企业信息安全框架从上到下由三个主要层次组成:“安全治理、风险管理和合规层”、“安全运维层”、“基础安全服务和架构层”。安全治理、风险管理和合规层,是后两者的理论依据;安全运维层,则是对安全生命周期全过程的管理;基础安全服务和架构层,是企业信息安全建设技术需求和功能的实现者。
(1)全治理、风险管理和合规
它处于企业信息安全框架的最顶层,是业务驱动安全的出发点。主要包括企业战略和治理框架、风险管理框架、合规和策略遵从。通过对企业业务和运营风险的评估,确定其战略和治理框架、风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系。
(2)安全运维
安全运维是指在安全策略的指导下,安全组织利用安全技术来达成安全保护目标的过程。主要包括安全事件监控、安全事件响应、安全事件审计、安全策略管理、安全绩效管理、安全外包服务。安全运维与IT运维相辅相成、互为依托、共享资源与信息,它与安全组织紧密联系,融合在业务管理和IT管理体系中。
(3)基础安全服务和架构
基础安全服务和架构定义了企业信息安全框架中的五个核心的基础技术架构和相关服务:物理安全、基础架构安全、身份/访问安全、数据安全和应用安全。基础安全服务和架构是安全运维和管理的对象,其功能由各子系统提供保证。
总之,企业信息安全框架(ESF V5.0)给企业信息安全建设提供了一个集成的、标准的企业信息安全框架,帮助企业快速知晓企业信息安全现状和需求,能为企业信息安全平台的建设、设计、实施提供指导和参照,从而使业界提出多年的企业“整体安全”理论能够真正落实。