信息安全架構框架的結構與內容

企業信息安全架構(EISA)是信息安全計劃的關鍵組成部分。EISA的主要功能是以一致的方式記錄和通信安全程序的工件。因此，EISA的主要可交付成果是一組將業務驅動因素與技術實現指導聯系起來的文檔。這些文檔是通過多層抽象迭代開發的。

信息安全應在架構框架中定義三個維度或視角：

• 表示信息安全組織和流程維度的“業務”視圖。這種觀點反映了“安全業務”，即它代表了信息安全在組織中的實施方式，以及“安全業務”如何通過流程、角色、職責和組織結構與企業的其他部分相互關聯。
• 表示運行信息安全功能所需信息的“信息”視圖。它表示安全團隊使用的信息模型，以及用于捕獲企業信息的安全需求的模型。
• 代表安全基礎架構的“技術”觀點。它捕獲用于將不同的安全需求抽象為所需硬件和軟件配置指南的模型。

安全架構應該描述如何將安全性編織到業務結構中。因此，EISA應該與組織的EA集成。EISA過程必須允許來自其他規劃規程的設計組件的輸入和接口點(圖1)。許多這些輸入可以從EA獲得。然后，隨著架構和安全過程的成熟，EISA和EA之間的關系應該變得越來越共生和集成。

圖1

EISA(企業信息安全架構)內容

EISA由三層文件組成：

• 需求：定義架構要實現的目標的文檔。在概念層，這可以表示業務需求，例如戰略產品計劃或法規要求。在實現層，它可以表示技術產品規范。
• 原則：包含在架構(architecture)過程中指導決策的語句的文檔。
• 模型：替代模式或當前和未來狀態的表示。基于模式的模型表示業務流程和應用程序中重復出現的特性，并用作決策工具。當前和未來狀態模型用于提高利益相關者之間的共同理解，并用于項目規劃和優先順序的差距分析。

用于實現安全架構的不同方法

術語“安全架構”可替換地用于描述一個過程、一組可交付成果，有時也用于描述作為該過程的結果而實現的解決方案。企業信息安全架構(EISA)是為支持信息安全計劃而交付規劃、設計和實現文檔(工件)的過程。

EISA過程是一組動態的規劃和設計活動。這些活動的確切性質取決于組織對安全架構采取的方法。有三種不同的戰略方法：

• 戰略更新方法，其中架構的主要功能是指導企業安全環境的全面更新。
• 機會主義方法，其中架構僅用于開發特定項目和計劃的安全需求。
• 混合方法，其中架構主要以機會主義的方式使用，但也有選擇地用于更具戰略性的規劃目的。

定義有效信息安全計劃的結構和范圍

有效的信息安全需要一種集成的方法，在這種方法中，安全是業務流程核心結構的一部分，是組織文化的一個關鍵組成部分。這意味著安全團隊必須努力將安全性的關鍵組件(策略、流程、行為和技術)注入IT的所有維度：業務流程、應用程序、技術基礎設施，最重要的是人員。挑戰的范圍要求在更大的組織內建立戰略安全計劃。

一個有效的安全計劃始于建立一個資源和原則框架。使用這個框架，可以管理項目的優先順序列表。信息安全計劃的主要目標是建立一個連續的、迭代的方案來規劃、構建和運行從業務需求派生的安全解決方案。為了確保這種解決方案的可伸縮性和可重復性，安全團隊必須定義和實現戰略安全流程。該計劃應考慮到這樣一個事實，即有效的安全態勢是建立在適當的政策基礎上的，而這些政策是由操作過程、文化行為和技術的有效組合所實施的。下面是一個顯示安全模型組件的圖表：