|
来源:IBM 众所周知,即便是在信息安全国际标准和相关最佳实践的指导下,企业按照标准的安全实践方法,设计和实施信息安全解决方案时,依然会遇到很多挑战。企业还必须考虑多平台,多组件架构集成的复杂性,实施安全解决方案的多样性等。 企业信息安全框架从上到下由三个主要层次组成:安全治理风险管理及合规层、安全运维层、基础安全服务和架构层。安全治理风险管理及合规层,是后两者的理论依据;安全运维层,则是对安全生命周期全过程的管理;基础安全服务和架构,是企业信息安全建设技术需求和功能的实现者。 安全治理、风险管理和合规:它处于企业信息安全框架的最顶层,是业务驱动安全的出发点。主要包括企业战略和治理框架、风险管理框架、合规策略遵从。通过对企业业务和运营风险的评估,确定其战略和治理框架、风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系。 安全运维:安全运营是指在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。主要包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理、安全外包服务。安全运营与IT运营相辅相成、互为依托、共享资源与信息,它与安全组织紧密联系,融合在业务管理和IT管理体系中。 基础安全服务和架构:基础安全服务和架构定义了企业信息安全框架中的五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象,其功能有各自子系统提供保证。 企业信息安全框架给企业信息安全建设提供了一个集成的、标准的企业信息安全框架,帮助企业快速知晓企业信息安全现状和需求,能为企业信息安全平台的建设、设计、实施提供指导和参照,从而使业界提出多年的企业“整体安全”理论能够真正落地。 本书旨在帮助企业的高级管理层从风险管控的角度出发,以一个战略的高度,全方位的去考虑和实施安全的整体框架,实现一个风险可控的,优化的业务信息支撑体系。 ▼ (全文略)     ▲
|
|
|
来自: 灰太狼5gbpnaav > 《网络安全》
