问：我需要按照一套已有的规定完成一个现有架构的差距分析。目的是找到差距，解决这些问题，从而使基础架构达到中期总结报告的标准。你可以帮助我做这件事吗，第一步该从哪开始呢?

　　答：我的第一个问题是：你所提到的已有的规定是什么？是PCI DSS、HIPAA、NERC CIP还是ISO 27001/2？

　　一旦明确了你需要满足的规定，你就可以进行一个简单的清单差距分析。下面是几种建立和获取体系架构审查清单的方法：

　　例如，可以将支付卡行业数据安全标准（PCI DSS）的自我评估问卷作为一个起点。对于HIPAA合规，可以在网上找到各种组织提供的现成清单，比如NIST清单。对于NERC CIP，我发现，只要你进行逐项条款而不是逐段条款，他们的标准——与可靠性标准审计工作表（RSAW）一起——可以作为一个相当体面的清单使用。

　　如果我没有列出与您的组织规范相符合的标准，您可以在互联网上搜索清单，也可根据你所关注的标准建立你自己的清单（下面将详细讲述）。

　　对于使用清单，我有如下建议：汇集了关于这个问题的内部专家（如类似你情况的网络架构人员）尝试过的标准，并确定以下内容：

　　1．目前的架构是否符合要求规定？

　　2．你能遵守这个规定吗？

　　3．如果不符合要求，需要采取哪些行动来达到合规呢？

　　这个初步清单/标准最好的审查方法是使用类似SharePoint的协作工具。在小组审查要求时，你可以跟踪合规评估，收集和发布能够证明合规的文件以及后期行动项目（包括责任和截止日期）。

　　最后，一个可能会出现的问题是：“如果我没有任何可用的清单该怎么办？”在这种情况下，你需要做大量的工作，你需要阅读标准和详细研究满足每一个要求的可能性，这样来建立清单。在过去，我已经这样做了，而且实际上，我采取了审计人员的做法：首先按照一个特定标准规定的要求建立一个问题清单，然后让自己和内部团队成员去检测清单是否符合标准要求。这样做可能开始有点慢，但到最后你会完全了解标准的细节。

（责编：陈广成）

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。