CSA對CI保護框架的評論建議匯總

：IT薦2年8月7T安或從1到球0的0多位專家人士參加了會議建言獻策。另T通過評論征集（I）的方式收集了0家位個的論建，括安聯(lián)盟A對架運和足出諸。了A（4和3關(guān)、。一、SA的分析建議1、決力T全架的項框能幫組開絡(luò)全作組以用循T將以F。。果將A云制陣加框中將助解這鍵題實上織可。用IT和A現(xiàn)？該框架否允許更好評估風(fēng)險，更效地管理風(fēng)險和/或增加理風(fēng)險的潛方法數(shù)？實框后哪能改網(wǎng)安相指?上述我為。A的”。?是到引同式這是地在?緩?/第?？整一，。問：險本險施、可阻礙組使用IT安全架或更易或更廣地使用框架的戰(zhàn)（例如：差）T全架一大，是們?yōu)橐怀Ｒ仔麓蚴怯?。T前偏地署題今多司保安方有理或理解共同責(zé)任模式。事實上，許多公司甚至沒有保護自己的云基礎(chǔ)設(shè)施。相反，將aaS或aaS的明。這面T沒真處共任問。框似定一更謹守T是。，大。A云控矩陣分解了M以及圍適用性映，以及典型控制適用和所。有T合?I為TF不的T沒。IT增樣；施第3。各。：M務(wù)M:和aaS務(wù)M:流M:括aaS用。對IT響大和。IT方式A此TA。進IT他IT源益。：風(fēng)管資，如T風(fēng)管框、T隱框，及成絡(luò)全T。如TTT絡(luò)。。F射F到網(wǎng)。合IT非IT架TT政府機構(gòu)的其他框架、網(wǎng)絡(luò)安全相關(guān)任務(wù)或資源是否存在共性或沖突？是否有方法改進T框架與其他框架的一致性或集成，例如像/C、/CS0系列TF展題4A的M大多數(shù)（標(biāo)準）引用與框架對齊，例如/C0系列、T3、ASP。用、織夠容有地新術(shù)務(wù)鑒種要T該慮步來?數(shù)：V：3。：據(jù)入IT料該劃在義T和業(yè)源及文、品和務(wù)素與T各文之如TT控TP）TT及TT能。就AM）Q控M到0/包括T3、eMP和F），并對可審計性和實施性進行更新。這些是SA。安II）S?T其，?除了立軟件材料單（M）外還需要建立服務(wù)的aaM。數(shù)識別和保道aaS見A為aaM。法源T迎狹的域硬或件證保服，具的）此之。慮適?外T軟和應(yīng)指資是適地決開源軟相的要T現(xiàn)?就A言除了A對的M南，A開了于聯(lián)環(huán)境AT洞。合的T安由T風(fēng)。二、SA的整體建議為T：目架針鍵施沒供討當(dāng)架指定e）及相應(yīng)的風(fēng)偏好（ef）。從風(fēng)的角度來看，確關(guān)鍵部門的推論是組織對風(fēng)險的地M）到。目的T架識沒與/使于服臺的"風(fēng)云。。組件險素戰(zhàn)略乏一云算略或其戰(zhàn)不致。應(yīng)或戶乏/中險。對的理率下。少行略技和驗。共享服務(wù)模式（與責(zé)任分擔(dān)）閱有供商服務(wù)使戶即露一新管模下這模在客和提商間配各角和動?？陀腥谓ㄒ獙嵑褪炘乒┑拇_現(xiàn)RM式的務(wù)量違或償任應(yīng)合中先定。喪失對技術(shù)資的控制或訪能）除有部外云式中戶去對有理術(shù)產(chǎn)自和問這能大降客直控相技資性的力。外直影到證持監(jiān)的念樣，SF也到這要，在于的境，要外指。絡(luò)全旦云生系立將織露來全各威者無衡量威和險下。在NSTSF初布時種模風(fēng)（對存的（當(dāng)）不云務(wù)目。據(jù)理據(jù)許基云產(chǎn)和務(wù)后幣產(chǎn)計當(dāng)實和案導(dǎo)糟的績規(guī)監(jiān)的款處罰及譽信任破。務(wù)作彈和直線成組的要性果符要會致務(wù)敗。在基于云的生態(tài)系統(tǒng)中，業(yè)務(wù)彈性和恢復(fù)成為一個關(guān)鍵問題，雖然SF有些念但有導(dǎo)何基云環(huán)中現(xiàn)測。從法）全守有關(guān)戶適律一預(yù)的務(wù)對續(xù)符的證達和持。應(yīng)該為任何SF的更新制定相關(guān)的指導(dǎo)和要求，特別是供應(yīng)鏈風(fēng)險，因合性能要外SP基外法法和要提服。置誤據(jù)Garner估計，到205年，超過99%的云計算故障與客戶的錯誤配置和誤管有關(guān)。NSTSF的新提了一理想機會加強架，減這預(yù)的敗率制指和則客能更效高效管他的服提商組。件應(yīng)處置當(dāng)不存在對技術(shù)資產(chǎn)的控制和訪問時，制定一個有效的事件響應(yīng)(R)和理劃能有戰(zhàn)和本力。NIT的事件管理框架應(yīng)號F緊密結(jié)合。NIT計劃的準備階段需要大的期作協(xié)調(diào)為時取息分以理在違行和救實違行可需在動、控報方進大投資。供應(yīng)商的選擇測一素范圍模執(zhí)方都有要義與傳技平臺基云服的移正。獲取技術(shù)服務(wù)的便利性與確保所有云供應(yīng)商得到適當(dāng)審查的潛在困難相合使NITSF理提