利用EA建模加强机构信息安全风险管理

当前很多机构信息系统都普遍存在保护措施与其保护信息价值不匹配的情况,导致过度保护或保护不足。这种情况主要是源于安全目标与机构业务目标不完全符合、安全需求获取不规范、难以判断风险管理中是否应用了合适的安全控制以及成本是否平衡。对此,该文提出了在信息系统开发生命周期(information system development life cycle,SDLC)内利用机构体系结构(enterprise architecture,EA)这一管理工具进行安全目标分析、安全需求获取、风险管理等,开发符合机构管理目标的安全信息系统,以加强机构的信息安全和风险管理。利用EA模型的方法能提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本平衡的决策提供了一个有效的判断机制与依据。