The Open Group正式发布《在TOGAF®企业架构中集成风险和安全》
2020年8月12日,The Open Group正式发布《在TOGAF®企业架构中集成风险和安全》指南,该指南介绍了其如何支持TOGAF标准,以及与其他IT安全和风险标准,如ISO / IEC 27001、ISO 31000、国家网络安全框架等的关系。安全架构师和企业架构师需要使用的相同的语言,并通过该语言描述如何将风险和安全整合到企业架构之中。本指南为使用The Open Group 标准中TOGAF®标准的安全从业人员和企业架构师提供了指导,以促进企业架构的发展。
企业架构与安全架构的关系
企业架构(包括安全架构)通过调整业务系统和支持信息系统的一致性,可以有效且高效地实现业务目标的架构(系统由流程、人员和技术组成)。信息安全以及管理信息安全的方法是企业架构的重要要素之一。长期以来,信息安全一直被认为是一个独立的部分,与业务流程和企业架构隔离开来。
安全架构(Security Architecture)是由组织、概念、逻辑和物理组件组成的结构体(Structure),这些组件以一致的方式交互,从而实现并保持管理风险和安全(或信息安全)的状态。安全架构既是安全、有弹性和可靠行为的驱动者,也是解决整个企业风险领域的推动者。
然而,企业安全架构并不是孤立存在的。作为企业的组成部分,企业安全架构建立在企业架构中可用企业信息基础上,并产生影响企业架构的信息。这就是为什么安全架构与企业架构紧密结合将带来巨大收益的原因。一开始就正确地采取措施,与之后再提高安全性相比,可节省成本并提高有效性。
(安全和风险基础概念在TOGAF ADM中的位置)
本指南如何支持TOGAF标准?
指南的内容将当前TOGAF标准中的安全活动提高到了更高的理论层次。此方法的目的是说明如何在现有企业安全架构中通过调整TOGAF方法和框架,从而更加完善地解决安全和风险问题。
该方法由业务驱动(Business-driven)并支持ISM和ERM这两个过程的整合。这种过程导向(Process Orientation)通过TOGAF架构开发方法(Architecture Development Method , ADM)增进对不同阶段安全概念和活动的理解。业务导向(Business Orientation)将有助于证明安全组件的合理性。
与IT安全和风险标准的关系
TOGAF标准
The Open Group架构论坛致力于打造一个厂商中立的环境,助力用户和厂商了解和开发与业务目标一致的EA(Enterprise Architecture)标准,并通过一系列项目,推进无边界信息流在各类组织体间的实现。架构论坛负责管理TOGAF®标准,作为The Open Group标准之一,TOGAF通过提供与全球领先的金融及政府机构相一致的企业架构方法论和框架来提升组织体的业务效率。
Open FAIR
知识体系包括风险分类法(Open FAIR Body of Knowledge comprises the Risk Taxonomy , O-RT)标准和风险分析(Open FAIR Body of Knowledge comprises the Risk Analysis , O-RA)标准。这些标准可帮助组织更好地衡量其信息安全和运营风险。Open FAIR定量风险分析方法在威胁评估中非常实用,有助于了解ADM周期中缓解威胁方法所带来的影响。Open FAIR也可被视作分析整个TOGAF ADM风险的工具或技术。
审译者寄语
经过数月的努力,我们的审译团队最终完成了该指南的翻译及审校,重温了经典的安全架构体系内容,巩固学习了安全架构的关键要素。我们发现在这个过程中最大的障碍是TOGAF体系与信息安全体系的术语映射,通过团队查阅大量文献,最终保证了名词、术语和常用语句的准确性。阅读本指南,可帮助堵着门系统学习安全架构的整体知识,对组织的实际工作有指导意义。
审译者团队成员介绍
栾浩,获得美国天普大学IT审计与网络安全专业理学硕士学位,持有CISSP、CISA、CCSK、TOGAF 9、ISO27001LA和BS25999LA等认证。现任融天下互联网科技(上海)有限公司CTO&CISO职务,负责金融科技研发、数据安全、云计算安全、区块链安全和风控审计等工作。担任2015—2020年度(ISC)审上海分会理事。栾浩先生担任本书翻译工作的总技术负责人,负责统筹全书各项工作事务,以及全书的校对和定稿工作。
姚凯,获得中欧国际工商学院MBA学位,持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP、CEH、CIPT、CIPM、CIPP/US和EXIN DPO等认证。现任欧喜投资(中国)有限公司IT总监职务,负责IT战略规划、政策程序制定、 IT架构设计及应用部署和灾难恢复,系统取证和应急响应。姚凯先生是ISACA,(ISC)2和IAPP协会的会员,CSA、the OpenGroup专家。姚凯先生承担本文第5章5.1-5.9节的翻译,以及全文的校对工作。
王向宇,获得安徽科技学院网络工程专业工学学士学位,持有CISP、CISP-A、CCSK和软件开发安全师等认证。现任京东集团企业信息化部高级安全工程师,负责安全事件处置与应急、数据安全治理、安全监控平台开发与运营、云平台安全和软件开发安全等工作。王向宇先生负责本书第3、4章的翻译工作,以及部分章节的校对工作。
朱函,获得东南大学计算机网络工程专业工学硕士学位,持有CISSP、CISM等认证。现任江苏金智科技股份有限公司信息化部经理,负责公司信息系统安全规划,建设及运营,应用系统规划及建设等工作。朱函女士负责本书第5章5.10-5.12节及缩略语和索引的翻译工作。
蒋颖睿,获得北京信息科技大学网络工程专业工学学士学位。现任北京壹永科技有限公司信息安全工程师,主要负责数据安全治理、安全事件处置与应急响应和软件开发安全等工作。蒋颖睿女士负责本书第1、2章的翻译工作。
The Open Group推荐阅读
The Open Group发布《如何运用ArchiMate®、IT4IT™和 TOGAF®标准对IT管理全景及其转换进行建模》
The Open Group正式发布《如何结合使用TOGAF® 和IT4IT™ 标准》
The Open Group正式发布《TOGAF® 标准9.2版介绍》
The Open Group 正式发布《TOGAF®系列指南:商业模式》
