【企业安全架构】企业架构在管理风险,合规性和安全性方面的价值
在这篇博客文章中,我们讨论了使用企业架构作为支柱,在企业中管理风险,合规性和安全性的集成方法的价值。
对风险的战略洞察力
为了控制您所面临的风险,您首先需要从风险管理的角度对您的组织进行战略洞察。这需要对您当前的产品,流程,应用程序和基础架构以及所有相关的风险和安全方面进行一致和最新的概述。在不知道主要风险相关问题是什么的情况下,C级管理层无法履行其职责。
了解这些关系也有助于您评估业务决策的影响。这为企业提供了清晰的洞察企业风险,例如,引入新产品和计划,外包业务流程或IT系统,或在合并后吸收其他组织。因此,他们可以权衡企业对潜在后果的风险倾向。
此外,整个企业的风险传播是高管和运营管理层非常关注的问题。一个领域的风险可能会带来另一个领域的风险。例如,关键业务流程,服务,客户,合作伙伴,市场的系统故障,闯入,停电,欺诈或其他事故可能产生的连锁反应是什么?企业架构可帮助您深入了解这些关系和依赖关系,从而避免或减轻潜在的灾难。
业务驱动的安全和风险管理
EA提供切实业务价值的相关领域是使安全和风险管理与业务目标和目标保持一致。许多组织发现很难确定适当级别的安全措施,业务经理经常将此视为技术问题留给IT人员。反过来,他们不想承担任何风险并创建非常安全的镀金解决方案,但也非常昂贵(并且通常对用户不友好)。
业务目标,架构决策和技术实施之间更好的一致性有助于组织明智地花费其安全预算,专注于与业务相关的风险。这可能会带来成本节约和降低风险,因为您不会为不重要的事情投入过于强大的安全措施,留下更多预算来保护您的企业真正关心的事物。
此外,安全性不是事后可以“加强”的。本质上不安全的架构和系统很难在以后修复。相反,应该从一开始就设计安全和风险管理,使用企业的业务目标来决定适当的措施。
法规遵从和审计
成熟的EA实践的另一个常见原因是监管合规,特别是在银行和保险等受到严格监管的行业。中央银行和其他监管机构要求或至少强烈建议金融机构拥有完善的EA实践,以确保它们能够控制其运营。他们甚至可以审核这些体系结构,或以其他方式使用它们来评估组织运行的风险。当然,内部审计师,CISO和风险经理也可以从使用EA工件中受益。对这些提供的企业级关系和依赖关系的见解是其任务的重要输入。
实施SEPA,Solvency II,Basel III等标准和政策需要企业范围内的协调,可见性和可追溯性,例如董事会层面的决策。组织的风险偏好,直至业务流程和IT系统中的措施和控制的实施。企业架构作为一种实践,以及捕捉这些关系的企业架构模型,对于管理此类开发的广泛影响是不可或缺的。
下一步
为了在安全性,合规性和风险管理的背景下充分受益于企业架构的使用,我们建议您关注以下内容:
- 使安全和风险管理与业务战略保持一致。始终从他们添加的业务价值角度查看安全和风险衡量指标。 Enterprise Studio的战略支持将为您提供帮助。
- 捕获并可视化组织的风险和安全方面。可视化与整体架构和业务战略相关的危险,风险和缓解措施。使用我们的EA功能创建风险和措施的集成模型。
- 衡量并可视化风险的影响,并使用我们的风险分析功能将这些见解用于决策。使用热图来告知决策者必要的措施。
- 优先考虑安全项目。计算安全项目的业务价值和影响,并使用它来确定IT措施的优先级。使用我们的企业投资组合管理来确定最有效地使用预算的位置。
讨论:加入知识星球【首席架构师圈】
- 58 次浏览