日期:2023/01/15 10:05作者:佚名人气:
1] 安全架构师
2] 信息安全架构师
3] 首席信息安全官
4] 信息安全分析师
1] 安全架构师角色
业务需要安全架构师 (SA) 提供安全的解决方案和服务,以安全地支持诸如增加利润和生产力、改进客户服务、创新以及加快新产品和服务的上市时间等活动。
以下是根据 Forrester 对解决方案架构师的定义
“负责确保业务解决方案设计满足安全性和合规性要求的技术角色。SA 与整个组织的利益相关者合作,安全地实施业务计划的功能要求。SA 是组织内信息安全架构的技术权威”
安全架构师的业务和技术技能
1] 风险管理
识别和传达风险教育、管理与特定业务解决方案相关的风险影响是 SA 的核心能力。
降低风险 - 一旦业务领导者对提议的解决方案或行动方案做出决定,SA 就有责任设计一个安全的解决方案,以平衡功能需求与安全性和合规性要求。
2] 架构和威胁建模
“扩展企业”的架构能力——由于移动业务的爆炸式增长和云服务的兴起,扩展企业的业务流程很少(如果有的话)隔离在公司的四壁之内。 在当今的扩展企业中,成功的 SA 必须拥有核心安全知识,以及 API 驱动的应用程序环境和联合身份的内部和外部知识。
像攻击者一样思考的能力——威胁建模是识别系统中的威胁和漏洞并找到利用它们的方法的过程。
安全架构师的非技术技能
具有很强的写作和表达能力——SA 必须能够与组织的各个级别进行沟通
谈判、说服和影响技巧——在没有要求特定行动过程的合规授权的组织中尤其如此。在这种情况下,影响决策要困难得多,需要更多技巧
组织结构
安全架构和企业架构(EA)之间的关系非常重要。 EA Group 帮助创建以业务为中心的企业架构,将战略和技术联系起来。 安全性必须是 EA 的一部分。 无论组织结构如何,安全架构师都应该与企业架构师和首席信息安全办公室密切合作。 有关更多详细信息,请参见图。
图1
2] 信息安全架构师
信息安全架构师的角色需要业务洞察力、技术敏锐度以及在不同抽象层次上思考、沟通和写作的能力。
角色和职责
与企业架构师、其他职能领域架构师和安全专家密切合作,确保在所有 IT 系统和平台上部署足够的安全解决方案,以充分缓解已识别的风险并满足业务目标和法规要求。
开发构成企业信息安全架构和解决方案的业务、信息和技术组件。
作为应用程序开发、数据库设计、网络和/或平台(操作系统)工作的安全专家,帮助项目团队遵守公司和 IT 安全政策、行业法规和最佳实践。
有助于使安全治理与 EA 治理、项目和项目组合管理 (PPM) 保持一致。
研究、设计和倡导新技术、架构和安全产品,以支持企业及其客户、业务合作伙伴和供应商的安全需求。
有助于信息安全策略的开发和维护。
根据批准的安全架构评估和开发安全解决方案。 根据新出现的安全威胁、漏洞和风险分析业务影响和风险。
向业务合作伙伴和 IT 人员传达安全风险和解决方案。
3] 首席信息安全官
CISO 负责建立和维护公司范围内的信息安全管理计划,以确保信息资产得到充分保护。 该角色负责以符合合规和监管要求的方式识别、评估和报告信息安全风险架构团队职责是什么,并符合和支持企业的风险状况。 CISO 职位需要一位有远见的领导者,具备扎实的业务管理知识和信息安全技术的应用知识。 CISO 将积极与企业合作,实施与规定的信息安全政策和标准一致的实践。
责任
制定、实施和监控战略性、全面的企业信息安全和 IT 风险管理计划,以确保组织拥有、控制或处理的信息的完整性、机密性和可用性。
管理企业的信息安全组织,包括直接报告和间接报告(如业务连续性和IT运营中的个人)。 这包括招聘、培训、员工发展、绩效管理和年度绩效评估。
通过实施分层治理计划促进信息安全治理,包括建立信息安全指导或咨询委员会。
制定、维护和发布最新的信息安全政策、标准和指南。 监督安全政策和实践的批准、培训和传播。
创建、沟通和实施基于风险的供应商风险管理流程,包括评估和解决来自合作伙伴、顾问和其他服务提供商的潜在风险。
制定和管理信息安全预算并监控差异。
为所有员工、承包商和批准的系统用户创建和管理信息安全和风险管理意识培训计划。
直接与企业合作以促进 IT 风险评估和风险管理流程,并与整个企业的利益相关者合作以确定可接受的剩余风险水平。
作为企业风险管理战略计划的一部分,定期向企业风险团队、高级业务领导和董事会报告信息安全计划的状态。
为信息所有权、分类、问责制和保护建立角色和责任框架。
开发和增强信息安全管理框架,如果存在或已识别,则插入其中。
为IT项目提供战略风险指导,包括技术控制的评估和建议。
与企业架构团队联络以确保安全架构与企业架构之间的一致性,从而协调这些架构中隐含的战略规划。
使用 IT 组织和业务部门团队的资源协调信息安全和风险管理项目。
创建和管理一个统一、灵活的控制框架,以整合和标准化来自全球法律、标准和法规的多样化和不断变化的要求。
确保安全计划符合相关法律、法规和政策,以最大限度地减少或消除风险和审计结果。
根据需要与信息安全团队和公司合规、审计、法律和人力资源管理团队联络。
定义和促进信息安全风险评估流程,包括报告和监控工作以解决负面发现。
管理安全事件和事件以保护公司 IT 资产,包括知识产权、受监管数据和公司声誉。
监控外部威胁环境中新出现的威胁,并就适当的行动方案向相关利益相关者提供建议。
必要时与执法机构和其他咨询机构等外部机构联络,以确保组织保持强大的安全态势。
协调信息安全计划中涉及的外部资源的使用,包括但不限于面试、谈判合同和费用以及管理外部资源。
4] 信息安全分析师
信息安全分析师是信息安全团队的高级成员,与其他团队成员密切合作,制定和实施全面的信息安全计划。 这包括定义安全策略、程序和标准。 安全分析师与 IT 合作,选择和部署技术控制以满足特定的安全需求,并定义流程和标准以确保维护安全配置。
与业务部门和其他风险职能部门合作架构团队职责是什么,使用可能包括风险和业务影响评估的方法来确定安全要求。 此活动的组成部分包括但不限于:
¨ 业务系统分析。
¨ 沟通、促进和建立共识。
协助协调和完成信息安全操作文档。
与信息安全领导层合作制定战略和计划,以执行安全要求并解决已识别的风险。
向管理层报告剩余风险、漏洞和其他安全风险,包括滥用信息资产和违规行为。
作为应用程序开发或采购项目的顾问,评估安全需求和控制,并确保安全控制按计划实施。
在关键 IT 项目上进行协作,以确保在整个项目生命周期中解决安全问题。
与 IT 和信息安全团队成员一起识别、选择和实施技术控制。
制定安全流程和程序并支持服务水平协议 (SLA),以确保安全控制得到管理和维护。
就安全授权请求的正常和基于异常的处理向安全管理员提供建议。
研究、评估和推荐与信息安全相关的硬件和软件,包括开发安全投资的业务案例。