在信息安全与合规的不断演进中，很多企业往往不知道该如何快速、系统地构建并评估自身的控制体系。这时，“规定性控制框架”便成为有力的参考工具。它为公司可以提供了一套标准化的控制措施或控制目标，帮企业在相对成熟的规范指导下降低风险。本文将带你了解常见规定性控制框架及其在实践中的应用与注意事项。

  规定性控制框架也称“标准化控制集”或“控制目标”，是一系列针对特定领域或行业的控制措施和最佳实践指引。采用这些控制框架有以下好处：

  下面列举了一些在业界大范围的应用的规定性控制措施或控制目标示例，帮大家快速了解这些框架及其适用场景。

  ：互联网安全中心 (CIS) 发布的 18 项关键安全控制，旨在为公司可以提供一套既优先又简化的网络安全最佳实践。

  ：希望对网络环境进行整体加固的企业；适合规模不等、行业多样的组织，通过分级实施控制来逐步提升安全性。

  ：由开放式 Web 应用程序安全项目 (OWASP) 提供，帮企业制定、实施与持续改进软件安全策略。

  ：对应用程序安全或软件开发过程有较高要求的企业，尤其是需要定制化的软件安全方法来应对特定风险的组织。

  ：由美国注册会计师协会 (AICPA) 制定的框架，大多数都用在对企业在提供服务时保护客户数据的能力进行审计与认证。

  ：需要对外提供服务并确保数据安全与合规，或希望向客户证明其内部控制体系健全的第三方服务商。

  ：涉及信用卡信息的所有业务流程，如电子商务平台、线上支付服务商及相关第三方合作伙伴。

  ：面向云计算环境的安全控制框架，涵盖多种关键实践，帮助云服务提供商及客户评估云安全风险。

  ：使用或提供云服务的企业，希望在多云或混合云部署中建立可靠、安全的云计算环境。

  首先，需要结合企业的业务流程和风险评估结果，确定规定性控制框架中哪些控制措施可以有明显效果地应对企业面临的实际风险。

  如果接受信用卡支付的企业并不存储信用卡数据，则不必强制采用与“存储数据安全”相关的控制措施。

  但如果相关业务流程可能涉及传输或处理敏感数据，则一定要采用相应的安全措施。

  规定性控制框架为公司可以提供了安全与合规的“指北针”，帮助快速构建完善的安全控制体系并规范管理风险。然而，任何控制框架都不是“放之四海而皆准”的万能工具。只有结合自己业务需求、技术能力和风险环境，灵活挑选并实施适合的控制措施，才能真正发挥规定性框架在信息安全与合规管理上的巨大价值。

  想了解更多关于信息安全合规、审计与风险管理的前沿资讯？欢迎关注我们的公众号或在评论区与我们互动，一起探讨怎么样打造更安全、更合规的企业信息系统！

  呗呵在线 - CIA丨CISA丨审计师考试丨审计方向职业发展业态的支持平台

  最新！高盛警告，将美国衰退概率从此前的20%上调至35%！欧洲多方发声：贸易战只会带来输家

  每经编辑：杜宇据央视新闻4月1日消息，美国总统特朗普近期频频表态，称美国政府4月2日起将对全球征收“对等关税”，并针对特定行业征收额外关税。对此，当地时间3月31日，欧洲多方表示，美国关税政策将影响欧洲经济，不符合任何人的利益，只会带来输家。

  3月31日报道，广东佛山。#主办方回应音乐节观众高喊退票 ：收到反馈后，次日已整改。#音乐节烤肠15一根充电宝10元一小时

  4月1日报道，#平台回应网购遭客服拿地址威胁 ：绝对不允许，建议消费者及时向平台反馈。#杜淳妻子王灿称网购遭客服拿地址威胁

  河南许昌枯井发现近百具遗骸，官方：暂未认定烈士，当前重点核实遗骸身份及牺牲背景是否与抗日战争相关

  特朗普威胁“谈不拢就轰炸”，伊朗强硬回应！伊媒：伊朗各地的导弹已装入发射器

  特朗普称:“胡塞武装的选择很明确，即停止向美国船只开火，我们也会停止向你们开火。否则，我们才起步，对胡塞武装和他们在伊朗的支持者来说，真正的痛苦尚未到来。”

  最近，您是否注意到银行利率的悄然变化?关注银行存款利率，既是守护养老钱的安全盾牌，更是让退休金保值增值的智慧钥匙。

  阜阳市人大常委会原副主任高子球涉嫌严重违纪违法，经安徽省纪委监委指定管辖，目前正接受安庆市纪委监委纪律审查和监察调查。

  马斯克宣布将辞职！他曾自曝“每天都收到死亡威胁”！特朗普：他最终会回归经营自己的公司

  据央视财经援引路透社报道，截至本月5日，美国联邦政府约2.5万名员工被裁，另有7.5万人接受了“买断”计划。

  大公报还通过向有关部门提问相关信息，透露官方对李嘉诚行为的态度。让人意外的是美国竟然公开批评我国的做法，这到底是怎么回事呢?

  呗呵在线是呗呵教育旗下专注CIA，CISA，审计师考试及相关继续教育CPE服务 在线学习平台。