企业信息安全架构(EISA)是信息安全计划的关键组成部分。EISA的主要功能是以一致的方式记录和通信安全程序的工件。因此,EISA的主要可交付成果是一组将业务驱动因素与技术实现指导联系起来的文档。这些文档是通过多层抽象迭代开发的。
信息安全应在架构框架中定义三个维度或视角:
安全架构应该描述如何将安全性编织到业务结构中。因此,EISA应该与组织的EA集成。EISA过程必须允许来自其他规划规程的设计组件的输入和接口点(图1)。许多这些输入可以从EA获得。然后,随着架构和安全过程的成熟,EISA和EA之间的关系应该变得越来越共生和集成。
图1
EISA由三层文件组成:
术语“安全架构”可替换地用于描述一个过程、一组可交付成果,有时也用于描述作为该过程的结果而实现的解决方案。企业信息安全架构(EISA)是为支持信息安全计划而交付规划、设计和实现文档(工件)的过程。
EISA过程是一组动态的规划和设计活动。这些活动的确切性质取决于组织对安全架构采取的方法。有三种不同的战略方法:
有效的信息安全需要一种集成的方法,在这种方法中,安全是业务流程核心结构的一部分,是组织文化的一个关键组成部分。这意味着安全团队必须努力将安全性的关键组件(策略、流程、行为和技术)注入IT的所有维度:业务流程、应用程序、技术基础设施,最重要的是人员。挑战的范围要求在更大的组织内建立战略安全计划。
一个有效的安全计划始于建立一个资源和原则框架。使用这个框架,可以管理项目的优先顺序列表。信息安全计划的主要目标是建立一个连续的、迭代的方案来规划、构建和运行从业务需求派生的安全解决方案。为了确保这种解决方案的可伸缩性和可重复性,安全团队必须定义和实现战略安全流程。该计划应考虑到这样一个事实,即有效的安全态势是建立在适当的政策基础上的,而这些政策是由操作过程、文化行为和技术的有效组合所实施的。下面是一个显示安全模型组件的图表。
本文:http://jiagoushi.pro/node/1064
讨论:请加入知识星球【首席架构师圈】或者小编小号【jiagoushi_pro】
微信公众号 | 关注微信公众号【首席架构师智库】 | |
---|---|---|
微信小号 | 希望加入的群:架构,云计算,大数据,数据科学,物联网,人工智能,安全,全栈开发,DevOps,数字化,产品转型。 | |
知识星球 | 向大咖提问,近距离接触,或者获得私密分享。 | 点击加入知识星球【首席架构师圈】 |
微信圈子 | 志趣相投的同好交流。 | 点击加入微信圈子【首席架构师圈】 |
喜马拉雅 | 路上或者车上了解最新黑科技资讯,架构心得。 | 点击,收听【智能时刻,架构君和你聊黑科技】 |
知识星球 | 认识更多朋友,职场和技术闲聊。 | 点击加入知识星球【知识和技术】 |