TOAGF ADM與企業資安架構

13 min readFeb 25, 2023

本文將介紹如何調整TOGAF ADM 以實現資安的指南，以及在應用 TOGAF ADM 期間需要解決的資安議題。重點如下:

企業資安架構(Enterprise Security Architecture)
資安貫穿TOGAF的四大領域
ADM對資安的資安配適

簡介

Open Group Guide，Integrating Risk and Security within a TOGAF® Enterprise Architecture，為需要使用 TOGAF 標準開發企業架構的資安從業者和企業架構師提供指導。它解釋瞭如何客製 TOGAF 方法和框架以利用現有的企業資安架構來正確"解決資安和風險問題"。

企業架構(包括資安架構)是關於契合業務系統和支援資訊系統以具"效能與效率"的方式實現業務目標(而所謂系統是流程、人員和技術的組合)。企業架構的重要方面之一是資安及其管理方式。長期以來，資安一直被認為是一門獨立的學科，與業務流程和企業架構相不相關。

在本文，我們將簡要介紹企業資安架構的一些注意事項。

企業資安架構

資安架構是一種由"組織性的、概念性的、邏輯性的和物理性"的組件組成的結構，這些組件以連貫的方式進行交互，以實現和維護的風險和資安狀態是在管控之下的。資安架構既是安全、可靠、有彈性和可靠行為的驅動者，也是解決整個企業資安風險領域的賦能者。

企業資安架構不是獨立存在的。作為企業的一部分，它存在於企業架構中已有的企業資訊之上，並產生影響企業架構的資訊。這就是為什麼資安架構在企業架構中的緊密集成是有益的。與事後加強安全性相比，第一次就做對可以節省成本並提高效率。為實現這一目標，資安架構師和企業架構師需要使用相同的語言。 TOGAFG介紹了該語言，它描述了如何將資安和風險整合到企業架構中。

下圖顯示了企業架構和企業資安架構如何相互關聯，它強調了ERM(Enterprise Risk Management)和ISM(Information Security Management)中使用的核心資安和風險概念。這些概念列在中間欄位中，並形成一組補充和增強 TOGAF 標準的基礎概念。下圖中強調的概念是對 TOGAF 框架的補充，由 ISM 或 ERM 帶入。

關於風險管理

TOGAF 標準中的風險管理主要著重架構專案風險。這只是一種風險。 ERM 的範圍，在TOGAF指南中作為企業資安架構的一部分所介紹的，要廣泛得多。它還包括業務、系統、資訊、專案、隱私、合規性和組織變更風險等類別。

TOGAF指南描述了更廣泛的 ERM 概念以及如何將它們整合到 TOGAF 標準中。特別是，這項工作著重於運營風險的所有方面 — — 企業在日常運營中面臨的風險，這些風險是基於因企業架構作業產生的運營能力。其目的是通過更多地關注企業架構作業產品交付下游的營運風險，這些作業產品的實用性、質量和有效性將得到改進和增強。

企業資安架構包含對風險的平衡觀點：將不利的後果保持在可接受的水準，並最大限度地利用正面機會。 業務驅動的方法是資安架構的關鍵：業務驅動提供風險評估的背景；它們定義是否有必要遵守任何控制框架，並證明需要採取安全措施。

在風險管理專業中，“風險”被定義為“不確定性對實現業務目標的影響”。對於許多資安從業者來說，這個定義可能會讓人感到不舒服：在他們的認知中，“風險”通常被認為是受威脅的，因此是一個負面屬性。因為資安風險管理領域，不確定性通常總是消極的結果。

關於ERM(Enterprise Risk Management)

IT的資訊安全和資安產業在其生命週期中已經形成了一種只"與威脅、漏洞和損失事件(負面影響)有關的營運風險觀點"。然而，正如ISO 31000:2009 對“風險”的定義，即“結果的不確定性”，並且風險管理被描述為在由以下因素導致的積極和消極結果之間取得平衡企業的機遇或威脅的實現。

ISO 31000:2009
風險是“不確定性對目標的影響”

不確定性的影響是跟我們(人類)預期結果的任何偏差(正面和負面)。

理解“風險”一詞對於理解更廣泛的 ERM 概念以及有效的企業架構和企業資安架構的作用至關重要。在TOGAF指南中，是根據 ISO 31000:2009 定義風險。 風險是不確定性對業務目標實現的影響。考慮到在做出業務決策時可用的資訊量有限，不確定性與預測未來結果有關。這些資訊永遠不可能是完美的，儘管我們期望提供更好質量的資訊，我們可以做出更好的品質決策。每個決定都基於評估潛在機會和威脅之間的平衡、有益結果與破壞性結果的可能性、這些潛在積極或消極事件的嚴重程度，以及與每個已確定結果相關的可能性。識別和評估這些因素被稱為“風險評估”或“風險分析”。 “風險管理”是在決策過程中應用這些概念的藝術和科學。可以在戰略長期層面（業務的總體方向）、中期戰術層面（轉型專案和計劃）和運營層面（日常運營決策、流程和實踐）所看到風險。風險管理的目標是優化業務成果以最大化業務價值並最小化業務損失。風險可以在業務堆棧(business stack)的任何等級見到(如下圖)，但永遠都是從業務價值評估及其優化中自上而下驅動的。

不確定性通常是資訊不足，並導致不充分或不完整的知識或理解。 在風險管理的背景下，只要對事件、後果或可能性的知識或理解不充分或不完整，就會存在不確定性。

這種平衡的風險觀點也內建在 SABSA 中，包括實現機遇帶來的收益以及控制威脅的影響。企業架構師的唯一作用是建立一個運營環境，在該環境中可以減緩運營風險以並最畫的業務收益和最小的業務損失。

根據 ISO 31000:2009，風險管理流程通過考慮不確定性和未來事件或情況的可能性及其對目標的影響來幫助決策。它還給出了風險管理流程模型，如下圖所示。ISO 31000:2009 方法明確指出，風險管理應深入而牢固地嵌入所有業務活動中。它還指出它是一個連續的生命週期，而不是一個孤立的活動。

該定義的核心是有效的風險管理是為了實現預期目標。每一步都有需要管理的風險因素，每一個結果都是不確定的。 ERM 是在減少不確定性。

以下為ERM的重要核心概念:

主要風險區域
業務衝擊分析
風險評估
業務風險模型/風險登記表
風險偏好
風險緩解計劃/風險對應計劃

關於ISM(Information Security Management)

ISM 是定義安全目標、分配資安風險的所有權並支援安全措施實施的過程。 安全管理流程包括風險評估、安全措施的定義和正確實施、安全狀態報告(措施是已定義、已到位和已運行)以及資安事件的處理。

對於許多資安從業者而言，資安基於三個核心支柱CIA：機密性(Confidentiality)、完整性(Integrity)和可用性(Availability) 。這些在需要對資訊系統進行分類以確定適用的資安要求的技術環境中非常有效。可以根據confidentiality scheme（高-中-低）進行分類。尤其是在金融業，這些基於 CIA 三元分類的資安分類方案在整個組織中無處不在。

然而，在與企業的高階長官甚至大老闆交談時，往往會發現這些術語對他們來說毫無意義。他們清楚地了解允許哪些人存取哪些系統，但他們不會為此使用這些“資安”術語。此外，這三個術語過於寬泛。可以根據這三個術語之一對每個資安問題進行排序。 它們定義如此廣泛的事實也是它們的弱點：它們在兩個不同的環境中可能意味著完全不同的東西。

例如，“可用性”可以代表以下詞彙：

Up-time
Responsiveness
Archived
Erased
Recoverable

上面的範例說明可用性可以具有各種含義，但具體要取決於企業的範圍和背景脈絡與文化。它還說明我們可以使用更具體的術語來指定我們需要解決的問題類型。如果術語如此復雜並且每次都需要分析以確定我們真正的意思，那麼我們為什麼要繼續使用這些術語呢？機密性、完整性和可用性這幾個術語用得太多了，許多人出於不同的目的使用這些術語。我們需要一個更具體的概念。

因此，在這項工作中，我們從狹窄的 CIA 三元分類轉向一個非常豐富的術語，既具體又是對業務單位說人話。而這種說人話的術語由 SABSA Business Attribute model提供，如“需求管理”部分所述。業務屬性提供了一種靈活而強大的方式來表達業務企業大老闆的資安問題。

業務屬性模型還可以衡量"效能"，它與安全措施的有效性與其減輕的風險有關。 在了解資產價值之前，企業無法確定願意花多少錢來保護資產。例如，該資產在應用程式中的使用以及該資產因此面臨的隨之而來的風險將決定對安全性的真正需求。此外，企業對風險的容忍度也是一個因素。換句話說，真正要問的不應該是：“它安全嗎？”，而是：“它足夠安全嗎？”。 後者最終是風險評估要回答的問題。

為了更切合實際地了解資安包含的內容，資安架構師應該關注的是以下領域：

資產保護(Asset Protection):
保護資訊資產免於遺失或意外洩露，並保護資源免於未經授權和意外使用
風險評估(Risk Management):
確定我們面臨的風險，衡量它們以確定它們的可能性和衝擊，然後根據組織的風險偏好來決定是對該風險的接受、減輕或轉移
存取控制(Access Control):
你是誰，在什麼條件下允許你做什麼活動？
稽核(Audit):
運作中的環境是否按照企業的要求運作？
可用性(Availability):
即使發生異常或惡意事件，也能在不中斷或耗盡資源的情況下運行的能力

資安貫穿TOGAF的四大領域

資安架構是一個貫穿多領域的議題，遍及整個企業架構。它可以被描述為看法、觀點和工件(artifacts)的連貫集合，包括隱私和已存在的風險視角，以及資安目標和資安服務等相關議題。資安架構不只是一個資料集；它是基於 ISM 和 ERM 流程。

TOGAF ADM 涵蓋四個架構領域的開發(業務、資料、應用程式和技術)。資安架構與所有四個領域都會交互(如下圖)。

資安架構通常可以組織到架構範圍之外，但它的一部分需要與架構整合的方式開發。

針對資安對TOGAF進行調整

下面提供了用於調整 ADM 每個階段的摘要資安指南。

ADM的需求管理階段

需求管理在企業架構作業中起著核心作用。建議使用業務屬性概要分析(Business Attribute Profiling)，這是 SABSA的一種需求工程技術，它使用基於風險的方法將業務目標和驅動因素轉化為需求。

使用這種技術的好處是:

與利害關係人用非 IT 術語的溝通
業務驅動因素和需求之間的可追溯性對映
根據業務定義的目標進行績效評量
需求的分組和結構化，有助於企業架構師的理解和監督

ADM的準備階段

可以將以下資安工件整合到現有架構文件中：

影響資安的業務驅動因素與業務目標
資安原則
風險偏好(企業對風險的態度所產生的決策)
主要風險領域/業務影衝擊分析(可交付成果是架構範圍內主要風險領域的清單）
資安資源計劃(確定交付架構資安元素所需的資源)

Phase A:架構願景

在Phase A 中，充足的的資安特定架構設計能夠：

使相關的資安利害關係人滿意，最終狀態不代表任何未知或不可接受的風險，並符合公司的政策、標準和原則
使業務單位利害關係人(尤其是那些控制預算的人)滿意，資安架構有助於啟用和支持賦予企業業務機會和效益所需的整體架構，並在風險、合規性和業務效益之間取得適當的平衡

在Phase A中，我們要有所有利害關係人的完整清單、他們的關注點(問題)以及架構批准的相關要求。 所有利害關係人都會有"資安和風險問題以及相關需求"。把資安利害關係人(通常是資安團隊)切分可確保該架構將解決利害關係人(通常是業務單位)的需求。

Phase B: 業務架構

Phase B的資安元素：業務架構包括業務等級的信任、風險和控制，這是獨立於特定的 IT單位或架構參與特定範圍內的其他系統。

資安相關的業務架構工件如下：

資安政策架構
資安領域模型
信任框架
風險評估
業務風險模型/風險登記表
適用的法律法規登記表
應用程式控制框架登記表

Phase C: 資訊系統架構

Phase C的資安元素：資訊系統架構包括功能性的資安服務及其資安分類。工件如下:

資安服務目錄
資安分類
資料的質量

Phase D:技術架構

在大多數情況下，我們不需要必要開發特定的技術架構資安工件，只要它結合了ADM較早期階段定義的"相關資安控制和機制"即可。

資安架構師必須確保所需的控制包含在技術架構中，並驗證這些控制方式是否具備"效能和效率"。

資安利害關係人可能會請求建立特定的技術架構資安視圖或可交付成果，以描述所有與資安相關的技術組件以及它們如何相互關聯。 這個看法應該解釋哪些業務風險被哪些技術所減輕，為該技術提供理由。

Phase E: 機會與解決方案

在定義架構路線圖時，確定了要解決的差距(gap)的順序，必須評估資安和風險。 作業包要交付的價值應包括與資安和風險價值相關的措施，以確保架構路線圖解決整套業務目標和驅動因素。

先前階段中定義的資安建構區塊(Building Block)在此階段成為 SBB(Solution Building Block)，以便定義更具體的面向的產品或解決方案來實現需求和規範。現行資安架構的資安服務目錄可能包含滿足現有資安服務或資安建構區塊的要求。

此階段應包括風險緩解計劃(Risk Mitigation Plan)，其中包含減輕風險的作業。它是風險緩解策略的實施，其目標可以是提高控制水準、將風險轉移給另一方、通過改變業務活動來規避/延遲/補償風險等。

Phase F: 遷移計畫

遷移本身就是一個需要保護的業務流程。遷移策略應包括風險評估和風險緩解計劃。在 Phase F，風險緩解計劃只用在過渡架構。現行環境的遷移應始終包括迴歸規劃(regression planning)，以便有辦法扭轉失敗的遷移。這是風險管理的重要組成部分。此外，遷移規劃應包括資安衝擊分析，以了解變更目標狀態的任何資安影響。

Phase G: 實施治理

資安架構實施治理確保詳細設計和實施的流程和系統符合整體資安架構。這可確保偏離架構原則和實施指南不會造成任何不可接受的風險。以下內容與此階段相關：

資安稽核
資安培訓和資安意識

Phase H: 架構變更管理

Phase H 不產生有形的資安產出，但定義了業務需求和架構之間持續保持一致所必需的兩個流程：風險管理和架構治理。儘管它們不是正式的工件，但將它們包含在這裡是為了強調它們的重要性。

風險管理是一個過程，在該過程中會不斷評估現有架構，以了解業務機會和資安威脅的架構變更。根據這個過程的結果，現行的架構可能認為它不適合減輕架構變更的或新的風險，或者它可能在利用新機會方面過多地限制業務。在這種情況下，必須做出架構變更的決定。

架構治理是對現有架構的更改做出決策的過程，可以通過當前迭代中的微小變更或通過全新的迭代來進行。 TOGAF 架構治理框架對此進行了解釋。與風險和資安相關的變更應該是該框架的明確部分。對架構的重大變更應包括資安衝擊分析。