企業(yè)架構(gòu)是指對(duì)企業(yè)事業(yè)信息管理系統(tǒng)中具有體系的、普遍性的問題而提供的通用解決方案���。
更確切的說����,是基于業(yè)務(wù)導(dǎo)向和驅(qū)動(dòng)的架構(gòu)來理解���、分析����、設(shè)計(jì)����、構(gòu)建、集成�、擴(kuò)展、運(yùn)行和管理信息系統(tǒng)��。復(fù)雜系統(tǒng)集成的關(guān)鍵�,是基于架構(gòu)(或體系)的集成,而不是基于部件(或組件)的集成��。
有效的企業(yè)架構(gòu)對(duì)企業(yè)的生存和成功具有決定性的作用,是企業(yè)通過IT獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的不可缺少的手段�����。
一����、企業(yè)架構(gòu)分類
可以分為業(yè)務(wù)架構(gòu)和IT架構(gòu)��,大部分企業(yè)架構(gòu)方法都是從IT架構(gòu)發(fā)展而來的���。
1���、業(yè)務(wù)架構(gòu):
是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道,業(yè)務(wù)戰(zhàn)略決定業(yè)務(wù)架構(gòu)����,它包括業(yè)務(wù)的運(yùn)營(yíng)模式、流程體系��、組織結(jié)構(gòu)�����、地域分布等內(nèi)容
2���、IT架構(gòu):
指導(dǎo)IT投資和設(shè)計(jì)決策的IT框架���,是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖����,包括數(shù)據(jù)架構(gòu)���、應(yīng)用架構(gòu)和技術(shù)架構(gòu)三部分�。
其中�����,其中的企業(yè)信息安全體系結(jié)構(gòu)是企業(yè)架構(gòu)的一部分����,側(cè)重于整個(gè)企業(yè)的信息安全。
二����、建立信息安全架構(gòu)的目標(biāo)及意義
· 使企業(yè)結(jié)構(gòu)上具有連貫性和凝聚力
· 使企業(yè)的業(yè)務(wù)與安全保持一致性
· 從業(yè)務(wù)戰(zhàn)略開始自上而下定義
· 確保所有業(yè)務(wù)模型都可以追溯到業(yè)務(wù)戰(zhàn)略、特定業(yè)務(wù)需求和關(guān)鍵原則
· 提供安全備份��,以便可以在需要時(shí)重新獲取被刪除和信息
· 為組織內(nèi)的信息安全建立一種通用的“語言”
三、企業(yè)信息安全包括這些
信息安全的基本內(nèi)容包括:實(shí)體安全��、運(yùn)行安全����、信息資產(chǎn)安全和人員安全等內(nèi)容�。
1、實(shí)體安全
實(shí)體安全是保護(hù)計(jì)算機(jī)設(shè)備����、設(shè)施(含網(wǎng)絡(luò))以及其他媒體免遭地震、水災(zāi)���、火災(zāi)�����、有害氣體和其他環(huán)境事故破壞的措施和過程�����。實(shí)際上�����,實(shí)體安全是指環(huán)境安全����、設(shè)備安全和媒體安全。
2����、運(yùn)行安全
運(yùn)行安全是為了保障系統(tǒng)功能的安全實(shí)現(xiàn),提供的一套安全措施來保護(hù)信息處理過程的安全����。為了保障系統(tǒng)功能的安全,可以采取風(fēng)險(xiǎn)分析�����、審計(jì)跟蹤���、備份與恢復(fù)�����、應(yīng)急處理等措施��。
3��、信息資產(chǎn)安全
信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露�、更改��、破壞或使信息被非法的系統(tǒng)辨識(shí)���、控制����,即確保信息的完整性����、可用性����、保密性和可控性。信息資產(chǎn)包括文件�����、數(shù)據(jù)等�。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全�����、網(wǎng)絡(luò)安全、病毒防護(hù)����、訪問控制、加密����、鑒別等。
4�����、人員安全
人員安全主要是指信息系統(tǒng)使用人員的安全意識(shí)���、法律意識(shí)�����、安全技能等��。人員的安全意識(shí)是與其所掌握的安全技能有關(guān)����,而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此��,人員的安全意識(shí)是通過培訓(xùn)�����,以及安全技能的積累才能逐步提高����,人員安全在特定環(huán)境下、特定時(shí)間內(nèi)是一定的�����。
四����、降低企業(yè)信息安全風(fēng)險(xiǎn)的方法
· 制定企業(yè)信息安全規(guī)范�����,并嚴(yán)格加以執(zhí)行
· 警惕對(duì)企業(yè)內(nèi)部不滿的員工和已離職員工
· 加強(qiáng)對(duì)員工企業(yè)信息安全方面的培訓(xùn)
· 提高對(duì)計(jì)算機(jī)安全的重視程度
總結(jié):完善企業(yè)信息安全體系的建設(shè)����,可以有效地保障企業(yè)業(yè)務(wù)可持續(xù)性的健康發(fā)展�����,幫助企業(yè)避免因信息安全事件導(dǎo)致經(jīng)濟(jì)損失��。
