启动企业安全体系结构计划的简化敏捷方法的初始步骤包括:
- 确定业务目标和战略
- 确定实现这些目标所需的业务属性
- 识别与可能阻止企业实现其目标的属性相关的所有风险
- 确定管理风险所需的控制措施
- 定义一个程序来设计和实施这些控制
- 定义业务风险的概念架构:
- 治理、策略和域体系结构
- 运营风险管理架构
- 信息体系结构
- 证书管理体系结构
- 访问控制体系结构
- 事件响应体系结构
- 应用程序安全体系结构
- Web服务体系结构
- 通信安全体系结构
- 定义物理架构并与概念架构进行映射:
- 平台安全性
- 硬件安全性
- 网络安全
- 操作系统安全性
- 文件安全性
- 数据库安全、做法和程序
- 定义组件架构并与物理架构进行映射:
- 安全标准(例如,美国国家标准与技术研究所(NIST)、ISO)
- 安全产品和工具(例如,防病毒[AV]、虚拟专用网络[VPN]、防火墙、无线安全、漏洞扫描器)
- Web服务安全(例如HTTP/HTTPS协议、应用程序接口(API)、Web应用程序防火墙(WAF))
- 定义操作架构:
- 实施指南
- 管理部门
- 配置/补丁管理
- 监控
- 日志记录
- 渗透测试
- 访问管理
- 变更管理
- 取证等。