安全体系系列指南 在TOGAF®企业架构中集成风险和安全 m o c . 5 h t i g b u 本文由The Open Group®安全论坛与SABSA® Institute合作撰写 译审校团队:栾浩、姚凯、王向宇、朱函、蒋颖睿 ® 在TOGAF®企业架构中集成风险和安全 版权所有© 2020, The Open Group The Open Group特此授权您可以将此文档用于任何目的,前提是您对此文档全文或其任何 部分的复制,必须在复制内容上保留此文档包含的所有版权信息及其他所有权声明。 此文档可能包含其他所有权声明及版权信息。 此文档中任何内容均不可被理解为以暗示、禁止反言或其他方式涉及到The Open Group 或 任何第三方组织的任何专利或商标相关的许可或权利的授予。除了以上明确申明,此文档中 任何内容均不可被理解为涉及到The Open Group所属版权的许可或权利的授予。 m o c . 5 请注意此文档中提及的任何产品、流程或技术均有可能为The Open Group所保有知识产权 的主体,不得依据此文档而被授予许可。 此文档是“按现状”提供,没有任何形式的(不论是明示的,还是默示的)保证,包括对适销性、 b u 适用于特定用途或非侵权性的默示保证。某些司法辖区不允许排除默示保证,故以上排除规 定可能对您不适用。 h t i g The Open Group的任何出版物均可能有不精当之处或刊误,故本组织可能对出版物进行定 期修订并将更正内容发布于出版物的新版本中。 The Open Group可能在不另行通知的情况 下,随时对其出版物中涉及的产品或程序进行完善或修改。 如读者就本文档内容提出问题、评论、建议等反馈信息,此类信息将被视为非保密信息。The Open Group对上述信息不承担任何保密义务,并可以不受任何限制地复制、使用此类信息 或向他人披露或分发此类信息。 此外,The Open Group可自由将此类信息中包含的任何观 点、理念、知识技能或技术方法用于各种用途,包括但不限于开发、制造及营销包含此类信息 的产品。 如您不是通过The Open Group获得此文档复本,您所持之文档可能并非最新版本。 为您方 便起见,请访问www.opengroup.org/library 或www.opengroup.org.cn/resources 下载最 新版本。 www.opengroup.org.cn The Open Group 指南 1 ArchiMate®, DirecNet®, Making Standards Work®, Open O® logo, Open O and Check® Certification logo, OpenPegasus®, Platform 3.0®, The Open Group®, TOGAF®, UNIX®, UNIX- WARE®, and the Open Brand X® logo are registered trademarks and Boundaryless Infor- mation Flow™, Build with Integrity Buy with Confidence™, Commercial Aviation Reference Architecture™, Dependability Through Assuredness™, Digital Practitioner Body of Knowledge™, DPBoK™, EMMM™, FACE™, the FACE™ logo, FBP™, FHIM Profile Builder™, the FHIM logo, Future Airborne Capability Environment™, IT4IT™, the IT4IT™ logo, O-AA™, O-DEF™, O-HERA™, O-PAS™, Open Agile Architecture™, Open FAIR™, Open Platform 3.0™, Open Process Automation™, Open Subsurface Data Universe™, Open Trusted Technology m o c . 5 Provider™, O-SDU™, OSDU™, Sensor Integration Simplified™, SOSA™, and the SOSA™ logo are trademarks of The Open Group. 所有其他品牌,公司和产品名称仅用于识别,可能是其各自所有者的唯一财产的商标。 b u h t i g 在TOGAF®企业架构中集成风险和安全 文档编号:G152 The Open Group于2020年8月出版。 与本文档所含材料相关的意见可提交至: The Open Group, Apex Plaza, ForburyRoad, Reading, Berkshire, RG1 1AX, United Kingdom 中国上海浦东新区花木路1388号商务中心三楼20室 或通过电子邮件发送至: ogspecs@opengroup.org apac@opengroup.org www.opengroup.org.cn The Open Group 指南 2 目录 8 1. 介绍 9 1.1. 本指南如何支持TOGAF标准 10 1.2. 关于风险管理 11 1.3. 关于控制措施检查清单的选择 2. 与其他IT安全和风险标准的关系 m o c . 5 2.1. ISO / IEC 27001: 2013: 信息安全管理 2.2. ISO 31000:2009: 风险管理 - 原则和准则 2.3. 国家网络安全框架 2.4. COBIT® 2.5. O-ESA 2.6. O-ISM3 2.7. Open FAIR 2.8. SABSA® g b u ti h 13 13 13 14 14 14 15 15 16 3. 企业安全架构 17 3.1. 企业风险管理 3.1.1. 风险的定义 3.1.2. 企业风险管理的核心概念 3.2. 信息安全管理 17 19 21 21 3.2.1. 安全性 www.opengroup.org.cn 13 The Open Group 指南 3 3.2.2 . 隐私 23 3.2.4 . 运营安全过程 25 23 3.2.3 . 信息安全管理的核心概念 26 4. 安全是一个跨领域横切面的关注点 27 5. TOGAF ADM中的安全和风险概念 27 5.1. 预备阶段 27 5.1.1. 业务驱动因素/业务目标 m o c . 5 27 5.1.2. 安全原则 28 5.1.3. 风险偏好 5.1.4. 关键风险领域/业务影响分析 5.1.5. 安全资源计划 5.2. 阶段A:架构愿景 5.3. 阶段B:业务架构 g 5.3.1. 安全策略架构 5.3.2. 安全域模型 b u ti h 29 30 31 31 31 32 5.3.3. 信任框架 5.3.4. 风险评估 5.3.5. 业务风险模型/风险等级表 5.3.6. 适用法律法规登记表 5.3.7. 适用控制框架登记表 www.opengroup.org.cn 28 The Open Group 指南 32 33 33 33 4 34 5.4. 阶段C:信息系统架构 34 5.4.1. 安全服务目录 35 5.4.2. 安全分级 35 5.4.3. 数据质量 36 5.5. 阶段D:技术架构 36 5.6. 阶段E:机会和解决方案 37 5.6.1. 风险缓解计划 m o c . 5 37 5.7. 阶段F:迁移规划 37 5.8. 阶段G:实施治理 5.8.1. 安全审计 5.8.2. 安全培训和安全意识宣贯 5.9. 阶段H:架构变更管理 5.10. 需求管理 g 5.10.1. 业务属性概况 b u ti h 5.10.2. 控制目标/安全目标 5.10.3. 安全标准 5.11. TOGAF架构内容元模型 5.12. ArchiMate® 建模语言的使用 www.opengroup.org.cn The Open Group 指南 38 38 38 39 39 42 42 43 43 5 关于本文 本文为The Open Group指南,重点解释如何将风险和安全因素集成到企业架构之中。 本文为需要与The Open Group的TOGAF®标准一起开发企业架构的安全从业人员和企业架 构师们提供指导。 本文由The Open Group安全论坛(The Open Group Security Forum)撰 写并批准。 本文旨在通过发布合理的设计决策,将安全和风险管理集成到企业架构中,从而最大 程度降低业务风险,同时又可以最大限度地支持The Open Group无边界信息流™的愿景。 本指南的大纲如下: m o c . 5 • 第1章,对本指南进行总体介绍,阐述企业安全架构(Enterprise Security Architec- ture, ESA)的概念、本指南与企业架构的关系以及本指南如何支持TOGAF标准。 • 第2章,介绍与其他IT安全和风险标准的关系。 b u • 第3章,详细阐述企业安全架构的概念。 该概念描述了安全架构师们经常所使用的信 息安全管理(Information Security Management , ISM)和企业风险管理(Enterprise Risk Management , ERM)。 h t i g • 第4章,介绍安全架构。 安全架构是一个不同领域都在关注的焦点问题,遍及整个企业 架构之中。 • 第5章,详细说明了核心安全概念以及如何将其应用于TOGAF ADM的每个阶段。 本指南的目标读者如下: • 企业架构师(Enterprise Architect) • 安全架构师(Security Architect) www.opengroup.org.cn The Open Group 指南 6 本指南中使用的符号 本指南通篇使用下列符号,帮助识别重要信息并避免歧义: • 省略号(�) 表示继续;例如,示例项目的不完整列表,或之前文本的续篇。 • 加粗 用于突出强调特定术语。 • 斜体
OpenGroup 在TOGAF企业架构中集成风险和安全
文档预览
中文文档
53 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共53页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 03:19:33上传分享