InformationSecurityArchitectureFramework结构和内容EnterpriseInformationSecurityArchitecture(EISA)是信息安全方案的关键组成部分。EISA的主要功能是以一致的方式记录和传达安全程序的工件。因此,EISA的主要交付成果是一组将业务驱动因素与技术实施指南联系起来的文件。这些文档是通过多层抽象迭代开发的。信息安全应该在架构框架内定义三个维度或视角:代表信息安全的组织和流程维度的“业务”视图。此视图反映了“安全业务”,它表示信息安全在组织中的实施方式,以及“安全业务”如何通过流程、角色、职责和组织结构与企业的其他部分相互关联。表示运行信息安全功能所需信息的信息视图。它代表了安全团队使用的信息模型,以及用于捕获企业信息安全需求的模型。代表安全基础设施的“技术”观点。它捕获用于将不同安全要求抽象为所需硬件和软件配置指南的模型。安全架构应该描述安全是如何融入业务结构的。因此,EISA应该与组织的EA集成。EISA过程必须允许来自其他规划学科的设计组件的输入和接口点(图1)。许多这些输入都可以从EA获得。然后,随着体系结构和安全流程的成熟,EISA和EA之间的关系应该变得越来越共生和集成。图1EISA(企业信息安全体系结构)内容EISA由三层文档组成:要求:定义体系结构要实现的目标的文档。在概念层面上,这可以表示业务需求,例如战略产品计划或法规要求。在实施层面,它可以代表一个技术产品规范。原则:包含在架构过程中指导决策的陈述的文档。模型:当前和未来状态的替代模式或表示。基于模式的模型表示业务流程和应用程序中反复出现的特征,并用作决策工具。当前和未来状态模型用于提高利益相关者之间的共识,以及用于项目规划和优先级排序的差距分析。实施安全体系结构的不同方法“安全体系结构”一词可互换使用,用于描述一个过程、一组可交付成果,有时还描述作为过程结果实施的解决方案。企业信息安全架构(EISA)是交付规划、设计和实施文档(工件)以支持信息安全计划的过程。EISA过程是一组动态的规划和设计活动。这些活动的确切性质取决于组织对其安全架构采取的方法。存在三种不同的战略方法:战略更新方法,其中架构的主要功能是指导企业安全环境的全面更新。一种机会主义方法,其中体系结构仅用于开发特定项目和程序的安全要求。一种混合方法,其中架构主要以机会主义的方式使用,但也有选择地用于更具战略性的规划目的。定义有效信息安全计划的结构和范围有效的信息安全需要一种综合方法,其中安全是业务流程核心结构的一部分,也是组织文化的关键组成部分。这意味着安全团队必须努力将安全的关键组件(策略、流程、行为和技术)注入IT的所有方面:业务流程、应用程序、技术基础架构,最重要的是人员。挑战的范围要求在更大的组织内建立战略安全计划。有效的安全计划始于建立资源和原则框架。使用此框架,可以管理项目的优先列表。信息安全计划的主要目标是建立一种连续的、迭代的方法来规划、构建和操作源自业务需求的安全解决方案。为确保此类解决方案的可扩展性和可重复性,安全团队必须定义和实施战略安全流程。该计划应考虑到这样一个事实,即有效的安全态势是建立在适当的策略之上的,该策略由操作流程、文化行为和技术的有效组合来实施。下图显示了安全模型的组件:
