Standards 标准
告知如何制定 policy 的参考依据。Standards 不是规则本身,是规则的来源。
Policy / Standard / Procedure 三层关系
| 层级 | 是什么 | 例子 |
|---|---|---|
| Policy | 高层意图(“做什么”) | “所有员工密码必须强壮” |
| Standard | 具体技术要求(“达到什么”) | ”≥ 12 位,大小写+数字+符号,每 90 天换” |
| Procedure | 操作步骤(“怎么做”) | “登录 AD → 用户属性 → 重设密码 → …” |
Policy 指方向,standard 量化指标,procedure 给手把手指引。
常见 standards 来源
- NIST SP 800 系列 —— 美国国家标准,联邦机构强制,业界事实标准(见 NIST SP 800-53)
- ISO/IEC 27001 / 27002 —— 国际信息安全管理体系
- PCI DSS —— 支付卡行业,处理信用卡的必须遵
- CIS Benchmarks —— 各种系统/软件的硬化基线
- HIPAA Security Rule —— 美国医疗(见 HIPAA)
跟 Compliance 的关系
合规 = 证明你符合某套 standards。Standards 是尺子,compliance 是量出来的结果。