| 利用EA建模加强机构信息安全风险管理 |
| |
| 引用本文: | 林国恩,李隆璇,顾明. 利用EA建模加强机构信息安全风险管理[J]. 清华大学学报(自然科学版), 2009, 0(Z2) |
| |
| 作者姓名: | 林国恩 李隆璇 顾明 |
| |
| 作者单位: | 清华大学软件学院; |
| |
| 摘 要: | 当前很多机构信息系统都普遍存在保护措施与其保护信息价值不匹配的情况,导致过度保护或保护不足。这种情况主要是源于安全目标与机构业务目标不完全符合、安全需求获取不规范、难以判断风险管理中是否应用了合适的安全控制以及成本是否平衡。对此,该文提出了在信息系统开发生命周期(information system development life cycle,SDLC)内利用机构体系结构(enterprise architecture,EA)这一管理工具进行安全目标分析、安全需求获取、风险管理等,开发符合机构管理目标的安全信息系统,以加强机构的信息安全和风险管理。利用EA模型的方法能提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本平衡的决策提供了一个有效的判断机制与依据。
|
| 关 键 词: | 信息安全 机构体系结构 信息系统开发生命周期 风险管理 |
Enterprise architecture to enhance security and risk management of information systems |
| |
| Kwok-Yan Lam,LI Longxuan,GU Ming. Enterprise architecture to enhance security and risk management of information systems[J]. Journal of Tsinghua University(Science and Technology), 2009, 0(Z2) |
| |
| Authors: | Kwok-Yan Lam LI Longxuan GU Ming |
| |
| Affiliation: | Kwok-Yan Lam,LI Longxuan,GU Ming (School of Software,Tsinghua University,Beijing 100084,China) |
| |
| Abstract: | One of the major challenges in information system security is determining cost-effective protection mechanisms for meeting the information system security requirements.Most organizations have experienced misalignment between security requirements and control mechanisms in information systems that lead to over-protection or inadequate protection.This is usually due to inconsistencies of the information system security objectives relative to the organization's management objectives and lack of organization-wi... |
| |
| Keywords: | information security enterprise architecture information system development life cycle risk management |
| 本文献已被 CNKI 等数据库收录! |
|
