企業(yè)架構(gòu)參考指南-2023.09

?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 1云安全聯(lián)盟企業(yè)架構(gòu)研究工作組官網(wǎng):

https://cloudsecurityalliance.org/research/working-groups/enterprise-architecture/@2022

國(guó)

際

云

安

全

聯(lián)

盟

大

中

華

區(qū)

-

保

留

所

有

權(quán)

利

。

本

文

檔

英

文

版

本

發(fā)

布

在

云

安

全

聯(lián)

盟

官

網(wǎng)（

）

，

中

文

版

本

發(fā)

布

在

國(guó)

際

云

安

全

聯(lián)

盟

大

中

華

區(qū)

官

網(wǎng)（http://www.c-csa.cn）。

您可在滿足如下要求的情況下在您本人計(jì)算機(jī)上下載、存儲(chǔ)、展示、查看、打印此文檔：（a）本文只可作個(gè)人信息獲取，不可用作商業(yè)用途；（b）

本文內(nèi)容不得篡改;

（c）不得對(duì)本文進(jìn)行轉(zhuǎn)發(fā)散布;

（d）不得刪除文中商標(biāo)、版權(quán)聲明或其他聲明。在遵循美國(guó)版權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時(shí)請(qǐng)注明引用于國(guó)際云安全聯(lián)盟。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 2序言企業(yè)數(shù)字化安全轉(zhuǎn)型面臨著選擇、判斷和組合的困擾，對(duì)組織、技術(shù)、人才、管理和業(yè)務(wù)模型等多方面的有機(jī)融合和運(yùn)轉(zhuǎn)構(gòu)成了架構(gòu)，而安全是高效的基礎(chǔ)，二者都是競(jìng)爭(zhēng)力。國(guó)內(nèi)企業(yè)普遍在學(xué)華為、海爾、格力，同時(shí)也在吸收IBM、微軟、谷歌、亞馬遜等企業(yè)的成長(zhǎng)模型。CSA編著的本指南是國(guó)外大型企業(yè)實(shí)踐經(jīng)驗(yàn)的總結(jié)凝練，是一個(gè)與時(shí)俱進(jìn)的參考書(shū)。本文聚焦實(shí)踐，沉淀知識(shí)，而不必全面冗長(zhǎng)的去解讀，非常適合企業(yè)管理者和IT、業(yè)務(wù)、運(yùn)營(yíng)、安全的負(fù)責(zé)人快速學(xué)習(xí)，定位問(wèn)

題，抓住要領(lǐng)，快速實(shí)踐，企業(yè)對(duì)每一項(xiàng)組件的投入都可以在此架構(gòu)中找到位置，找到他上層面的組、域。指南用1-2-3-4表達(dá)出每一個(gè)組件的層次，我們既可以看到1的面貌，又可以細(xì)化到2的構(gòu)成和3、4的細(xì)節(jié)，是思維導(dǎo)圖模式的簡(jiǎn)潔變形。縱觀一個(gè)企業(yè)的成長(zhǎng)與治理，指南對(duì)企業(yè)架構(gòu)建設(shè)、優(yōu)化和運(yùn)營(yíng)實(shí)踐的價(jià)值指導(dǎo)意義，在于他抽取、吸收了COBIT、TOGAF、ITIL、SABSA、Jericho、NIST

SP

500-299、

NIST

SP

500-292、ISO

27001、ISO

27002等系列框架理論的精要，從而在”云大物智移”環(huán)境下，使得企業(yè)架構(gòu)的高效搭建與運(yùn)行既擁有了理論框架，又有了可查找的實(shí)踐行動(dòng)。企業(yè)IT治理、安全治理、生產(chǎn)運(yùn)營(yíng)、應(yīng)急事件處理是數(shù)字化轉(zhuǎn)型基礎(chǔ)內(nèi)容，指南可服務(wù)于對(duì)安全、效率、和運(yùn)營(yíng)有持續(xù)優(yōu)化訴求的大中小企業(yè)。本指南展開(kāi)的對(duì)四個(gè)域的解構(gòu)：業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS)、信息技術(shù)運(yùn)營(yíng)與支持

(ITOS)

、技術(shù)解決方案服務(wù)

(TSS)

、安全和風(fēng)險(xiǎn)管理(SRM)?？梢杂脰|方人的模式和中國(guó)人的，即“你我它”思維思考，你：是指框架中的任何組件、域，我：企業(yè)架構(gòu)的需求、困難、鏈接方式、緊要度等，它：傳遞的下一站，實(shí)現(xiàn)企業(yè)架構(gòu)期望的目標(biāo)或階段方向。對(duì)于未來(lái)的延伸，任何一個(gè)架構(gòu)都是有時(shí)效的，因?yàn)樽兪侨f(wàn)物常態(tài)，運(yùn)動(dòng)是活力之源，企業(yè)架構(gòu)的運(yùn)營(yíng)是指南中所提所有相關(guān)技術(shù)，組織，業(yè)務(wù)，風(fēng)險(xiǎn)應(yīng)對(duì)與系統(tǒng)管理的多維協(xié)同，任何之一的變動(dòng)延伸，都是對(duì)指南演進(jìn)的新要求。本指南也為這種延伸鋪墊了未來(lái)持續(xù)發(fā)揮的思路和舞臺(tái)，努力為企業(yè)把技術(shù)用精，把業(yè)務(wù)做順，把組織做通，把管理做活。李雨航

Yale

Li

CSA

大中華區(qū)主席兼研究院院長(zhǎng)?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 3致謝《企業(yè)架構(gòu)參考指南（Enterprise

Architecture

Reference

Guide）》由CSA研究工作組專家編寫(xiě)，CSA大中華區(qū)秘書(shū)處組織翻譯并審校。中文版翻譯專家組（排名不分先后）：組

長(zhǎng)：李

巖翻譯組：程偉強(qiáng)

仇蓉蓉

鄧

輝

伏偉任

高亞楠賀志生

江

楠

李

鈉

李

巖

李

程林藝芳

劉

潔

鹿淑煜

沈

勇

蘇泰泉滕

偉

王永霞

吳嘉雯

吳

瀟

謝

琴楊喜龍

余曉光審校組：陳欣煒

單美晨

何伊圣

江

楠

李

巖劉

潔

陶瑞巖

王

陽(yáng)

姚

凱研究協(xié)調(diào)員：孫天一感謝以下單位的支持與貢獻(xiàn)：北京安訊奔科技有限責(zé)任公司 北京山石網(wǎng)科信息技術(shù)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 廣東美云智數(shù)科技有限公司華為技術(shù)有限公司 奇安信科技集團(tuán)股份有限公司三六零數(shù)字安全科技集團(tuán)有限公司 三未信安科技股份有限公司上海安幾科技有限公司 上海締安科技股份有限公司騰訊云計(jì)算（北京）有限責(zé)任公司 長(zhǎng)春吉大正元信息技術(shù)股份有限公司浙江極氪智能科技有限公司?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 4英文版本編寫(xiě)專家主要作者：Jon-Michael

C.

Brook Michael

Roza貢獻(xiàn)者：

Shawn

Harris Sunil

Shanthi Michael

TheriaultRolando

Marcelo

Vallejos Ashish

Vashishtha Suri

VenkatHenry

Werchan

CSA團(tuán)隊(duì)：Sean

HeideStephen

Lumpe

(Cover)Jim

ReavisAnnMarie

Ulskey

(Layout) John

Yeoh總架構(gòu)師：Jairo

Orea首席架構(gòu)師：Dan

Logan貢獻(xiàn)者：

Richard

AustinRyan

BagnuloCharleton

BarretoJon-Michael

Brook Phil

Cox Earle

HumphreysTuhin

Kumar Subra

Kumaraswamy Yaron

LeviYale

Li Dan

Logan Scott

MatsumotoRajiv

Mishra Anish

Mohammed Price

OdenJairo

Orea David

Sherr Ken

TrantRavila

White Vern

Williams Rob

WilsonCSA團(tuán)隊(duì)：Jim

Reavis J.R.

Santos Kendall

Cline

ScoboriaEvan

Scoboria John

Yeoh在此感謝以上專家。如譯文有不妥當(dāng)之處，敬請(qǐng)讀者聯(lián)系CSA

GCR秘書(shū)處給與雅正!聯(lián)系郵箱：research@c-；國(guó)際云安全聯(lián)盟CSA公眾號(hào)。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 5目錄序言........................................................................................................................3致謝........................................................................................................................4前言........................................................................................................................8企業(yè)架構(gòu)概述..........................................................................................................

9如何使用企業(yè)架構(gòu)....................................................................................................

9評(píng)估機(jī)會(huì)..........................................................................................................

9創(chuàng)建路線圖.....................................................................................................

10識(shí)別可復(fù)用的安全模式.....................................................................................

10評(píng)估云服務(wù)提供商和安全技術(shù)供應(yīng)商.................................................................

10使用定義列表..................................................................................................

10CSA

企業(yè)架構(gòu).........................................................................................................11業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)（BOSS）.....................................................................................

12描述...............................................................................................................

12示例...............................................................................................................

16提供的服務(wù).....................................................................................................

17與其他域的關(guān)系...............................................................................................20信息技術(shù)運(yùn)營(yíng)與支持（ITOS）..................................................................................21描述...............................................................................................................

21示例...............................................................................................................

27提供的服務(wù).....................................................................................................

27與其他領(lǐng)域的關(guān)系............................................................................................31技術(shù)解決方案服務(wù)(TSS)..........................................................................................

31描述...............................................................................................................

31展示層服務(wù).....................................................................................................

31描述.........................................................................................................31示例.........................................................................................................33提供的服務(wù)...............................................................................................33與其他域的關(guān)系........................................................................................

35應(yīng)用服務(wù).........................................................................................................35描述.........................................................................................................35示例.........................................................................................................37提供的服務(wù)...............................................................................................37與其他域的關(guān)系........................................................................................

38信息服務(wù).........................................................................................................38描述.........................................................................................................38示例.........................................................................................................45提供的服務(wù)...............................................................................................45與其他域的關(guān)系........................................................................................

48基礎(chǔ)架構(gòu)服務(wù)..................................................................................................

48描述.........................................................................................................48示例.........................................................................................................53提供的服務(wù)...............................................................................................53與其他域的關(guān)系........................................................................................

56安全和風(fēng)險(xiǎn)管理（SRM）..........................................................................................

56?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 6描述...............................................................................................................

56示例...............................................................................................................

68提供的服務(wù).....................................................................................................

68與其他領(lǐng)域的關(guān)系............................................................................................75?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 7前言云安全聯(lián)盟企業(yè)架構(gòu)工作組發(fā)布“企業(yè)架構(gòu)參考指南”第2版。通過(guò)此版本，讀者可以看到CSA

企業(yè)架構(gòu)2.3中每個(gè)域的詳細(xì)說(shuō)明。CSA企業(yè)架構(gòu)是安全、身份感知云基礎(chǔ)架構(gòu)的綜合方法。EAWG利用了TOGAF、ITIL、SABSA和Jericho這四種行業(yè)標(biāo)準(zhǔn)架構(gòu)模型。這種方法將同類的最佳架構(gòu)范例結(jié)合到云安全的綜合方法。EAWG通過(guò)將業(yè)務(wù)驅(qū)動(dòng)因素與安全基礎(chǔ)設(shè)施結(jié)合，增加了企業(yè)業(yè)務(wù)模型中云服務(wù)的價(jià)值取向。CSA企業(yè)架構(gòu)參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的NIST

SP

500-299

和

NIST

SP

500-292。本文檔匯編了現(xiàn)有的企業(yè)架構(gòu)定義，同時(shí)，對(duì)于即將發(fā)布的EAWG版本，包括CSA云控制矩陣（CCM3.0.1）到EA的映射以及對(duì)企業(yè)架構(gòu)本身的更新，都可以參考。

感謝讀者企業(yè)架構(gòu)組組長(zhǎng)Jon-Michael

C.

Brook John

Yeoh Michael

Roza Jim

Reavis?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 8企業(yè)架構(gòu)概述共同的需求產(chǎn)生共同的解決方案。企業(yè)架構(gòu)既是一種方法，也是一組工具，使安全架構(gòu)師、企業(yè)架構(gòu)師和風(fēng)險(xiǎn)管理專業(yè)人員能夠利用一組通用的解決方案和控制措施。這些解決方案和控制措施滿足了一系列共同的要求，風(fēng)險(xiǎn)管理者必須評(píng)估內(nèi)部IT安全和云提供商控制措施的運(yùn)營(yíng)狀態(tài)。這些

控制措施以安全能力形式表現(xiàn)出來(lái)，旨在創(chuàng)建一個(gè)通用的路線圖，滿足業(yè)務(wù)的安全需求。業(yè)務(wù)需求必須指導(dǎo)架構(gòu)。在企業(yè)架構(gòu)中，這些要求分別來(lái)自Sarbanes-Oxley和Gramm-Leach-Bliley之類的法規(guī)、ISO-27002之類的標(biāo)準(zhǔn)框架、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)以及COBIT等IT審計(jì)框架驅(qū)動(dòng)的控制矩陣，所有這些都包含在云服務(wù)交付模型之中，例如軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）

和基礎(chǔ)設(shè)施即服務(wù)（IaaS）。按照這些需求，根據(jù)架構(gòu)框架最佳實(shí)踐定義并組織了一套安全能力。（SABSA）從業(yè)務(wù)角度定義了安全模型。信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ITIL）指定了管理公司IT服務(wù)所需的模式，以及安全地管理這些服務(wù)的安全指南。杰里科論壇指定了技術(shù)安全規(guī)范，這些規(guī)范源于傳統(tǒng)數(shù)據(jù)中心內(nèi)技術(shù)環(huán)境向解決方案跨越多個(gè)數(shù)據(jù)中心的互聯(lián)網(wǎng)環(huán)境轉(zhuǎn)變的現(xiàn)實(shí)，而這些數(shù)據(jù)中心中一些由企業(yè)所有，另一些純粹用外包服務(wù)。最后，開(kāi)放組架構(gòu)框架（TOGAF）提供了一個(gè)企業(yè)架構(gòu)框架和方法，用于規(guī)劃、設(shè)計(jì)

和管理信息體系架構(gòu)，最終形成一個(gè)通用框架，將安全架構(gòu)師的工作與組織的企業(yè)架構(gòu)集成在一起。如何使用企業(yè)架構(gòu)企業(yè)架構(gòu)可用于評(píng)估改進(jìn)機(jī)會(huì)、創(chuàng)建技術(shù)采用路線圖、識(shí)別可復(fù)用的安全模式，并根據(jù)一組通用能力評(píng)估各種云提供商和安全技術(shù)供應(yīng)商。評(píng)估機(jī)會(huì)因?yàn)樵瓢踩?lián)盟控制矩陣映射回各種法律和監(jiān)管框架的現(xiàn)有安全控制需求，并且因?yàn)橄嗤木仃囉成涞郊軜?gòu)的安全能力，為了遵守適用的法規(guī)和最佳實(shí)踐框架，公司可以很容易評(píng)估自己具備哪些能力。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 9創(chuàng)建路線圖在評(píng)估組織當(dāng)前能力后，可以使用參考架構(gòu)根據(jù)公司作為云消費(fèi)者或云提供商的業(yè)務(wù)需求來(lái)指導(dǎo)需要投資的能力。例如，在基于云的解決方案中，物理安全控制和能力對(duì)云消費(fèi)者不太重要，但對(duì)云提供商卻更為重要。此外，該參考架構(gòu)能力可用于整理組織中的技術(shù)標(biāo)準(zhǔn)集合，識(shí)別是否存在多種技術(shù)實(shí)現(xiàn)能力相同的領(lǐng)域，進(jìn)一步證明這些技術(shù)功能可以被整合。反之，它也可以顯示公司還有哪些尚未具備的標(biāo)準(zhǔn)技術(shù)能力。識(shí)別可復(fù)用的安全模式由于安全模式和最佳實(shí)踐是圍繞參考架構(gòu)構(gòu)建的，因此這些模式在公司內(nèi)部和公司之間的共享將因?yàn)閷⑺鼈兟?lián)系在一起的通用功能模型而得到增強(qiáng)。供應(yīng)商可以根據(jù)架構(gòu)中的一組能力和控制措施驗(yàn)證解決方案，從而使消費(fèi)者能夠更信任和理解供應(yīng)商的解決方案。評(píng)估云服務(wù)提供商和安全技術(shù)供應(yīng)商已定義的控制措施是用簡(jiǎn)潔明了的合同要求措辭進(jìn)行書(shū)寫(xiě)的，幾乎不需要修改就可以作為服務(wù)合同和建議邀請(qǐng)書(shū)（RFP）的基礎(chǔ)。使用定義列表以下每個(gè)領(lǐng)域表（BOSS、ITOS、TSS、SRM）都會(huì)細(xì)分出所有的域、組件組、子組和容器。領(lǐng)域組件列中每個(gè)元素開(kāi)頭的連字符指明了在圖表中自然理解的企業(yè)架構(gòu)層次。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 10領(lǐng)域組件定義1

域頂層條目，將領(lǐng)域劃分為不同域，如

SRM

中的治理、風(fēng)險(xiǎn)與合規(guī)（GRC），或BOSS中的合規(guī)。2

組件組第二層條目，將域劃分為子主題，例如“BOSS->合規(guī)“下的審計(jì)計(jì)劃，或”SRM->治理、風(fēng)險(xiǎn)與合規(guī)“下的合規(guī)管理。3

組件子組第三層條目（取決于組件，容器可能在此級(jí)別）。4

容器架構(gòu)圖中的最低層元素。CSA

企業(yè)架構(gòu)這份《企業(yè)架構(gòu)參考指南(

第二版)

》對(duì)應(yīng)C

S

A

企業(yè)架構(gòu)的兩種表示形式。

在云安全聯(lián)盟的網(wǎng)站有更多交互形式的內(nèi)容，

并且可以深入研究各部分內(nèi)容。業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS)信息技術(shù)運(yùn)營(yíng)與支持(ITOS)技術(shù)解決方案服務(wù)(TSS)安全和風(fēng)險(xiǎn)管理(SRM)圖1:

交互式

CSA

企業(yè)架構(gòu)圖1另外一種表示形式是Visio圖適用于離線參考的情況。圖2

企業(yè)云架構(gòu)圖表21

https://ea.cloudsecurityalliance.org/index.php/explore/2

/index.php/resources/?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 11業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)（BOSS）業(yè)務(wù)伙伴描述BOSS域是對(duì)安全計(jì)劃至關(guān)重要的所有公司支持的職能部門(mén)，如人力資源、合規(guī)和法務(wù)。它也是監(jiān)控公司運(yùn)營(yíng)及其系統(tǒng)是否存在任何濫用或欺詐跡象的位置。BOSS是基于最佳實(shí)踐和參考框架設(shè)計(jì)的，在協(xié)調(diào)業(yè)務(wù)和將跨組織的信息安全實(shí)踐轉(zhuǎn)化為業(yè)務(wù)賦能因素方面頗有成效。大多數(shù)安全架構(gòu)只關(guān)注技術(shù)能力，錯(cuò)過(guò)了與業(yè)務(wù)建立動(dòng)態(tài)協(xié)同與將被動(dòng)實(shí)踐轉(zhuǎn)化為主動(dòng)領(lǐng)域，從而使業(yè)務(wù)指揮中心具有提供有關(guān)信息資產(chǎn)和業(yè)務(wù)流程健康狀況的相關(guān)信息的能力的機(jī)會(huì)。當(dāng)組織決定將服務(wù)與云提供商集成時(shí)，一個(gè)常見(jiàn)的問(wèn)題是提供商提供的安全級(jí)別，以及在多租戶模式上托管數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)程度。該領(lǐng)域概述了除技術(shù)解決方案之外還必須考慮的因素，例如法律指導(dǎo)、合規(guī)和審計(jì)活動(dòng)、人力資源以及側(cè)重于預(yù)防欺詐的監(jiān)控能力等方面。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 12BOSS組件定義1

合規(guī)組織在確保了解相關(guān)法律、政策和法規(guī)并采取措施遵守這些法律、政策和法規(guī)的流程中預(yù)期實(shí)現(xiàn)的目標(biāo)。2

審計(jì)規(guī)劃審計(jì)規(guī)劃確保配備充足的人員安排和審計(jì)，且為整體業(yè)務(wù)交付方面的一部分。2

聯(lián)系方式權(quán)威維護(hù)確保有關(guān)部門(mén)和關(guān)鍵業(yè)務(wù)合作伙伴的聯(lián)系信息保持最新，以便在需要時(shí)正確無(wú)誤，并強(qiáng)制實(shí)施企業(yè)角色級(jí)別的風(fēng)險(xiǎn)限制。2

獨(dú)立審計(jì)獨(dú)立審計(jì)能夠有效地防止“自欺欺人”地確保對(duì)安全與合規(guī)相關(guān)的當(dāng)前業(yè)務(wù)狀態(tài)進(jìn)行公正的審查。2

第三方審計(jì)確保所依賴的服務(wù)符合安全要求。2

內(nèi)部審計(jì)在組織內(nèi)部提供交叉檢查機(jī)制。在較大的組織中，可能也會(huì)有一定程度的獨(dú)立性。2

信息系統(tǒng)監(jiān)管映射確保識(shí)別所有監(jiān)管要求，并確保業(yè)務(wù)的合規(guī)工作考慮到這些要求。2

知識(shí)產(chǎn)權(quán)保護(hù)確保知識(shí)產(chǎn)權(quán)保護(hù)被確定為關(guān)鍵的業(yè)務(wù)驅(qū)動(dòng)因素，并確保業(yè)務(wù)的合規(guī)性工作考慮到該點(diǎn)。1

運(yùn)營(yíng)風(fēng)險(xiǎn)管理運(yùn)營(yíng)風(fēng)險(xiǎn)管理從業(yè)務(wù)角度為風(fēng)險(xiǎn)評(píng)估提供了一個(gè)整體視角，使用風(fēng)險(xiǎn)管理框架有助于洞察組織面臨的風(fēng)險(xiǎn)和威脅，并且該框架將提供評(píng)估、管理和?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 13

控制整個(gè)組織不同風(fēng)險(xiǎn)的方法。應(yīng)設(shè)立運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)（ORC），定期討論組織始終面臨的威脅和合規(guī)情況。通常，該委員會(huì)的參與者由業(yè)務(wù)部門(mén)（即首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官、首席財(cái)務(wù)官）、合規(guī)部（首席風(fēng)險(xiǎn)官、合規(guī)官）和控制人員（審計(jì)、安全和風(fēng)險(xiǎn)管理）組成。使用業(yè)務(wù)影響評(píng)估方法將有助于組織確定哪些流程對(duì)組織至關(guān)重要，并相應(yīng)地規(guī)劃以保護(hù)這些流程，確保適當(dāng)?shù)倪B續(xù)性計(jì)劃，并使用關(guān)鍵風(fēng)險(xiǎn)指標(biāo)衡量相關(guān)風(fēng)險(xiǎn)。通過(guò)風(fēng)險(xiǎn)記分卡定期監(jiān)控關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，集成來(lái)自安全監(jiān)控服務(wù)的信息或信息服務(wù)領(lǐng)域整合的信息。2

運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)確保對(duì)所有已識(shí)別的業(yè)務(wù)風(fēng)險(xiǎn)給予運(yùn)營(yíng)方面的考慮。除非考慮真正的運(yùn)營(yíng)考量因素，否則不可能對(duì)風(fēng)險(xiǎn)進(jìn)行充分的優(yōu)先排序。2

危機(jī)管理組織有效應(yīng)對(duì)危機(jī)的總體協(xié)調(diào)，總體目標(biāo)是避免或最大限度地減少對(duì)組織的盈利能力、聲譽(yù)或運(yùn)營(yíng)能力的損害。1

業(yè)務(wù)影響分析確保在風(fēng)險(xiǎn)管理流程中考慮業(yè)務(wù)影響，而不僅僅考慮技術(shù)方面風(fēng)險(xiǎn)。2

關(guān)鍵風(fēng)險(xiǎn)指標(biāo)從管理層或執(zhí)行層識(shí)別可能影響特定業(yè)務(wù)的關(guān)鍵風(fēng)險(xiǎn)因素是什么。2

業(yè)務(wù)連續(xù)性確保在風(fēng)險(xiǎn)管理流程中考慮業(yè)務(wù)連續(xù)性。不僅應(yīng)解決業(yè)務(wù)連續(xù)性問(wèn)題，還應(yīng)解決業(yè)務(wù)恢復(fù)問(wèn)題。3

規(guī)劃準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃以及必要時(shí)付諸實(shí)施所需的所有步驟。3

測(cè)試測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃以確保其有效性。2

風(fēng)險(xiǎn)管理框架確保在業(yè)務(wù)范圍內(nèi)定義并記錄可重復(fù)的流程。風(fēng)險(xiǎn)管理框架必須在其定義的業(yè)務(wù)環(huán)境中使用。3

業(yè)務(wù)評(píng)估確保對(duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行識(shí)別、記錄，并確定適當(dāng)?shù)奶幚矸椒ā?

技術(shù)評(píng)估確保對(duì)技術(shù)風(fēng)險(xiǎn)進(jìn)行識(shí)別、記錄，并確定適當(dāng)?shù)奶幚矸椒ā?

獨(dú)立風(fēng)險(xiǎn)管理由第三方進(jìn)行風(fēng)險(xiǎn)評(píng)估，以從參考框架角度（即COBIT、ISO27001）、監(jiān)

管角度（即SOX、PCI）評(píng)估組織控制的成熟度。此類評(píng)估還可包括安全測(cè)試（黑盒、白盒、滲透測(cè)試）。1

人力資源安全本節(jié)重點(diǎn)關(guān)注與人員(員工、承包商或任何其他第三方)與組織人力資源職能互動(dòng)相關(guān)的流程、最佳實(shí)踐的安全和風(fēng)險(xiǎn)管理視角。2

解雇確保員工離職程序?qū)㈦x職員工在任職后濫用信息資產(chǎn)的風(fēng)險(xiǎn)降至最低的

流程。該流程通常包括刪除對(duì)電子帳戶的訪問(wèn)、關(guān)閉VPN或外部電子郵件服務(wù)等。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 142

雇傭協(xié)議組織與員工、承包商、第三方用戶和客戶之間簽訂的所有合同協(xié)議，在授予對(duì)數(shù)據(jù)和服務(wù)的訪問(wèn)權(quán)限之前，這些協(xié)議明確規(guī)定了其雇傭或服務(wù)合同的條款和條件，其中必須明確包括負(fù)責(zé)信息安全的各方。例如隱私政策、知識(shí)產(chǎn)權(quán)協(xié)議、可接受的使用、網(wǎng)站條款和條件。2

背景篩查人員、承包商和第三方的背景核實(shí)必須到位，并且應(yīng)與根據(jù)當(dāng)?shù)胤伞⒎ㄒ?guī)和道德規(guī)范訪問(wèn)的數(shù)據(jù)分類相稱。2

職位描述工作職責(zé)的明確定義有助于確定從事該工作的人員的數(shù)據(jù)訪問(wèn)要求，確保職員只有最低限度的訪問(wèn)權(quán)限。2

角色和職責(zé)將工作劃分為具有不同角色和職責(zé)的多個(gè)職位，允許職責(zé)分離，以確保組織流程中的適當(dāng)完整性。2

員工意識(shí)此能力將側(cè)重于與提供意識(shí)的流程相關(guān)的材料和工具的管理，以確保遵守監(jiān)管要求、安全策略和風(fēng)險(xiǎn)管理最佳實(shí)踐，從而確保組織將擁有一個(gè)安全、合規(guī)和安全的工作環(huán)境。這方面的例子包括桌面清理、災(zāi)難恢復(fù)、在線培訓(xùn)、PII/PHI信息保護(hù)等。2

員工行為準(zhǔn)則此能力旨在管理與組織的數(shù)據(jù)、資產(chǎn)和服務(wù)交互的人員之間的正式協(xié)議的生命周期。行為準(zhǔn)則必須包括從監(jiān)管角度看與組織相關(guān)的預(yù)期行為、信息安全策略和風(fēng)險(xiǎn)管理最佳實(shí)踐。1

數(shù)據(jù)治理在組織管理應(yīng)用程序、服務(wù)和企業(yè)信息集成活動(dòng)之間的數(shù)據(jù)時(shí)，需要有一個(gè)定義良好的治理模型，該模型概述并尋找在整個(gè)IT基礎(chǔ)架構(gòu)（包括內(nèi)部和外部服務(wù)即SaaS、PaaS、IaaS、ASP或其他））中如何處理、轉(zhuǎn)換和存儲(chǔ)數(shù)據(jù)的合規(guī)性（。數(shù)據(jù)治理中包含的流程包括數(shù)據(jù)所有權(quán)、應(yīng)如何對(duì)數(shù)據(jù)進(jìn)行分類、數(shù)據(jù)/

資產(chǎn)所有者對(duì)其應(yīng)用程序和服務(wù)負(fù)有的責(zé)任，以及在整個(gè)生命周期內(nèi)對(duì)數(shù)據(jù)的必要控制。2

數(shù)據(jù)所有權(quán)

管理工作此能力為在數(shù)據(jù)的整個(gè)生命周期中與數(shù)據(jù)交互的人員管理通信、職責(zé)和相關(guān)流程。與數(shù)據(jù)交互關(guān)聯(lián)的角色包括數(shù)據(jù)所有者、資產(chǎn)托管人、數(shù)據(jù)用戶、支持服務(wù)和代表。2

數(shù)據(jù)分類評(píng)估信息對(duì)業(yè)務(wù)的價(jià)值，并根據(jù)數(shù)據(jù)被未經(jīng)授權(quán)的個(gè)人獲取對(duì)業(yè)務(wù)的影響將其分配到不同級(jí)別的流程，如(受保護(hù)的、公開(kāi)的、絕密的)。2

處理/標(biāo)記/安全策略該能力管理與數(shù)據(jù)和包含數(shù)據(jù)的對(duì)象的標(biāo)簽、處理和安全相關(guān)的策略、流程和通信。2

數(shù)據(jù)安全處置確保數(shù)據(jù)被適當(dāng)銷(xiāo)毀，以防恢復(fù)(例如，通過(guò)數(shù)字取證技術(shù))。此類銷(xiāo)毀的?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 15

文件記錄應(yīng)落實(shí)到位，并應(yīng)包括在信息生命周期管理流程中。2

清理桌面政策一種公司政策，確保敏感信息不會(huì)被未授權(quán)用戶公開(kāi)查看或竊取。2

信息防泄露規(guī)則此能力管理與整個(gè)組織內(nèi)數(shù)據(jù)保密和保護(hù)相關(guān)的數(shù)據(jù)泄露防護(hù)和控制相

關(guān)的策略、程序和業(yè)務(wù)需求。這方面的示例包括內(nèi)容管理、共享文件存儲(chǔ)庫(kù)和終端視角的數(shù)據(jù)使用。2

數(shù)據(jù)保存規(guī)則此能力根據(jù)業(yè)務(wù)和監(jiān)管角度的需要，管理與保存數(shù)據(jù)(交易信息、電子郵

件、文檔圖像、刷卡、在線瀏覽歷史記錄)相關(guān)的策略、程序或要求，然

后進(jìn)行安全處置。1

安全監(jiān)控服務(wù)與整個(gè)組織的主動(dòng)式安全和風(fēng)險(xiǎn)管理態(tài)勢(shì)感知相關(guān)的所有功能，以業(yè)務(wù)為重點(diǎn)，防止內(nèi)部或外部攻擊、濫用權(quán)限和數(shù)據(jù)丟失，同時(shí)保持對(duì)組織數(shù)據(jù)和訪問(wèn)的適當(dāng)監(jiān)控，無(wú)論這些服務(wù)在何處分配或管理（云、內(nèi)部、托管等）2

安全信息事件管理平臺(tái)（SIEM）安全信息和事件管理平臺(tái)收集、關(guān)聯(lián)、報(bào)告多個(gè)安全信息源，以保持態(tài)勢(shì)感知。2

事件挖掘?qū)v史事件進(jìn)行統(tǒng)計(jì)分析，確定正常和異常行為模型。2

數(shù)據(jù)庫(kù)監(jiān)控此能力是數(shù)據(jù)庫(kù)管理系統(tǒng)相關(guān)事件的集合，包括登錄、查詢、處理和管理活動(dòng)。2

應(yīng)用監(jiān)控該能力是應(yīng)用程序相關(guān)事件的集合，包括登錄、對(duì)敏感數(shù)據(jù)的訪問(wèn)、處理、管理活動(dòng)。2

蜜罐一種真實(shí)的或虛擬的系統(tǒng)，通過(guò)配置真實(shí)的生產(chǎn)系統(tǒng)的鏡像來(lái)吸引和檢測(cè)入侵者。2

終端監(jiān)控收集與最終用戶使用設(shè)備相關(guān)的事件。2

事件關(guān)聯(lián)分析一個(gè)源中的事件并將其與相同或其他源中的事件關(guān)聯(lián)以獲取附加信息或檢測(cè)活動(dòng)模式的流程。2

云監(jiān)控在應(yīng)用程序堆棧的所有層上收集與云解決方案提供服務(wù)的使用相關(guān)聯(lián)的事件。2

電子郵件記錄監(jiān)控電子郵件內(nèi)容以檢測(cè)數(shù)據(jù)丟失、惡意軟件傳播或其他基于電子郵件的威脅。2

安全運(yùn)營(yíng)中心門(mén)戶由安全運(yùn)營(yíng)中心維護(hù)的儀表盤(pán)應(yīng)用程序，提供組織安全狀態(tài)的總體可見(jiàn)性。2

對(duì)抗威脅管理管理威脅和對(duì)抗策略的整個(gè)流程。2

市場(chǎng)威脅情報(bào)由分布式IDS傳感器收集并由安全公司分析的網(wǎng)絡(luò)情報(bào)。此外，這種能力可以鞏固來(lái)自行業(yè)同行的威脅情報(bào)(例如，HITRUST,

NSA的商業(yè)分支機(jī)構(gòu)示例安全監(jiān)控工具提醒分析師，客戶提款交易操作的發(fā)起方是

IT

部門(mén)的工作站而不是客戶聯(lián)絡(luò)中心。在人力資源部和法務(wù)部的幫助下進(jìn)行一項(xiàng)特別調(diào)查顯示，確定是一名心懷不滿的系統(tǒng)管理員持續(xù)竊取公司信息。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 16

等)。2

安全托管服務(wù)為組織提供部分或全部安全運(yùn)營(yíng)能力的外包協(xié)議。2

知識(shí)庫(kù)一個(gè)能夠使安全運(yùn)營(yíng)中心高效響應(yīng)事件的，有關(guān)組織基礎(chǔ)設(shè)施和運(yùn)營(yíng)的知識(shí)庫(kù)，2

品牌保護(hù)監(jiān)控對(duì)組織品牌構(gòu)成風(fēng)險(xiǎn)的外部實(shí)體和活動(dòng)，如冒名頂替者網(wǎng)站、蓄意錯(cuò)誤拼寫(xiě)等。2

防釣魚(yú)能夠檢測(cè)針對(duì)組織用戶的網(wǎng)絡(luò)釣魚(yú)攻擊，如入站網(wǎng)絡(luò)釣魚(yú)電子郵件。2

實(shí)時(shí)網(wǎng)絡(luò)防護(hù)（SCAP）安全內(nèi)容自動(dòng)化協(xié)議是一個(gè)持續(xù)的保障流程，可實(shí)時(shí)驗(yàn)證安全策略和程序的合規(guī)性。2

用戶行為與畫(huà)像有關(guān)用戶的事件和信息的集合，用于分析和識(shí)別正常和異常行為模式，如特定用戶或角色使用應(yīng)用程序的情況。1

內(nèi)部調(diào)查內(nèi)部調(diào)查關(guān)注的是確定事實(shí)真相和政策或刑事調(diào)查的影響。這一流程涉及欺詐檢測(cè)、預(yù)防和取證調(diào)查。2

取證分析取證分析涉及保存、識(shí)別、提取和分析與違反政策或刑事犯罪的事實(shí)問(wèn)題相關(guān)的潛在證據(jù)價(jià)值項(xiàng)。2

電子郵件記錄確保按照監(jiān)管合規(guī)或支持訴訟的要求記錄和保存所有電子郵件流量的流程和程序。1

法律服務(wù)當(dāng)安全事件發(fā)生時(shí)，組織對(duì)法律顧問(wèn)的需求至關(guān)重要。其中包括幾項(xiàng)能力，可以幫助法律顧問(wèn)領(lǐng)導(dǎo)合規(guī)活動(dòng)、處理訴訟以及跟蹤整個(gè)組織的預(yù)防意識(shí)。2

合約兩個(gè)或多個(gè)當(dāng)事人之間的協(xié)議，其目的是創(chuàng)造一項(xiàng)或多項(xiàng)法律義務(wù)。2

電子檔案查詢（電子發(fā)現(xiàn)）電子檔案查詢涉及如何識(shí)別、保存和生成對(duì)已經(jīng)計(jì)劃或正在進(jìn)行的訴訟作出響應(yīng)的數(shù)據(jù)。2

應(yīng)急響應(yīng)法律準(zhǔn)備確保識(shí)別、收集和保存相關(guān)信息的流程和程序，支持未來(lái)有關(guān)該事件的訴訟。提供的服務(wù)合規(guī)性：合規(guī)能力的重點(diǎn)是跟蹤內(nèi)部、外部、第三方（如客戶）人員行為，執(zhí)行審計(jì)活動(dòng)及發(fā)現(xiàn)相關(guān)問(wèn)題。為了合規(guī)工作的順利開(kāi)展，有必要建立一個(gè)通用資料庫(kù)，使組織能夠跟蹤和修復(fù)這些發(fā)現(xiàn)所概述的技術(shù)或運(yùn)營(yíng)差距。審計(jì)活動(dòng)包括制定審計(jì)年度計(jì)劃，精簡(jiǎn)審計(jì)流程，防止重復(fù)審計(jì)。監(jiān)管映射流程將幫助組織協(xié)調(diào)和簡(jiǎn)化各種能力或流程生成的控制證據(jù)，以便存儲(chǔ)在風(fēng)險(xiǎn)注冊(cè)表（信息服務(wù)域）中。

相關(guān)組件：

2

審計(jì)計(jì)劃

2

聯(lián)系人/權(quán)威維護(hù)

2

獨(dú)立審計(jì)

2

第三方審計(jì)

2

內(nèi)部審計(jì)

2

信息系統(tǒng)合規(guī)映射

2

知識(shí)產(chǎn)權(quán)保護(hù)數(shù)據(jù)治理：當(dāng)組織管理應(yīng)用程序、服務(wù)和企業(yè)信息集成活動(dòng)之間的數(shù)據(jù)時(shí)，需要有一個(gè)定義明確的治理模型，指導(dǎo)包括內(nèi)外部服務(wù)（即SaaS，PaaS，IaaS，ASP或其他）的整個(gè)IT基礎(chǔ)設(shè)施中，數(shù)據(jù)的合規(guī)銷(xiāo)毀、轉(zhuǎn)換和存儲(chǔ)。作為數(shù)據(jù)治理一部分的流程，包括數(shù)據(jù)確權(quán)，數(shù)據(jù)分類以及數(shù)據(jù)/資產(chǎn)所有者對(duì)其應(yīng)用程序和服務(wù)的責(zé)任劃分，以及整個(gè)生命周期中對(duì)數(shù)據(jù)的必要控制。相關(guān)組件：

2

數(shù)據(jù)所有權(quán)/管理權(quán)

2

數(shù)據(jù)分類

2

處理/標(biāo)簽/安全策略

2

數(shù)據(jù)安全銷(xiāo)毀

2

明確的桌面政策

2

防止信息泄露規(guī)則

2

數(shù)據(jù)保留規(guī)則?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 17運(yùn)營(yíng)風(fēng)險(xiǎn)管理：運(yùn)營(yíng)風(fēng)險(xiǎn)管理從業(yè)務(wù)視角提供了風(fēng)險(xiǎn)評(píng)估的整體視角，使用風(fēng)險(xiǎn)管理框架可以洞察組織面臨的風(fēng)險(xiǎn)和威脅。框架將針對(duì)組織面臨的不同風(fēng)險(xiǎn)提供風(fēng)險(xiǎn)評(píng)估，管理和控制方法。應(yīng)該設(shè)立運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)（ORC）定期討論組織長(zhǎng)期面臨的威脅和合規(guī)情況。通常，該委員會(huì)參與者按照業(yè)務(wù)人員（即CEO，COO，CIO，CFO），合規(guī)人員（CRO，合規(guī)官員）和控制人員（審計(jì)，安全和風(fēng)險(xiǎn)管理）分組。業(yè)務(wù)影響評(píng)估方法的使用將有助于組織確定對(duì)組織至關(guān)重要的流程，并制定相應(yīng)的保護(hù)計(jì)劃，確保適當(dāng)?shù)倪B續(xù)性計(jì)劃，并通過(guò)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)衡量相關(guān)風(fēng)險(xiǎn)?？梢酝ㄟ^(guò)風(fēng)險(xiǎn)記分卡定期監(jiān)控關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，整合來(lái)自安全監(jiān)控服務(wù)的信息或信息服務(wù)領(lǐng)域的綜合信息。相關(guān)組件：

2

運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)

2

危機(jī)管理

2

業(yè)務(wù)影響分析

2

關(guān)鍵風(fēng)險(xiǎn)指標(biāo)

2

業(yè)務(wù)連續(xù)性

3

規(guī)劃

3

測(cè)試

2

風(fēng)險(xiǎn)管理框架

3

業(yè)務(wù)評(píng)估

3

技術(shù)評(píng)估

2

獨(dú)立風(fēng)險(xiǎn)管理人力資源安全：如果缺乏針對(duì)人員這一最核心資產(chǎn)的正式控制措施、安全意識(shí)和指導(dǎo)方針，組織可能會(huì)經(jīng)常發(fā)生安全事故和違規(guī)行為。本節(jié)旨在確保組織制定正式程序，行為準(zhǔn)則，人員篩選和其他最佳實(shí)踐，采用了第三方云計(jì)算服務(wù)的組織更是如此。

相關(guān)組件：

2

人員離職

2

就業(yè)協(xié)議

2

背景審查?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 18

2

職位描述

2

角色和責(zé)任

2

員工意識(shí)

2

員工行為準(zhǔn)則安全監(jiān)控服務(wù)：安全和可用性監(jiān)控服務(wù)隸屬于業(yè)務(wù)運(yùn)營(yíng)和支持服務(wù)，其核心任務(wù)是確保業(yè)務(wù)安全而不是聚焦于事件或硬件。通常的錯(cuò)誤做法是未將安全功能聚焦于在流程背后的業(yè)務(wù)操作、活動(dòng)和人員行為上。安全監(jiān)控服務(wù)的目標(biāo)應(yīng)從傳統(tǒng)的基礎(chǔ)架構(gòu)監(jiān)控轉(zhuǎn)變?yōu)橐詷I(yè)務(wù)運(yùn)營(yíng)為中心，專注于欺詐防范，與業(yè)務(wù)戰(zhàn)略保持一致，關(guān)注業(yè)務(wù)影響和運(yùn)營(yíng)需求。組織通常只將監(jiān)控活動(dòng)聚焦在響應(yīng)模式上，失去了成為業(yè)務(wù)合作伙伴的機(jī)會(huì)。通過(guò)使用監(jiān)控服務(wù)，收集有關(guān)員工行為知識(shí)，企業(yè)可以獲得流程改進(jìn)的新契機(jī)。相比其他員工，有些員工比其他人更容易接觸到許多機(jī)構(gòu)最關(guān)鍵的信息，例如客戶數(shù)據(jù)，信用卡信息等。如果安全監(jiān)控服務(wù)側(cè)重于這些用戶及其行為，則可以防止?jié)撛诘钠墼p活動(dòng)。隨著監(jiān)控服務(wù)開(kāi)始變得不那么被動(dòng)，而是更主動(dòng)化，安全監(jiān)控服務(wù)的重點(diǎn)將從內(nèi)部威脅轉(zhuǎn)向外部威脅。該架構(gòu)概述了基于網(wǎng)絡(luò)情報(bào)的多種能力，旨在防止威脅演變?yōu)榘踩录?/p>

相關(guān)組件：

2

SIEM平臺(tái)

2

事件挖掘

2

數(shù)據(jù)庫(kù)監(jiān)測(cè)

2

應(yīng)用程序監(jiān)控

2

蜜罐

2

端點(diǎn)監(jiān)測(cè)

2

事件相關(guān)性

2

云監(jiān)控

2

電子郵件日志

2

SOC門(mén)戶

2

反威脅管理

2

市場(chǎng)威脅情報(bào)

2

安全服務(wù)托管?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 19

2

知識(shí)庫(kù)

2

品牌保護(hù)

2

反釣魚(yú)

2

實(shí)時(shí)互聯(lián)網(wǎng)工作防御（SCAP）

2

用戶行為和側(cè)寫(xiě)描述法律服務(wù)：隨著安全事件的發(fā)生，法律顧問(wèn)對(duì)組織至關(guān)重要。法律顧問(wèn)可指導(dǎo)合規(guī)工作/訴訟處理，以及跟蹤和提升組織的法律風(fēng)險(xiǎn)防范意識(shí)。本節(jié)還包括和詳述了有助于提高、跟蹤和管理合規(guī)性的功能。

相關(guān)組件：

2

合同

2

電子取證

2

事件響應(yīng)的法律準(zhǔn)備內(nèi)部調(diào)查：內(nèi)部調(diào)查的作用因組織而異；一些公司讓信息安全團(tuán)隊(duì)執(zhí)行取證活動(dòng)，而更成熟的公司可能會(huì)有一個(gè)專注于內(nèi)部和/或外部欺詐活動(dòng)的專門(mén)團(tuán)隊(duì)。為了更好地協(xié)助調(diào)查人員，這些團(tuán)隊(duì)的能力以幫助開(kāi)展安全事件響應(yīng)、網(wǎng)絡(luò)情報(bào)分析、遵守法律、安全監(jiān)控、人力資源和信息安全團(tuán)隊(duì)管理等為導(dǎo)向。

相關(guān)組件：

2

取證分析

2

電子郵件日志與其他域的關(guān)系業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)定義了IT運(yùn)營(yíng)支持服務(wù)、演示服務(wù)、應(yīng)用程序服務(wù)、信息服務(wù)、基礎(chǔ)設(shè)施服務(wù)以及安全和風(fēng)險(xiǎn)管理所要支持的高級(jí)戰(zhàn)略要求。BOSS體現(xiàn)了云消費(fèi)者的業(yè)務(wù)方向和目標(biāo)。BOSS體現(xiàn)在合規(guī)目標(biāo)、法律目標(biāo)、人力資源要求、運(yùn)營(yíng)風(fēng)險(xiǎn)容忍度和安全監(jiān)控服務(wù)中，這些服務(wù)是滿足客戶的服務(wù)級(jí)別目標(biāo)和司法管轄權(quán)法定要求所必需的。BOSS域致力于使ITOS和SRM域與業(yè)務(wù)所需的戰(zhàn)略、能力和風(fēng)險(xiǎn)組合保持一致。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 20信息技術(shù)運(yùn)營(yíng)與支持（ITOS）IT管理過(guò)程ITOS就是IT部門(mén)。它是發(fā)現(xiàn)問(wèn)題時(shí)接聽(tīng)電話的服務(wù)臺(tái)；是在半夜里協(xié)調(diào)變更并推進(jìn)實(shí)施的團(tuán)隊(duì)；是即便是在災(zāi)難事件發(fā)生時(shí)仍保持系統(tǒng)繼續(xù)運(yùn)行的規(guī)劃與流程。描述ITOS概述了IT組織支持業(yè)務(wù)需求時(shí)所需的全部必要服務(wù)。該領(lǐng)域提供了與行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐的對(duì)標(biāo)（PMBOK、CMMI、ISO/

IEC

27002、COBIT和ITIL

v3），從兩個(gè)主要角度提供參考，使組織能夠支持業(yè)務(wù)需求。然而，技術(shù)組件之間的關(guān)系并不是與PMBOK、ISO/IEC

27002、CMMI、COBIT和ITIL

v3中描述的流程接觸點(diǎn)一一對(duì)應(yīng)。?

2022

國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有 21領(lǐng)域組件定義1

IT運(yùn)營(yíng)IT運(yùn)營(yíng)定義了IT組織的組織結(jié)構(gòu)和技能要求，以及一組標(biāo)準(zhǔn)的運(yùn)營(yíng)管理程序和實(shí)踐，允許組織管理IT運(yùn)營(yíng)及相關(guān)的基礎(chǔ)設(shè)施。IT運(yùn)營(yíng)能力的目標(biāo)是對(duì)齊業(yè)務(wù)和IT戰(zhàn)略、項(xiàng)目和技術(shù)組合管理，并需要確保貫穿IT體系的架構(gòu)治理。2

災(zāi)難恢復(fù)計(jì)劃（DRP

）該文檔定義了在業(yè)務(wù)中斷時(shí)管理業(yè)務(wù)恢復(fù)流程所需的資源、操作、任務(wù)和數(shù)據(jù)。該計(jì)劃用于在指定的災(zāi)難中，幫助恢復(fù)目標(biāo)及業(yè)務(wù)。3

計(jì)劃管理確保DRP持續(xù)獲得更新以反映業(yè)務(wù)及關(guān)鍵功能變更的整體流程。4

測(cè)試管理管理對(duì)DRP進(jìn)行定期測(cè)試及后續(xù)審視的整個(gè)流程。2

IT治理本能力涵蓋了以確立決策權(quán)和責(zé)任框架為導(dǎo)向的所有流程和組件，并鼓勵(lì)I(lǐng)T服務(wù)生命周期中的良好行為。3

架構(gòu)治理一組工具，可用于開(kāi)發(fā)廣泛不同的架構(gòu)透視圖，通常集成為一個(gè)通用的架構(gòu)框架。治理流程必須包括以下元素:? 描述一種方法，用一組構(gòu)建模塊定義信息系統(tǒng)? 展示構(gòu)