SABSA架构的九大核心概念到底是什么?

admin 2023年12月10日09:20:42评论48 views字数 1768阅读5分53秒阅读模式

SABSA方法论体系里,有SABSA模型、SABSA矩阵SABSA服务管理矩阵、SABSA生命周期、SABSA业务属性、SABSA风险运营模型、SABSA风险管理过程、SABSA保障框架、SABSA治理等九个核心概念。

1SABSA模型(SABSA Model

SABSA架构的九大核心概念到底是什么?

这是一个分层架构,有六种角色视角和相对应的架构层次:商人视角对应用安全架构上下文层;架构师视角对应安全架构概念层;设计师视角对应安全架构逻辑层;实施者视角对应安全架构物理层;技术员视角对应安全架构组件层;服务经理视角对应安全架构服务管理层。

除了上述六种角色,还额外定义了两个全局角色视角:检查员视角(The Inspectors’View)和治理员视角(The Governor’s View)。

2SABSA矩阵(SABSA MATRIX

SABSA架构的九大核心概念到底是什么?

SABSA矩阵是SABSA模型的核心,是一个6X6的格子。“行”内容是上面讲的六个架构层次,“列”内容是六种对象:资产(ASSETS)、动机(MOTIVATION)、流程(PROCESS)、人员(PEOPLE)、位置(LOCATION)、时间(TIME这样就可以解决企业的六个问题:你的资产是啥?为啥有这样的动机?流程如何做?相关人员是谁?作用于哪里?什么时候实施?

36个格子涵盖了整个企业安全架构的所有问题,开发SABSA流程的过程就是填这36个格子的过程,同时,SABSA矩阵可以提供完整性(Completeness)和业务合理性(Business Justification)的双向验证。

3SABSA服务管理矩阵(Service Management Matrix

SABSA架构的九大核心概念到底是什么?

该矩阵在原来6个列的基础上又定义了六种管理行为:服务交付管理(Service Delivery Management)、风险运营管理(Operational Risk Management )、流程交付管理(Process Delivery Management)、人员管理(Personnel Management)、环境管理(Management of Environment)、时间和性能管理(Time & Performance Management)。

4SABSA生命周期(SABSA Lifecycle

SABSA架构的九大核心概念到底是什么?

SABSA模型实施的生命周期分四个阶段:战略和计划(Strategy & Planning)、设计(Design)、实施(Implement)、管理和度量(Manage & Measure

5SABSA业务属性(SABSA Business Attributes

SABSA架构的九大核心概念到底是什么?

它用来连接商业需求和技术/流程设计,总共有七种属性:用户属性(User Attributes)、管理属性(Management Attributes)、运营属性(Operational Attributes)、风险管理属性(Risk Management Attributes)、合规监管属性(Legal/Regulatory Attributes)、技术战略属性(Technical Strategy Attributes)、业务战略属性(Business Strategy Attributes)。

6SABSA风险运营模型(SABSA Model of Operational Risk

SABSA架构的九大核心概念到底是什么?

是一个二元运营风险模型,它认为风险管理的本质是要根据风险资产(Assets at Risk)和风险上下文环境(Risk Context),在威胁(Threats)和机遇(Opportunities)中找到一个平衡,从而可以将一个消极的结果转化成一个积极结果。

7SABSA风险管理过程(SABSA Risk Management Process

SABSA架构的九大核心概念到底是什么?

该过程是在上面提到的SABSA生命周期的基础上增加了一个“保障(Assure)”框架。

8SABSA保障框架(SABSA Assurance Framework

SABSA架构的九大核心概念到底是什么?

其实就是将风险矩阵里的对象和SABSA生命周期结合起来,形成一个四级的保障结构。

9SABSA治理(SABSA Governance

SABSA架构的九大核心概念到底是什么?

是将SABSA风险管理过程与企业组织架构结合起来,描述了SABSA方法的组织实施过程。

一句话,SABSA就是先进行风险梳理,然后根据资产进行风险运营的安全架构。

SABSA架构的九大核心概念到底是什么?

原文始发于微信公众号(锐安全):SABSA架构的九大核心概念到底是什么?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日09:20:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SABSA架构的九大核心概念到底是什么?https://cn-sec.com/archives/2278189.html

发表评论

匿名网友 填写信息