当前位置: 首页 > 知识体系 > IT Security > 详情

SABSA 2012

  • 1 标题/定义
    SABSA®
    2 基本知识
    SABSA®是用来开发风险驱动的企业信息安全和信息保障架构,并交付支持企业关键业务的安全基础架构解决方案的一个框架。它是一个开放的标准,包括一些框架、模型、方法和流程,可免费使用,对使用该标准制定和实施架构及解决方案的最终用户组织而言,没有许可证要求。
    3 摘要
    虽然SABSA是基于信息风险/保证/安全领域成长起来,现在已成为人们普遍接受的用于开发基于业务运营风险架构的领先方法。现在SABSA不仅仅是the Open Group中能够和TOGAF®整合的一个用来实现安全架构开发的方法,更重要的是,还可以在整个企业架构领域中使用SABSA的业务属性剖析方法,以此作为使利益相关者参与其中和管理业务需求的手段。对TOGAF ADM而言,它通过提供一个强大的、可重复的、一致的流程使得运营能力的发展与业务需求保持一致,该运营能力包括人员、流程和技术解决方案,从而为TOGAF ADM增加价值。它为TOGAF提供了定义“需求管理”的方法。在此之前的TOGAF版本包括TOGAF 第9版都缺少这一方法。
     
    SABSA不会取代或与其他基于风险的标准和方法竞争。它提供了一个总体框架,使其他现有标准可以融入SABSA框架下加以整合,从而最终形成端到端的联合架构解决方案。因此,ISO 2700X、CobiT®、ISF SoGP®、ITIL®以及其他行业标准,如ETSI标准、巴塞尔协议III和偿付能力监管标准II都能够被汇集成基于SABSA的综合性合规框架。
    在风险理念方面,SABSA与ISO 31000、COSO®和M_o_R®完全保持一致,所有这些都将风险的概念定义为结果的不确定性,包含(正面)机会和(负面)威胁(见图31.1)。
    \
     
    图313.1  SABSA的机会与威胁 
    开展业务就要承担风险,通过评估风险/回报平衡,可以将风险偏好设定在恰当的水平。有了这个理念,所有的业务决策都是风险管理的决策,SABSA正是从这个立场来看待事物的。只要风险可以在组织的风险偏好中被维持,它对企业就没有害处。SABSA是第一个引入用可靠的方法衡量风险偏好并据此监控运营绩效的架构开发方法。它通过业务属性剖析技术,输出定制的平衡计分卡来实现落地。
    SABSA的其他主要特性包括:
     
    SABSA学会拥有、管理和保护SABSA知识产权。
    SABSA框架与任何IT解决方案供应商或其他供应商无关,是完全中立的。
    SABSA框架是可扩展的,也就是说,它可以在一个小范围内被引入,然后推广到后续领域和系统,从而逐步实现。
    该SABSA框架可以在任何行业和任何组织,不论是私营还是公共,包括商业、工业、政府、军队或慈善机构使用。
    SABSA框架适用于在任何粒度水平开发架构和解决方案,从局部范围内的一个项目,到整个企业架构框架。
    SABSA框架不断维护和发展。最新版本会及时发布。
     
     
    SABSA模型涵盖了运营能力的整个生命周期(见图31.2),一共包括六个层次(见图31.3)。
    \
    图31.2  SABSA运营能力生命周期


    \
    图31.3  SABSA的6层模块
     
    对于水平方面的每个层次,都基于六个问题进行纵向分析:是什么(资产),为什么(动机),如何(流程和技术),谁(人),哪里(位置),何时(时间)。这就形成了由6×6个单元格构成的SABSA主矩阵(见图31.4)。
    \
     
    图31.4  SABSA 主矩阵
     
    第六层,即服务管理层,叠加在其他5层之上,并进一步进行垂直分析,以产生5×6个单元格构成的SABSA服务管理矩阵。
    4 该方法的目标群体
     
    首席信息官、风险总监、IT战略家和规划师、IT架构师、IT开发经理和项目负责人、软件经理和架构师、网络管理员和架构师、信息安全经理、顾问、咨询顾问和从业者、审核员。
    5 范围和局限性
     
    SABSA可用于任何类型的商业组织,它是一个基于运营风险的、开发和维护运营能力的、通用的架构开发框架。
    优势
     
    SABSA模型是通用的,对任何组织来讲,可以在任何时候导入。但经过分析流程和由结构隐含的决策后,它就成为该企业特有,并最终针对每个企业独特的商业模式高度客户化。它成为了企业运营风险管理架构。SABSA不是一本菜谱,而是一个适用于主厨的指导框架,使其制定自己的食谱,以满足客户的胃口。
    局限性
     
    为了从SABSA中获益,组织或企业需要从一个小范围内的试点项目来验证这个概念,然后继续前进,力求实行SABSA在整个企业范围内的实践。这当然需要不断说服最高管理层并获得支持,对于采用该框架的倡导者来说是一大挑战。
    6 相关链接(网站链接)
     
    SABSA的官方网站:www.sabsa.org。TOGAF-SABSA白皮书也可以在www.opengroup.org找到。

    (C) Van Haren Publishing 2015
    该文章的版权属于国际最佳实践管理联盟和荷兰范哈仑出版社,未经授权,不得转载!版权所有,侵权必究。