不是具体的信息安然框架，但NIST SP 800-53是其它框架的“原始”模型。美国当局机构操纵NIST SP 800-53来遵循联邦信息措置尺度(FIPS )的200条要求。虽然这是针对当局机构的尺度，这个NIST框架可以合用于其它任何行业，对试图成立信息安然打算的企业，不该该忽视这个框架。

　　所有这些框架的优势在于，它们之间存在良多堆叠，所以我们可以在它们之间成立“通道”来显示不合监管尺度的合规性。例如，ISO 27002在第5节定义了信息安然政策;COBIT则在“打算和组织”中进行了定义;Sarbanes Oxley将其定义为“内部环境”;HIPAA将其定义为“指定的安然责任”;而PCI DSS则将其定义为“保护信息安然政策”。经由过程利用共同的框架(例如ISO 27000)，企业可利用这个通道法度来遵循多种律例，例如HIPAA、Sarbanes Oxley、PCI DSS和GLBA。

　　建议和总结

　　具体利用哪个IT安然框架由多个身分影响。但行业类型或合规要求将是决定性身分。公开上市的企业可能想要利用COBIT来更好地遵循Sarbanes Oxley法案。而ISO 27000系列是信息安然框架的代表作，可以或许用于任何行业，虽然摆设过程很漫长。并且，该框架最好用在企业需要经由过程ISO 27000认证奉行信息安然功能的范畴。NIST SP 800-53则是美国联邦机构划定的尺度，但也能够帮忙企业构建特定的手艺信息安然打算。这些框架将帮忙安然专业人士组织和治理信息安然打算。别的，企业最糟的做法就是不利用任何框架。