以下是人們需要了解的有關(guān)企業(yè)信息安全體系結(jié)構(gòu)以及如何開始實施計劃的信息。

[[272725]]

企業(yè)安全的一大趨勢是創(chuàng)建和采用企業(yè)信息安全體系結(jié)構(gòu)。但是，關(guān)于這個主題的大部分內(nèi)容都非常含糊不清，可能讓IT專業(yè)人員想知道企業(yè)信息安全架構(gòu)究竟是什么，更不用說如何實現(xiàn)它了。在這種情況下，一些想嘗試簡化一些事情，以幫助企業(yè)了解構(gòu)成企業(yè)信息安全體系結(jié)構(gòu)的內(nèi)容以及如何將其付諸實施。

要了解企業(yè)信息安全體系結(jié)構(gòu)是什么以及它為何有益，有必要退后一步，檢查傳統(tǒng)上在企業(yè)中完成IT安全的方式。從歷史上看，企業(yè)安全就是為了使組織像IT預(yù)算所允許的那樣安全。IT專業(yè)人員將使用各種政策、程序和產(chǎn)品來強化組織以應(yīng)對感知到的威脅(或響應(yīng)監(jiān)管要求)。

企業(yè)信息安全體系結(jié)構(gòu)試圖直接使IT部門的安全方法與組織的業(yè)務(wù)需求保持一致。這種方法有兩個主要的好處。

首先，實施企業(yè)信息安全架構(gòu)迫使IT部門將重點放在對業(yè)務(wù)影響最大的安全挑戰(zhàn)上。它不再追求最新的安全趨勢，而是專注于對業(yè)務(wù)最重要的問題。

其次，企業(yè)信息安全架構(gòu)不僅僅涉及決定購買哪些安全產(chǎn)品或者要關(guān)注哪些安全挑戰(zhàn)。該模型與業(yè)務(wù)緊密相連。它成為“我們?nèi)绾巫鍪?rdquo;的關(guān)鍵部分。這種思維方式強調(diào)了將安全作為業(yè)務(wù)決策過程一部分的權(quán)力。

沒有一個萬能的解決方案

當(dāng)然，這就提出了一個問題，即組織如何著手實施企業(yè)信息安全架構(gòu)。要理解流程的重要一點是，“企業(yè)信息安全架構(gòu)”是一個有點通用的術(shù)語。沒有一個單一的、固定的流程來定義組織實現(xiàn)模型的意義。

那么，如果沒有明確的標(biāo)準(zhǔn)，安全意識組織如何實施企業(yè)信息安全架構(gòu)呢?幸運的是，有幾個框架可用。一些比較流行的框架包括SABSA、COBIT和TOGAF。

為了描述這些框架，需要花費時間深入研究一些完全不相關(guān)的東西。如果已經(jīng)在IT工作了一段時間，人們可能聽說過開放式系統(tǒng)互聯(lián)(OSI)模型。開放式系統(tǒng)互聯(lián)(OSI)模模型定義構(gòu)成網(wǎng)絡(luò)堆棧的層。這些層包括應(yīng)用程序、演示、會話、傳輸、網(wǎng)絡(luò)、數(shù)據(jù)鏈接和物理層。每個圖層都有一個特定的工作要做，每個圖層都設(shè)計為與它上面的圖層和它下面的圖層接口。

一般來說，前面提到的框架也采用分層方法來定義安全體系結(jié)構(gòu)。例如，SABSA框架包括諸如場景、概念、邏輯、物理和組件安全體系結(jié)構(gòu)之類的層。這些層共同構(gòu)成整體安全架構(gòu)。

總的來說，各種框架提供了諸如架構(gòu)圖，流程圖和文檔之類的東西。這些資源可用于驅(qū)動組織內(nèi)企業(yè)信息安全體系結(jié)構(gòu)的實現(xiàn)。

請記住，沒有規(guī)則規(guī)定一個組織必須嚴(yán)格遵守其中一個框架。一個組織可能會選擇設(shè)計自己的體系結(jié)構(gòu)，或者創(chuàng)建兩個或多個可用框架的混搭。

無論組織如何選擇接近其企業(yè)信息安全體系結(jié)構(gòu)，目標(biāo)始終應(yīng)該是將組織的安全工作與關(guān)鍵業(yè)務(wù)目標(biāo)聯(lián)系起來。例如，如果企業(yè)要聲明其在線商店必須始終可供客戶使用，那么該流程的下一步將是識別可能影響該資源可用性的風(fēng)險。

一些風(fēng)險與安全性無關(guān)，而是以其他方式推動IT決策。例如，組織數(shù)據(jù)中心的電源故障可能會影響在線商店的可用性，因此IT部門需要制定控制風(fēng)險的計劃。同樣，拒絕服務(wù)攻擊可能會阻止客戶訪問在線商店。在這種情況下，拒絕服務(wù)攻擊是一種已識別的安全風(fēng)險，它直接與關(guān)鍵業(yè)務(wù)目標(biāo)相關(guān)聯(lián)。這為IT部門提供了專注于防止拒絕服務(wù)攻擊的理由。