老美的持续监控

读的美国政府的信息安全相关文件越多，越会发现，大多数文件中都会出现“Continuous Monitoring”。

看来，在老美看来，持续监控是至关重要的，估计只有这样他们才能放心，呵呵。

曾经，老美的任何文件中，都会留有一些篇幅来描述持续监控。比如NIST，比如Einstein，比如US Government Cloud Computing。

现在，他们已经不满足于各标准自行规定持续监控了，直接打算出一个标准以规范并治理起来，概况如下：
发起：美国国家技术和标准研究院（NIST）
名称：《联邦政府机构及信息系统的信息安全连续监控（草案）》（Information Security Continuous Monitoring for Federal Information Systems and Organizations，draft-SP-800-137-IPD）

太酷了，估计有了这个再照章实施，他们就能踏实了。
在这个规定中，要求组织制定相应的角色和职责，并严格系统授权。

来张漂亮图片：

还将流程分为六步:
1.定义持续监控策略
2.建立测量机制
3.建立监控并定期评估
4.实施持续监控程序
5.分析数据汇报发现
6.响应发现
7.复查及更新监控程序和策略

持续监控分为11个域，其中很多看上去和27001差不多，有一些不同，比如License Management, Patch Management, Malware Detection等。

依据这种分类，感觉更适用于公司的内部安全管理，增加了可用性。