CSA 企业架构参考指南

©2 0 2 2 国际云安全联盟大中华区版权所有 1 ©2022国际云安全联盟大中华区版权所有 2云安全联盟企业架构研究工作组官网: https://cloudsecurityalliance.org/research/working-groups/enterprise-architecture/ @2022国际云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网（https://cloudsecurityalliance.org），中文版本发布在国际云安全联盟大中华区官网（http://www.c-csa.cn）。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；（b）本文内容不得篡改;（c）不得对本文进行转发散布;（d）不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有 3序言企业数字化安全转型面临着选择、判断和组合的困扰，对组织、技术、人才、管理和业务模型等多方面的有机融合和运转构成了架构，而安全是高效的基础，二者都是竞争力。国内企业普遍在学华为、海尔、格力，同时也在吸收IBM、微软、谷歌、亚马逊等企业的成长模型。CSA编著的本指南是国外大型企业实践经验的总结凝练，是一个与时俱进的参考书。本文聚焦实践，沉淀知识，而不必全面冗长的去解读，非常适合企业管理者和IT、业务、运营、安全的负责人快速学习，定位问题，抓住要领，快速实践，企业对每一项组件的投入都可以在此架构中找到位置，找到他上层面的组、域。指南用1-2-3-4表达出每一个组件的层次，我们既可以看到1的面貌，又可以细化到2的构成和3、4的细节，是思维导图模式的简洁变形。纵观一个企业的成长与治理，指南对企业架构建设、优化和运营实践的价值指导意义，在于他抽取、吸收了COBIT、TOGAF、ITIL、SABSA、Jericho、NISTSP500-299、NISTSP500-292、ISO27001、 ISO27002等系列框架理论的精要，从而在”云大物智移”环境下，使得企业架构的高效搭建与运行既拥有了理论框架，又有了可查找的实践行动。企业IT治理、安全治理、生产运营、应急事件处理是数字化转型基础内容，指南可服务于对安全、效率、和运营有持续优化诉求的大中小企业。本指南展开的对四个域的解构：业务运营支持服务(BOSS)、信息技术运营与支持(ITOS)、技术解决方案服务(TSS)、安全和风险管理(SRM)。可以用东方人的模式和中国人的，即“你我它”思维思考，你：是指框架中的任何组件、域，我：企业架构的需求、困难、链接方式、紧要度等，它：传递的下一站，实现企业架构期望的目标或阶段方向。对于未来的延伸，任何一个架构都是有时效的，因为变是万物常态，运动是活力之源，企业架构的运营是指南中所提所有相关技术，组织，业务，风险应对与系统管理的多维协同，任何之一的变动延伸，都是对指南演进的新要求。本指南也为这种延伸铺垫了未来持续发挥的思路和舞台，努力为企业把技术用精，把业务做顺，把组织做通，把管理做活。李雨航YaleLi CSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有 4致谢《企业架构参考指南（EnterpriseArchitectureReferenceGuide）》由CSA研究工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：李岩翻译组：程伟强仇蓉蓉邓辉伏伟任高亚楠贺志生江楠李钠李岩李程林艺芳刘洁鹿淑煜沈勇苏泰泉滕伟王永霞吴嘉雯吴潇谢琴杨喜龙余晓光审校组：陈欣炜单美晨何伊圣江楠李岩刘洁陶瑞岩王阳姚凯研究协调员：孙天一感谢以下单位的支持与贡献：北京安讯奔科技有限责任公司北京山石网科信息技术有限公司北京天融信网络安全技术有限公司广东美云智数科技有限公司华为技术有限公司奇安信科技集团股份有限公司三六零数字安全科技集团有限公司三未信安科技股份有限公司上海安几科技有限公司上海缔安科技股份有限公司腾讯云计算（北京）有限责任公司长春吉大正元信息技术股份有限公司浙江极氪智能科技有限公司 ©2022国际云安全联盟大中华区版权所有 5英文版本编写专家主要作者：Jon-MichaelC.Brook MichaelRoza 贡献者： ShawnHarris SunilShanthi MichaelTheriault RolandoMarceloVallejos AshishVashishtha SuriVenkat HenryWerchan CSA团队：SeanHeide StephenLumpe(Cover) JimReavis AnnMarieUlskey(Layout) JohnYeoh 总架构师：JairoOrea 首席架构师：DanLogan 贡献者：RichardAustin RyanBagnulo CharletonBarreto Jon-MichaelBrook PhilCox EarleHumphreys TuhinKumar SubraKumaraswamy YaronLevi YaleLi DanLogan ScottMatsumoto RajivMishra AnishMohammed PriceOden JairoOrea DavidSherr KenTrant RavilaWhite VernWilliams RobWilson CSA团队：JimReavis J.R.Santos KendallClineScoboria EvanScoboria JohnYeoh 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有 6目录序言........................................................................................................................3 致谢........................................................................................................................4 前言........................................................................................................................8 企业架构概述..........................................................................................................9 如何使用企业架构....................................................................................................9 评估机会..........................................................................................................9 创建路线图.....................................................................................................10 识别可复用的安全模式.....................................................................................10 评估云服务提供商和安全技术供应商.................................................................10 使用定义列表..................................................................................................10 CSA企业架构.........................................................................................................11 业务运营支持服务（BOSS）.....................................................................................12 描述...............................................................................................................12 示例........