网络安全框架主要包括安全控制框架（SCF）、安全管理框架（SMP）和安全治理框架（SGF）等类型。对于那些希望按照行业最佳实践来开展网络安全能力建设的企业来说，理解并实施强大的网络安全框架至关重要。本文收集整理了目前行业中已被广泛应用的10种较流行网络安全框架，并对其应用特点进行了简要分析。

01CIS关键安全控制

CIS关键安全控制（CIS Controls）框架提供了一系列简单的、清晰的、规范化的网络安全防护最佳实践，可用于增强组织的网络安全态势。框架中所列举的控制措施是全球数千名网络安全专家在达成共识的情况下不断发展完善而来的。该框架可以帮助企业简化威胁防护、遵守行业监管法规、做好网络安全基本功、将信息转化为实际行动以及遵守法律法规。

传送门：

https://www.cisecurity.org/controls

02COBIT

COBIT（即信息和相关技术的控制目标）来自ISACA（国际信息系统审计协会），是一个强大的IT管理和治理框架。该框架以数字化业务发展为中心，为IT管理定义了一组通用流程，每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。业内专业人士表示，COBIT是解决企业组织信息和技术治理和管理的模型，虽然其主要目的不是专门针对网络安全风险，但在整个框架中整合了多种风险实践，并引用了多个全球公认的风险框架。COBIT框架主要由以下五个部分组成：体系架构、流程描述、控制目标、管理指导方针以及成熟度模型。

传送门：

https://www.isaca.org/resources/cobit

03CSA云控制矩阵（CCM）

CSA云控制矩阵（CCM）是一种专门为云计算量身定制的网络安全控制框架。它包括了覆盖17个安全领域的197个控制目标，涵盖云应用安全的所有重要方面。该框架对于系统性地评估云实施非常有用，同时还为组织提供了实施哪种安全控制措施方面的建议。CSA云控制矩阵控制框架与CSA云计算安全指南保持一致，被认为是云安全保障和合规方面的应用实践标准之一。

传送门：

https://cloudsecurityalliance.org/research/cloud-controls-matrix/

04NIST网络安全框架（CSF）

NIST网络安全框架旨在帮助组织启动或增强网络安全计划。它基于一套成熟的网络安全建设实践，有助于加强组织的网络安全防御。该框架可以促进组织内、外部各方在网络安全方面的协作与对话，尤其对于大型企业组织，该框架可以将网络安全风险管理与更广泛的企业风险管理策略相集成和协调。

这套框架可以帮助各类型的组织更有效地理解、管理和降低面临的网络安全风险，并保护网络和数据。它为企业组织概述了一系列最佳实践，有助于确定将时间和资金重点投入到哪个方面，从而确保有效地保护网络安全。

传送门：

https://hitrustalliance.net/product-tool/hitrust-csf/

05TARA

根据网络安全公司MITRE的定义，TARA（威胁评估和补救分析）是一种网络安全工程方法框架，用于识别和评估网络安全漏洞并部署对策来缓解它们。TARA是一种在考虑缓解措施的同时确定关键风险的实用方法，其独特之处包括使用目录存储的缓解映射方式，为给定的攻击向量范围预先选择可能的对策，以及提供基于风险容忍度的对策。

该框架同时也是MITRE系统安全工程（SSE）实践组合的一部分。MITRE方面表示，TARA评估方法可以被描述为联合交易研究，其中第一个交易是基于评估的风险识别和排列攻击向量，第二个交易是基于评估的效用、成本识别和选择对策。

06SOGP

信息安全良好规范标准（SOGP）是由信息安全论坛（ISF）发布，这是一套以业务安全为重心、注重实用的综合性安全实践指南，主要可用于识别和管理组织及第三方供应链中的信息安全风险，从而在信息安全建设方面提供实用可靠的指引。该框架能够帮助组织将当前的安全建设最佳实践以及风险管理和合规框架落实到业务运营、信息安全计划和政策中。该标准被目前已经被各类型组织的首席信息安全官（CISO）、信息安全经理广泛采用。

传送门：

https://en.wikipedia.org/wiki/Standard_of_Good_Practice_for_Information_Security

07OCTAVE

OCTAVE（运营关键威胁、资产和漏洞评估）由卡内基梅隆大学的计算机应急小组（CERT）开发，主要用于识别和管理信息安全风险的网络安全框架。它可以从物理、技术和人力资源的角度来全面看待网络安全，并可以识别企业组织关键任务资产，发现其中的威胁和漏洞OCTAVE-S是一种简化方法，主要为具有扁平层次结构的小型企业组织而设计。而OCTAVE Allegro是一个更加全面的框架，适用于大型或结构复杂的企业组织。

08ISO / IEC 27001:2022

ISO/IEC 27001是一项全球公认的信息安全管理系统（ISMS）标准，设定了网络和信息化系统必须满足的安全标准。这项标准为各种规模的组织建立、实施、维护和持续增强其信息安全管理体系提供了全面的指导。ISO/IEC 27000系列中的十多项标准较全面地涵盖了数据保护和网络弹性方面的行业最佳实践。它们共同使所有行业、各种规模的组织都能够管理资产的安全性，比如财务信息、知识产权、员工数据以及第三方委托看管的信息等资产。

传送门：

https://www.iso.org/standard/iso-iec-27000-family

09HITRUST CSF

HITRUST CSF是一种可认证的网络安全框架，能够为组织提供一种有效的方法来确保在数字化发展中的法律合规，并妥善管理网络安全风险。它提供了必要的框架、透明度、指南以及交叉引用权威来源，帮助企业能够确保遵守数据保护规定。早期版本的HITRUST CSF主要利用了美国国内的安全和隐私相关法规、标准及框架，包括ISO、NIST、PCI、HIPAA，以确保安全和隐私控制。在最新版本中，则吸纳了更多国际公认的法规来源和应用实践。

传送门：

https://www.nist.gov/cyberframework/framework

10PCI DSS

支付卡行业数据安全标准（PCI DSS）是一种主要用于管理支付卡发卡机构信息安全的安全标准。这项标准由支付卡行业安全标准委员会（PCI SSC）制定并实施监管，需要各大支付卡机构共同遵守，其目的是加强对持卡人数据的管理，最大限度地减少信用卡欺诈。

PCI DSS不是一项法律或法规要求。然而，它已经成为处理和存储信用卡、借记卡及其他支付卡交易的企业组织需要遵守的一项义务。只有满足PCI DSS的要求，支付卡机构才能为其客户建立和维护一个安全的环境。

传送门：https://www.pcisecuritystandards.org/document_library/?document=pci_dss

参考链接：https://www.helpnetsecurity.com/2024/01/16/cybersecurity-frameworks/