CSA《企业架构参考指南》实现安全、效率和运营,最佳实践指南!

news2024/11/18 23:34:03

企业数字化安全转型面临着信息系统架构的选择、判断和组合的困扰。对组织、技术、人才、管理和业务模型等多方面的有机融合和运转构成了架构,而安全是架构高效发挥的基础,二者都是竞争力。

国际云安全联盟CSA发布报告《企业架构参考指南》是国外大型企业实践经验的总结凝练,汇编了现有的企业架构定义,是一个与时俱进的参考指南。指南对企业架构建设、优化和运营实践的指导意义,在于他抽取、吸收了TOGAF、ITIL、SABSA、Jericho、NIST SP 500-299、 NIST SP 500-292、ISO 27001、ISO 27002等系列框架理论的精要,从而使得在云大物移环境下,企业架构的高效搭建与运行既拥有了理论框架,又有了可查找的实践行动。

本指南展开对四个域的解构:业务运营支持服务(BOSS)、信息技术运营与支持 (ITOS) 、技术解决方案服务 (TSS) 、安全和风险管理(SRM),可以用东方人的模式和中国人的思维去思考,即“你我他”的思维,你:是指框架中的任何组件、域,我:企业架构的需求、困难、链接方式、紧要度等,他:传递的下一站,实现企业架构期望的目标或阶段方向。

微信搜索“国际云安全联盟”公众号,回复关键词“企业架构”即可获取报告完整版

 何为企业架构

企业体系结构既是一种方法,也是一组工具,是安全架构师、企业架构师和风险管理专业人员能够利用的一组通用的解决方案和控制措施。这些解决方案和控制措施满足了一系列共同的要求,风险经理必须对内部IT安全和云提供商控制措施的运营状态进行评估,这些控制以安全功能表示,旨在创建一个通用的路线图,以满足其业务的安全需求。

CSA企业架构是安全、身份感知云基础架构的综合方法,业务需求由法律法规、标准框架、行业安全标准以及IT审计框架驱动。根据业务需求,CSA企业架构定义并组织了一组安全功能:SABSA从业务角度定义了安全模型,信息技术基础设施库(ITIL)指定了管理公司IT服务所需的模式和安全管理指南,杰里科论坛(Jericho Forum)指定了技术安全规范,开放组架构框架(TOGAF)提供了一个企业架构框架和方法,用于规划、设计和管理信息体系架构,最终形成一个通用框架,将安全架构师的工作与组织的企业架构集成在一起。

如何使用企业架构

企业IT治理、安全治理、生产运营、应急事件处理是数字化转型基础内容,CSA发布的《企业架构参考指南》可服务于对安全、效率和运营有持续优化诉求的大中小企业,指南聚焦实践,沉淀知识,对于企业管理者和IT、业务、运营、安全的负责人能够快速学习,定位问题,抓住要领,快速实践。

企业架构可用于评估改进机会、创建技术采用路线图、识别可复用的安全模式,并根据一组通用能力评估各种云提供商和安全技术供应商。

 CSA 企业架构

国际云安全联盟CSA发布的《企业架构参考指南》对应CSA企业架构的两种表示形式,在云安全联盟的网站有更多交互形式的内容,并且可以深入研究各部分内容。

 1.业务运营支持服务(BOSS)

BOSS域是基于最佳实践和参考框架设计的,有效赋能业务协调和跨组织之间的信息安全实践,涵盖了企业安全计划至关重要的支持功能;BOSS域致力于使ITOS和SRM域与业务所需的战略、能力和风险组合保持一致。

提供服务包括:合规性、数据治理、运营风险管理、安全监控服务、法律服务。大多数安全体系结构只关注技术能力,而忽略与业务建立动态协同的机会,BOSS将被动实践切入到主动领域,可以使业务指挥中心能够提供有关信息资产和业务流程健康状况。

2.信息技术运营与支持(ITOS)

ITOS域概述了IT组织支持业务需求时所需的全部必要服务。该领域提供了与行业标准和最佳实践的对标(PMBOK、CMMI、ISO/ IEC 27002、COBIT和ITIL v3),从两个主要角度提供参考,使组织能够支持业务需求。

提供服务包括:IT运营、服务管理、服务支持、事件管理、问题管理、知识管理、变更管理、发布管理。使用ITOS分析服务是实现有效业务操作服务的关键,支持业务运营支持服务,以保持业务和IT之间的战略一致性,ITOS实现了表现、应用、信息和基础设施服务。

3. 技术解决方案服务(TSS)

TSS域可以被认为是一个技术栈,在顶层实现同协议栈、应用程序的互动,协议栈和应用程序接收到互动之后,把数据传输到底层的电脑和网络,并在此进行数据操作。

提供服务包括:展示层服务、应用服务、信息服务、基础架构服务。其中展示层服务利用安全和风险管理域对最终用户进行身份验证和授权,保护端点设备上和传输到应用程序服务域的数据;应用服务利用安全和风险管理领域进行应用间的信息加密,并且对应用进行授权和认证使其能够互相交流;信息服务域为应用程序和展示服务域提供上下文支持;基础架构服务提供了许多核心组件和功能,用于支撑架构其他部分所提供的功能。

4. 安全和风险管理(SRM)

SRM域提供了一个组织的信息安全计划的核心组成部分,保护资产和检测、评估、监测运营活动中的固有风险。其功能包括身份管理和访问控制、治理、风险管理与合规(GRC)、政策和标准、威胁和漏洞管理以及基础设施和数据保护。

提供服务包括:治理风险和合规性、信息安全管理、权限管理基础设施、威胁和漏洞管理 、基础设施保护服务、数据保护 、策略和标准。SRM为信息技术运营与支持 (ITOS)提供安全环境,SRM是业务运营支持服务(BOSS)下运营风险管理的关键组成部分,并且提供的身份和访问管理服务是向用户展示数据的先决条件。

总结

任何一个架构都是有时期性的,因为变是万物常态,运动是活力之源,企业架构的运营是指南中所提所有相关技术,组织,业务,风险应对与系统管理的多维协同,任何之一的变动延伸,都是对指南演进的新要求。本指南也为这种延伸铺垫了未来持续发挥的思路和舞台,努力为企业把技术用精,把业务做顺,把组织做通,把管理做活。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/352992.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Windows】使用Fiddler 工具对手机进行接口监听

目录 工具下载 配置Fidder 手机端获取证书 过滤指定接口 工具下载 CSDN下载地址 其他下载地址 配置Fidder 安装后,打开进入如下界面 在fiddler菜单项选择Tools -> Options -> HTTPS 勾选【Decrypt HTTPS traffic 】 下拉框默认:【from al…

C++复习笔记11

1. vector是表示可变大小数组的序列容器。 2. 就像数组一样,vector也采用的连续存储空间来存储元素。也就是意味着可以采用下标对vector的元素进行访问,和数组一样高效。但是又不像数组,它的大小是可以动态改变的,而且它的大小会被…

时隔多年再学习Vuex,什么?原来如此简单!

时隔多年再学习Vuex,什么?原来如此简单! start 写 Vue 写了好多年了,少不了和 Vuex 打交道。虽然使用它的次数非常频繁,但是潜意识里总觉得这东西很难,导致遇到与之相关的问题就容易慌张。时至今日,升级版…

CDH 6.3.2 升级Hive 2.3.9

升级背景 DolphinScheduler 3.1.1安装好后,其源码中集成的是Hive 2.1.1,版本太低,当在数据中心连接Hive数据源时报错,所以升级CDH自带的Hive为2.3.9版本。 一、准备工作 1、下载hive2.3.9并解压 下载地址:http://a…

世界前沿3D开发工具HOOPS 2023震撼发布,核心功能再升级

HOOPS SDK简介 HOOPS SDK是全球领先开发商TechSoft 3D旗下的原生产品,专注于Web端、桌面端、移动端3D工程应用程序的开发。长期以来,HOOPS通过卓越的3D技术,帮助全球600多家知名客户推动3D软件创新,这些客户包括SolidWorks、SIEM…

springboot+vue学生考勤请假管理系统

管理员: 系统用户管理:针对系统的管理员用户, 系统用户的基本信息情况,进行管理。 教师管理:可以对教师权限的用户信息进行管理。并且能过实现教师信息的查看,密码修改等。 学生管理:对学生用户…

Unreal Engine06:Actor的实现

写在前面 Actor是可以放进地图的最基本类,这里主要是介绍一下Actor的使用。 一、空间坐标系 1. Actor的变换操作 Actor的变换变换操作主要包括四个部分: 位置;旋转;缩放; 上面三者都是对应三个轴进行变换&#xff1…

IP SAN组网配置

目录一、确认网络连接畅通二、服务器端ISCSI启动器配置1.以root身份登录2.验证是否已安装iSCSI启动器3.安装iSCSI启动器4.启动iSCSI服务5.给iSCSI启动器命名6.扫描目标器7.登录目标器8.将登录目标器行为设置为自启动三、主机多路径配置四、存储配置五、主机挂载背景&#xff1a…

ubuntu20.04配置UR机械臂的仿真环境

ubuntu20.04配置UR机械臂的仿真环境 参考链接 1. 首先安装好ROS ubuntu20.04安装Noetic版本的ros,具体安装可见之前写的博客 2. 配置UR机械臂仿真工具包 找一个你喜欢的地方创建ros工作空间(也就是找个文件夹放ros的包,然后编译运行&…

03 路由匹配

封装了框架的 Context, 将请求结构 request 和返回结构 responseWriter 都封装在 Context 中。利用这个 Context, 我们将控制器简化为带有一个参数的函数 FooControllerHandler,这个控制器函数的输入和输出都是固定的。在框架层面&#xff0c…

MySQL(二)表的操作

一、创建表 CREATE TABLE table_name ( field1 datatype, field2 datatype, field3 datatype ) character set 字符集 collate 校验规则 engine 存储引擎; 说明: field 表示列名 datatype 表示列的类型 character set 字符集,如…

如何创建你的公司的FAQ页面?

很多企业考虑为公司搭建一个“常见问题”页面,作为帮助客户回答关于产品和服务的常见问题的一种方式。 FAQ页面和登录/销售页面不同,没有展现出直接的投资回报,但是为团队节省了其他成本,据了解,高达67%的客户相比于跟…

STM32 - 看门狗

独立看门狗 IWDG专业时钟LSI 低功耗仍可以运行对定时的控制比较松喂狗这些时间是按照40kHz时钟给出。实际上,MCU内部的RC频率会在30kHz到60kHz之间变化。此外,即使RC振荡器的频率是精确的,确切的时序仍然依赖于APB接口时钟与RC振荡器时钟之间…

浅谈IDE 和代码编辑器之间有什么区别?

您希望如何完成日常编码?快速地?明显地。以既不重复也不单调的方式?自然。拥有您可能随时需要的所有工具。 是否会得到这一切取决于选择在哪里编写代码。您在这里的两个主要选择是代码编辑器或 IDE。两者都旨在使您的编码更容易 - 但是&…

使用 PyNeuraLogic 超越 Transformers

展示神经符号编程的力量neuro-symbolic1. 简介 在过去的几年里,我们看到了基于 Transformer 的模型的兴起,并在自然语言处理或计算机视觉等许多领域取得了成功的应用。在本文[1]中,我们将探索一种简洁、可解释和可扩展的方式来表达深度学习模…

捕获最小化窗口的缩略图画面

关键字: capture minimized window window thumbnail IsIconic 问题背景 最小化的窗口,API GetClientRect 返回的窗口尺寸是0x0,故无法通过GetDCBitBlt捕获到窗口画面。 但是 Agora/zoom/tencentMeeting 都可以拿到最小化窗口的缩略图…

Python自动化必不可少的测试框架 — pytest

Python在测试圈的应用非常广泛,特别是在自动化测试以及测试开发的领域,其中在自动化测试中我们常用的测试框架是uniitest和pytest,本文将带领大家搭建以及熟悉pytest的使用。 既然有unittest那么为什么还要用pytest呢? 这是因为…

会议论文分享-Security22-状态感知符号执行

Ferry: State-Aware Symbolic Execution for Exploring State-Dependent Program Paths1.引言2.问题陈述与分析2.1.实现状态感知符号执行的挑战2.2.真实程序的特征2.3.Ferry的模型2.3.1.程序状态的定义2.3.2.状态描述变量的特征3.Design3.1.Overview of Ferry3.2.状态描述变量识…

CISCN(Web Ezpentest)GC、序列化、case when

目录 REGEXP的一个点(正则) like(默认不区分大小写) 当禁用了空格 regexp,like的区分大小写的使用方法 [CISCN 2022 初赛]ezpentest 卡点 2022 HFCTF babysql 最近又学到了一道新知识,case when的错…

Python|每日一练|排序|递归|链表|字符串|数组|动态规划|哈希表|单选记录:K 个一组翻转链表|括号生成|无重复字符的最长子串

1、K 个一组翻转链表(递归,链表) 给你一个链表,每 k 个节点一组进行翻转,请你返回翻转后的链表。 k 是一个正整数,它的值小于或等于链表的长度。 如果节点总数不是 k 的整数倍,那么请将最后剩…