安全需求愿景
在开始任何安全架构工作之前,定义安全需求是很重要的。这些需求应该受到业务上下文和通用需求远景文档的影响。下面是一个图表,它显示安全需求是企业信息安全体系结构中业务上下文的一部分。
图1
安全需求远景(SRV)有助于将安全解决方案与定义的业务需求联系起来。它支持业务策略和安全决策之间的可跟踪性。
SRV的内容通常包括
- 将影响企业信息安全体系结构(EISA)的相关环境趋势和业务策略列表
- 影响安全解决方案设计的相关安全技术趋势(STT)和最佳实践列表
- 从环境趋势、业务战略、技术趋势和最佳实践中获得的环境影响评估的明确变更、技术和信息需求说明列表
- 由变更、信息和技术需求声明派生的安全解决方案需求(SSR)
- 映射业务策略和环境趋势之间以及业务策略和变更、信息、技术和解决方案需求之间相互关系的矩阵
战略安全架构原则
战略安全体系结构原则指导在体系结构开发、设计和实现阶段做出的决策。这些原则指导了一种安全体系结构策略,该策略通过以下方式从各种断开连接的安全活动移动到一致的未来状态:
- 与业务目标和风险保持一致。
- 使用一组通用控件满足多个需求。
- 为单一版本的真相(即商定的控制、政策、过程和技术)提供通用的报告基础设施。
- 尽可能无创,尽可能使用自动化控制,而不是手动测试和测量。
- 明确角色、责任和责任。
安全治理、安全管理和安全操作
安全治理、管理和操作具有非常不同的功能。
- 安全治理的存在是为了确保定义了业务的战略需求,并确保安全计划充分满足这些需求。这可能包括在复杂情况下讨论和判断业务需求
- 安全管理构建并运行安全程序以满足这些战略业务需求。这包括组成安全程序的各种安全功能、过程和策略。
- 安全操作日常执行与当前基础设施相关的安全相关流程。
这是三者之间的关系
图2
获取正确的安全流程
首席信息安全干事(CISO)不断面临压力,要在复杂的环境中提供一致、可证明和经济高效的安全。流程目录中定义和优先排序的一组关键安全流程将使CISO能够满足客户、合作伙伴、供应商、审计师和监管机构的需求。它也为安全服务目录在正式服务模型下提供可收费的安全服务奠定了基础,从而为组织的IT交付的新方法的发展做准备。
某些流程对于有效地管理安全性至关重要,它们应该在流程目录中定义。尽管这些过程通常是为了定义的目的而单独定义的,但它们在实践中不太可能孤立地运行。在大多数情况下,这些过程之间会有相互依赖的关系。
在战略安全计划方面有一定进展的组织,将需要一个更全面的投资组合(见图)。这样一个组合可以描述两类流程——战略流程(那些支持安全团队和业务之间关系的流程)和保护流程(更多直接旨在保持企业安全的操作流程)。
图3
安全过程的形式化
对于给定的流程,第一步是分配(或验证)流程所有权,然后开始记录单个流程。在顶层,正式流程定义应包括以下组件:
- 过程描述-过程目标和范围的概要。它可以包括对过程中包括的子过程和活动的简要标识。
- 流程图-构成流程的子流程和活动之间的流程的可视化表示。
- 集成矩阵-表示集成点以及与其他安全、操作和服务管理流程的相互关系的表。除了流程之间的集成点之外,它还应指明构成此流程一部分的其他流程。
- 技能和人员配置需求-表明流程所需直接和间接人力资源的数量和性质。
- 角色和职责定义-确定有助于流程的特定组织职能以及这些职能各自的职责。这通常是通过一个负责、负责、咨询和告知(RACI)矩阵来实现的。
- 自动化机会-识别可通过技术实现自动化的过程组件。在流程定义的这个层次上,其目的不是为了特定于产品或技术,而是仅仅为了指示流程中可能有助于自动化的组件。
