「企业安全架构」EA874:信息安全架构

信息安全架构框架的结构与内容

企业信息安全架构（EISA）是信息安全计划的关键组成部分。EISA的主要功能是以一致的方式记录和通信安全程序的工件。因此，EISA的主要可交付成果是一组将业务驱动因素与技术实现指导联系起来的文档。这些文档是通过多层抽象迭代开发的。

信息安全应在架构框架中定义三个维度或视角：

安全架构应该描述如何将安全性编织到业务结构中。因此，EISA应该与组织的EA集成。EISA过程必须允许来自其他规划规程的设计组件的输入和接口点（图1）。许多这些输入可以从EA获得。然后，随着架构和安全过程的成熟，EISA和EA之间的关系应该变得越来越共生和集成。

图1

EISA(企业信息安全架构)内容

EISA由三层文件组成：

用于实现安全架构的不同方法

术语“安全架构”可替换地用于描述一个过程、一组可交付成果，有时也用于描述作为该过程的结果而实现的解决方案。企业信息安全架构（EISA）是为支持信息安全计划而交付规划、设计和实现文档（工件）的过程。

EISA过程是一组动态的规划和设计活动。这些活动的确切性质取决于组织对安全架构采取的方法。有三种不同的战略方法：

定义有效信息安全计划的结构和范围

有效的信息安全需要一种集成的方法，在这种方法中，安全是业务流程核心结构的一部分，是组织文化的一个关键组成部分。这意味着安全团队必须努力将安全性的关键组件（策略、流程、行为和技术）注入IT的所有维度：业务流程、应用程序、技术基础设施，最重要的是人员。挑战的范围要求在更大的组织内建立战略安全计划。

一个有效的安全计划始于建立一个资源和原则框架。使用这个框架，可以管理项目的优先顺序列表。信息安全计划的主要目标是建立一个连续的、迭代的方案来规划、构建和运行从业务需求派生的安全解决方案。为了确保这种解决方案的可伸缩性和可重复性，安全团队必须定义和实现战略安全流程。该计划应考虑到这样一个事实，即有效的安全态势是建立在适当的政策基础上的网站安全架构，而这些政策是由操作过程、文化行为和技术的有效组合所实施的。下面是一个显示安全模型组件的图表。

本文：

讨论：请加入知识星球【首席架构师圈】或者小编小号【jiagoushi_pro】

（此处已添加圈子卡片，请到今日头条客户端查看）

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!