CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
根据用户的知情需求配置数据访问控制列表。将数据访问控制列表(也称为访问权限)应用于本地和远程文件系统、数据库及应用程序。
实施一个自动化工具,例如基于主机的数据丢失防护(DLP)工具,以识别存储、处理或通过企业资产传输的所有敏感数据,包括位于本地或远程服务提供商处的数据,并更新企业的敏感数据清单。
文档数据流。数据流文档包括服务提供商的数据流,并应基于企业的数据管理流程。每年审查和更新文档,或在发生可能影响此保障措施的重大企业变化时进行更新。
对包含敏感数据的终端用户设备上的数据进行加密。示例实现可以包括:Windows BitLocker®、Apple FileVault®、Linux® dm-crypt。
对可移动介质上的数据进行加密。
对存放在服务器、应用程序和包含敏感数据的数据库中的敏感数据进行加密。存储层加密,也称为服务器端加密,满足本安全措施的最低要求。其他加密方法可能包括应用层加密,也称为客户端加密,在这种方法下,访问数据存储设备并不允许访问明文数据。
对传输中的敏感数据进行加密。示例实现可以包括:传输层安全(TLS)和开放安全外壳(OpenSSH)。
根据企业的数据管理流程保留数据。数据保留必须包括最短和最长的时间期限。
为企业建立并维护总体数据分类方案。企业可以使用诸如“敏感”、“机密”和“公开”等标签,并根据这些标签对数据进行分类。每年审查和更新分类方案,或在发生可能影响此保护措施的重大企业变更时进行更新。
根据企业的数据管理流程建立并维护数据清单。至少应清点敏感数据。至少每年审查和更新清单,重点关注敏感数据。
建立并维护数据管理流程。在该流程中,根据企业的敏感性和保留标准,处理数据敏感性、数据所有者、数据处理、数据保留期限及处置要求。每年或在可能影响此保障措施的重大企业变更发生时,审查并更新文档。
记录敏感数据的访问,包括修改和处理。
根据企业的数据管理流程安全处置数据。确保处置过程和方法与数据的敏感性相适应。
根据数据的敏感性对数据进行分段处理和存储。不要在用于低敏感性数据的企业资产上处理敏感数据。