安全架构师团队由以下主要角色组成
- 1] 安全架构师
- 2] 信息安全架构师
- 3] 首席信息安全官
- 4] 信息安全分析员
1] 安全架构师角色
业务要求安全架构师(SA)提供安全的解决方案和服务,这些解决方案和服务可以安全地支持诸如增加利润和生产力、改进客户服务、创新以及更快地将新产品和服务推向市场等活动。
以下是根据Forrester定义的解决方案架构师
“负责确保业务解决方案设计满足安全和法规遵从性要求的技术角色。SA与整个组织的利益相关者合作,以安全地实现业务计划的功能需求。SA是组织内信息安全体系结构的技术权威。”
安全架构师的业务和技术技能
1] 风险管理
- 识别和沟通风险教育管理与特定业务解决方案相关的风险影响是SA的核心能力。
- 降低风险-一旦业务领导人就建议的解决方案或行动方案作出决定,SA有责任设计一个安全的解决方案,使其平衡功能需求与安全和合规要求。
2] 架构和威胁建模
- “扩展企业”的架构能力——由于移动业务的爆炸和云服务的兴起,扩展企业的业务流程很少(如果有的话)独立于公司的四壁之内。在当今的扩展企业中,成功的SAs必须具备核心安全知识,以及API驱动的应用程序环境和联邦身份的内部和外部知识。
- 像攻击者-威胁建模一样思考的能力是识别系统中的威胁和漏洞并寻找利用它们的方法的过程。
安全架构师的非技术技能
- 有很强的写作和表达能力-SAs必须能够与组织的所有级别进行沟通
- 谈判、说服和影响技能——这在没有要求特定行动方案的合规授权的组织中尤其适用。在这种情况下,影响决策的难度要大得多,而且需要更多的技巧
组织结构
安全体系结构和企业体系结构(EA)之间的关系非常重要。EA集团帮助创建一个以业务为中心的企业架构,将战略与技术联系起来。安全必须是EA的一部分。无论组织结构是什么,安全架构师都应该与企业架构师和首席信息安全办公室密切合作。更多细节请参见图。
图1
2] 信息安全架构师
信息安全架构师的角色要求业务洞察力、技术敏锐性以及在不同抽象层次上思考、交流和写作的能力。
角色和责任
- 与企业架构师、其他功能区架构师和安全专家密切合作,确保在所有IT系统和平台上都有足够的安全解决方案,以充分降低已识别的风险,并满足业务目标和法规要求。
- 开发构成企业信息安全体系结构和解决方案的业务、信息和技术构件。
- 担任应用程序开发、数据库设计、网络和/或平台(操作系统)工作方面的安全专家,帮助项目团队遵守企业和IT安全政策、行业法规和最佳实践。
- 有助于安全治理与EA治理、项目和项目组合管理(PPM)的协调。
- 研究、设计和倡导新技术、体系结构和安全产品,以支持企业及其客户、业务合作伙伴和供应商的安全需求。
- 有助于制定和维护信息安全战略。
- 根据批准的安全体系结构评估和开发安全解决方案。根据新出现的安全威胁、漏洞和风险,分析业务影响和风险。
- 向业务合作伙伴和IT人员传达安全风险和解决方案。
3] 首席信息安全官
CISO负责建立和维护公司范围的信息安全管理计划,以确保信息资产得到充分保护。该职位负责以符合合规和监管要求的方式识别、评估和报告信息安全风险,并符合和支持企业的风险态势。CISO职位需要一位有远见的领导者,具备良好的业务管理知识和信息安全技术的工作知识。CISO将主动与业务部门合作,实施符合信息安全规定政策和标准的实践。
责任
- 制定、实施和监控战略性的、全面的企业信息安全和IT风险管理计划,以确保信息的完整性、机密性和可用性由组织拥有、控制或处理。
- 管理企业的信息安全组织,包括直接报告和间接报告(如业务连续性和IT运营中的个人)。这包括招聘、培训、员工发展、绩效管理和年度绩效评估。
- 通过实施分级治理计划,包括成立信息安全指导委员会或咨询委员会,促进信息安全治理。
- 制定、维护和发布最新的信息安全政策、标准和指南。监督安全政策和实践的批准、培训和传播。
- 创建、沟通和实施基于风险的供应商风险管理流程,包括对合作伙伴、顾问和其他服务提供商可能产生的风险进行评估和处理。
- 制定和管理信息安全预算,并监控其差异。
- 为所有员工、承包商和经批准的系统用户创建和管理信息安全和风险管理意识培训计划。
- 直接与业务部门合作,促进IT风险评估和风险管理流程,并与整个企业的利益相关者合作,确定可接受的剩余风险水平。
- 作为企业风险管理战略计划的一部分,定期向企业风险团队、高级业务领导和董事会报告信息安全计划的现状。
- 为信息所有权、分类、责任制和保护方面的角色和责任建立一个框架。
- 开发并增强基于以下内容的信息安全管理框架:如果存在或标识了某个框架,则插入该框架。
- 为IT项目提供战略风险指导,包括技术控制的评估和建议。
- 与企业架构团队联系,确保安全架构和企业架构之间的一致性,从而协调这些架构中隐含的战略规划。
- 与IT组织和业务部门团队的资源协调信息安全和风险管理项目。
- 创建和管理一个统一、灵活的控制框架,以整合和规范全球法律、标准和法规产生的各种不断变化的要求。
- 确保安全计划符合相关法律、法规和政策,以尽量减少或消除风险和审计结果。
- 根据需要与信息安全团队和公司合规、审计、法律和人力资源管理团队保持联络。
- 定义并促进信息安全风险评估过程,包括报告和监督处理负面结果的工作。
- 管理安全事件和事件以保护公司IT资产,包括知识产权、受监管数据和公司声誉。
- 监控外部威胁环境中出现的威胁,并就适当的行动方案向相关利益相关者提供建议。
- 与外部机构联络,如执法机构和其他必要的咨询机构,以确保本组织保持强有力的安全态势。
- 协调信息安全计划中涉及的外部资源的使用,包括但不限于面试、谈判合同和费用,以及管理外部资源。
4] 信息安全分析员
信息安全分析员是信息安全团队的高级成员,与团队其他成员密切合作,制定并实施全面的信息安全计划。这包括定义安全策略、过程和标准。安全分析师与IT部门合作,选择和部署技术控制以满足特定的安全需求,并定义流程和标准以确保维护安全配置。
- 与业务部门和其他风险职能部门合作,使用可能包括风险和业务影响评估的方法确定安全需求。该活动的组成部分包括但不限于:
- ¨业务系统分析。
- ¨沟通、促进和建立共识。
- 协助协调和完成信息安全操作文档。
- 与信息安全领导层合作,制定战略和计划,以执行安全要求并解决已识别的风险。
- 向管理层报告剩余风险、漏洞和其他安全风险,包括滥用信息资产和违规行为。
- 在应用程序开发或获取项目中扮演顾问角色,以评估安全需求和控制,并确保安全控制按计划实施。
- 在关键IT项目上进行协作,以确保在整个项目生命周期内解决安全问题。
- 与IT部门和信息安全团队成员合作,识别、选择和实施技术控制。
- 开发安全流程和过程,并支持服务级别协议(sla),以确保安全控制得到管理和维护。
- 就安全授权请求的正常和基于异常的处理向安全管理员提供建议。
- 研究、评估和推荐与信息安全相关的硬件和软件,包括开发安全投资的商业案例。
