「企业安全架构」EA874:安全架构团队

简介: 「企业安全架构」EA874:安全架构团队

安全架构师团队由以下主要角色组成

  • 1] 安全架构师
  • 2] 信息安全架构师
  • 3] 首席信息安全官
  • 4] 信息安全分析员

1] 安全架构师角色

业务要求安全架构师(SA)提供安全的解决方案和服务,这些解决方案和服务可以安全地支持诸如增加利润和生产力、改进客户服务、创新以及更快地将新产品和服务推向市场等活动。

以下是根据Forrester定义的解决方案架构师

“负责确保业务解决方案设计满足安全和法规遵从性要求的技术角色。SA与整个组织的利益相关者合作,以安全地实现业务计划的功能需求。SA是组织内信息安全体系结构的技术权威。

安全架构师的业务和技术技能

1] 风险管理

  • 识别和沟通风险教育管理与特定业务解决方案相关的风险影响是SA的核心能力。
  • 降低风险-一旦业务领导人就建议的解决方案或行动方案作出决定,SA有责任设计一个安全的解决方案,使其平衡功能需求与安全和合规要求。

2] 架构和威胁建模

  • “扩展企业”的架构能力——由于移动业务的爆炸和云服务的兴起,扩展企业的业务流程很少(如果有的话)独立于公司的四壁之内。在当今的扩展企业中,成功的SAs必须具备核心安全知识,以及API驱动的应用程序环境和联邦身份的内部和外部知识。
  • 像攻击者-威胁建模一样思考的能力是识别系统中的威胁和漏洞并寻找利用它们的方法的过程。

安全架构师的非技术技能

  • 有很强的写作和表达能力-SAs必须能够与组织的所有级别进行沟通
  • 谈判、说服和影响技能——这在没有要求特定行动方案的合规授权的组织中尤其适用。在这种情况下,影响决策的难度要大得多,而且需要更多的技巧

组织结构

安全体系结构和企业体系结构(EA)之间的关系非常重要。EA集团帮助创建一个以业务为中心的企业架构,将战略与技术联系起来。安全必须是EA的一部分。无论组织结构是什么,安全架构师都应该与企业架构师和首席信息安全办公室密切合作。更多细节请参见图。



图1

2] 信息安全架构师

信息安全架构师的角色要求业务洞察力、技术敏锐性以及在不同抽象层次上思考、交流和写作的能力。

角色和责任

  • 与企业架构师、其他功能区架构师和安全专家密切合作,确保在所有IT系统和平台上都有足够的安全解决方案,以充分降低已识别的风险,并满足业务目标和法规要求。
  • 开发构成企业信息安全体系结构和解决方案的业务、信息和技术构件。
  • 担任应用程序开发、数据库设计、网络和/或平台(操作系统)工作方面的安全专家,帮助项目团队遵守企业和IT安全政策、行业法规和最佳实践。
  • 有助于安全治理与EA治理、项目和项目组合管理(PPM)的协调。
  • 研究、设计和倡导新技术、体系结构和安全产品,以支持企业及其客户、业务合作伙伴和供应商的安全需求。
  • 有助于制定和维护信息安全战略。
  • 根据批准的安全体系结构评估和开发安全解决方案。根据新出现的安全威胁、漏洞和风险,分析业务影响和风险。
  • 向业务合作伙伴和IT人员传达安全风险和解决方案。

3] 首席信息安全官

CISO负责建立和维护公司范围的信息安全管理计划,以确保信息资产得到充分保护。该职位负责以符合合规和监管要求的方式识别、评估和报告信息安全风险,并符合和支持企业的风险态势。CISO职位需要一位有远见的领导者,具备良好的业务管理知识和信息安全技术的工作知识。CISO将主动与业务部门合作,实施符合信息安全规定政策和标准的实践。

责任

  • 制定、实施和监控战略性的、全面的企业信息安全和IT风险管理计划,以确保信息的完整性、机密性和可用性由组织拥有、控制或处理。
  • 管理企业的信息安全组织,包括直接报告和间接报告(如业务连续性和IT运营中的个人)。这包括招聘、培训、员工发展、绩效管理和年度绩效评估。
  • 通过实施分级治理计划,包括成立信息安全指导委员会或咨询委员会,促进信息安全治理。
  • 制定、维护和发布最新的信息安全政策、标准和指南。监督安全政策和实践的批准、培训和传播。
  • 创建、沟通和实施基于风险的供应商风险管理流程,包括对合作伙伴、顾问和其他服务提供商可能产生的风险进行评估和处理。
  • 制定和管理信息安全预算,并监控其差异。
  • 为所有员工、承包商和经批准的系统用户创建和管理信息安全和风险管理意识培训计划。
  • 直接与业务部门合作,促进IT风险评估和风险管理流程,并与整个企业的利益相关者合作,确定可接受的剩余风险水平。
  • 作为企业风险管理战略计划的一部分,定期向企业风险团队、高级业务领导和董事会报告信息安全计划的现状。
  • 为信息所有权、分类、责任制和保护方面的角色和责任建立一个框架。
  • 开发并增强基于以下内容的信息安全管理框架:如果存在或标识了某个框架,则插入该框架。
  • 为IT项目提供战略风险指导,包括技术控制的评估和建议。
  • 与企业架构团队联系,确保安全架构和企业架构之间的一致性,从而协调这些架构中隐含的战略规划。
  • 与IT组织和业务部门团队的资源协调信息安全和风险管理项目。
  • 创建和管理一个统一、灵活的控制框架,以整合和规范全球法律、标准和法规产生的各种不断变化的要求。
  • 确保安全计划符合相关法律、法规和政策,以尽量减少或消除风险和审计结果。
  • 根据需要与信息安全团队和公司合规、审计、法律和人力资源管理团队保持联络。
  • 定义并促进信息安全风险评估过程,包括报告和监督处理负面结果的工作。
  • 管理安全事件和事件以保护公司IT资产,包括知识产权、受监管数据和公司声誉。
  • 监控外部威胁环境中出现的威胁,并就适当的行动方案向相关利益相关者提供建议。
  • 与外部机构联络,如执法机构和其他必要的咨询机构,以确保本组织保持强有力的安全态势。
  • 协调信息安全计划中涉及的外部资源的使用,包括但不限于面试、谈判合同和费用,以及管理外部资源。

4] 信息安全分析员

信息安全分析员是信息安全团队的高级成员,与团队其他成员密切合作,制定并实施全面的信息安全计划。这包括定义安全策略、过程和标准。安全分析师与IT部门合作,选择和部署技术控制以满足特定的安全需求,并定义流程和标准以确保维护安全配置。

  • 与业务部门和其他风险职能部门合作,使用可能包括风险和业务影响评估的方法确定安全需求。该活动的组成部分包括但不限于:
  • ¨业务系统分析。
  • ¨沟通、促进和建立共识。
  • 协助协调和完成信息安全操作文档。
  • 与信息安全领导层合作,制定战略和计划,以执行安全要求并解决已识别的风险。
  • 向管理层报告剩余风险、漏洞和其他安全风险,包括滥用信息资产和违规行为。
  • 在应用程序开发或获取项目中扮演顾问角色,以评估安全需求和控制,并确保安全控制按计划实施。
  • 在关键IT项目上进行协作,以确保在整个项目生命周期内解决安全问题。
  • 与IT部门和信息安全团队成员合作,识别、选择和实施技术控制。
  • 开发安全流程和过程,并支持服务级别协议(sla),以确保安全控制得到管理和维护。
  • 就安全授权请求的正常和基于异常的处理向安全管理员提供建议。
  • 研究、评估和推荐与信息安全相关的硬件和软件,包括开发安全投资的商业案例。
相关文章
|
1月前
|
Cloud Native Devops 持续交付
构建未来:云原生架构在现代企业中的应用与挑战
【2月更文挑战第31天】 随着数字化转型的加速,云原生技术已经成为推动企业IT架构现代化的关键力量。本文深入探讨了云原生架构的核心组件、实施策略以及面临的主要挑战。通过分析容器化、微服务、DevOps和持续集成/持续部署(CI/CD)等关键技术,揭示了如何利用这些技术实现敏捷性、可扩展性和弹性。同时,文章还讨论了企业在采纳云原生实践中可能遇到的安全性、复杂性和文化适应性问题,并提供了解决这些问题的策略和建议。
|
2月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
3月前
|
安全 网络虚拟化 云计算
阿里云转发路由器Transit Router:构建云上高效、灵活且安全的网络架构之利器
本评测报告围绕阿里云转发路由器Transit Router(TR)在跨地域跨VPC网络互通、企业云上网络架构规划和第三方SD-WAN设备对接三个场景的表现进行了详细评估。评测结果显示,TR凭借强大的路由控制能力和灵活的互通策略,在云上构建高效、灵活且安全的网络架构方面表现出色。同时,TR与第三方SD-WAN设备的良好兼容性也为企业提供了更多组网选择。本报告旨在为企业在云上网络架构规划和部署过程中提供参考和指导。
|
28天前
|
运维 Cloud Native 持续交付
云原生架构的未来演进:打造灵活、高效的企业IT基础
随着数字化转型的不断深入,企业的IT基础设施正经历着从传统架构向云原生架构的根本转变。本文将探讨云原生技术的最新发展趋势,分析其在提高业务敏捷性、降低运维成本以及促进技术创新方面的关键作用。我们将重点讨论如何借助容器化、微服务、DevOps和持续交付等核心技术,构建一个能够适应快速变化市场需求的云原生生态系统。通过实际案例分析,揭示企业在迁移到云原生架构过程中面临的挑战与解决策略,为读者呈现一幅云原生技术赋能企业未来的蓝图。
|
12天前
|
存储 算法 安全
微信团队分享:来看看微信十年前的IM消息收发架构,你做到了吗
好的架构是迭代出来的,却也少不了良好的设计,本文将带大家回顾微信背后最初的也是最核心的IM消息收发技术架构,愿各位读者能从中获得启发。
33 1
|
13天前
|
运维 Cloud Native 持续交付
构建未来:云原生架构在现代企业中的应用与挑战
【4月更文挑战第10天】 随着数字化转型的不断深入,企业对信息技术基础设施的要求日益提高。云原生架构作为一种新兴的设计理念和技术集合,以其灵活性、可扩展性和容错性,正在成为推动企业技术革新的关键力量。本文将探讨云原生技术的核心组件、实施策略以及面临的主要挑战,并分析如何通过采纳云原生架构来优化业务流程和提升服务效率。
|
1月前
|
Cloud Native 安全 Devops
构建未来:云原生架构在现代企业中的应用与挑战
【2月更文挑战第30天】 随着数字化转型的深入,企业正迅速采纳云原生技术以适应不断变化的市场环境。本文探讨了云原生架构的关键组成部分,包括容器化、微服务、持续集成/持续部署(CI/CD)和DevOps实践,并分析了它们如何促进企业的敏捷性和可扩展性。同时,文章也识别了企业在采用云原生技术时面临的安全、文化和技术挑战,并提出了相应的解决策略,以帮助企业在云时代保持竞争力。
|
1月前
|
监控 安全 数据管理
现代化后端开发:微服务架构下的数据管理与安全挑战
随着信息技术的不断发展,现代化后端开发正日益注重微服务架构下的数据管理与安全挑战。本文将探讨微服务架构在后端开发中的应用,重点关注数据管理和安全方面的挑战,并提供相应的解决方案。
|
1月前
|
存储 缓存 安全
【ARM架构】ARMv8-A 系统中的安全架构概述
【ARM架构】ARMv8-A 系统中的安全架构概述
31 0