在开始任何安全架构工作之前,定义安全需求是很重要的。这些需求应该受到业务上下文和通用需求远景文档的影响。下面是一个图表,它显示安全需求是企业信息安全体系结构中业务上下文的一部分。
图1
安全需求远景(SRV)有助于将安全解决方案与定义的业务需求联系起来。它支持业务策略和安全决策之间的可跟踪性。
SRV的内容通常包括
战略安全体系结构原则指导在体系结构开发、设计和实现阶段做出的决策。这些原则指导了一种安全体系结构策略,该策略通过以下方式从各种断开连接的安全活动移动到一致的未来状态:
安全治理、管理和操作具有非常不同的功能。
这是三者之间的关系
图2
首席信息安全干事(CISO)不断面临压力,要在复杂的环境中提供一致、可证明和经济高效的安全。流程目录中定义和优先排序的一组关键安全流程将使CISO能够满足客户、合作伙伴、供应商、审计师和监管机构的需求。它也为安全服务目录在正式服务模型下提供可收费的安全服务奠定了基础,从而为组织的IT交付的新方法的发展做准备。
某些流程对于有效地管理安全性至关重要,它们应该在流程目录中定义。尽管这些过程通常是为了定义的目的而单独定义的,但它们在实践中不太可能孤立地运行。在大多数情况下,这些过程之间会有相互依赖的关系。
在战略安全计划方面有一定进展的组织,将需要一个更全面的投资组合(见图)。这样一个组合可以描述两类流程——战略流程(那些支持安全团队和业务之间关系的流程)和保护流程(更多直接旨在保持企业安全的操作流程)。
图3
对于给定的流程,第一步是分配(或验证)流程所有权,然后开始记录单个流程。在顶层,正式流程定义应包括以下组件:
本文:http://jiagoushi.pro/node/1063
讨论:请加入知识星球【首席架构师圈】或者微信小号【jiagoushi_pro】
微信公众号 | 关注微信公众号【首席架构师智库】 | |
---|---|---|
微信小号 | 希望加入的群:架构,云计算,大数据,数据科学,物联网,人工智能,安全,全栈开发,DevOps,数字化,产品转型。 | |
知识星球 | 向大咖提问,近距离接触,或者获得私密分享。 | 点击加入知识星球【首席架构师圈】 |
微信圈子 | 志趣相投的同好交流。 | 点击加入微信圈子【首席架构师圈】 |
喜马拉雅 | 路上或者车上了解最新黑科技资讯,架构心得。 | 点击,收听【智能时刻,架构君和你聊黑科技】 |
知识星球 | 认识更多朋友,职场和技术闲聊。 | 点击加入知识星球【知识和技术】 |