作为TOGAF®标准第10版的系列指南之一，《在TOGAF®企业架构中集成风险和安全》由The Open Group安全论坛与The SABSA® Institute合作编写。

 

企业架构（包括安全架构）通过调整业务系统和支持信息系统的一致性，可以有效且高效地实现业务目的的架构（系统由流程、人员和技术组成）。信息安全以及管理信息安全的方法是企业架构的重要要素之一。长期以来，信息安全一直被认为是一个独立的部分，与业务流程和企业架构隔离开来。

安全架构是由组织、概念、逻辑和物理组件组成的结构体。这些组件以一致的方式交互，从而实现并保持管理风险和安全（或信息安全）的状态。安全架构既是安全、有弹性和可靠行为的驱动者，也是解决整个企业风险领域的推动者。

然而，企业安全架构并不是孤立存在的。作为企业的组成部分，企业安全架构建立在企业架构中可用企业信息基础上，并产生影响企业架构的信息。这就是为什么安全架构与企业架构紧密结合将带来巨大收益的原因。一开始就正确地采取措施，与之后再提高安全性相比，可节省成本并提高有效性。为此，安全架构师和企业架构师需要使用相同的语言。

本指南中介绍了该语言并描述如何将风险和安全整合到企业架构之中，为使用The Open Group 标准中TOGAF®标准的安全从业人员和企业架构师提供了指导，以促进企业架构的发展。

Copyright © The Open Group

本指南如何支持TOGAF标准？

这部分内容将当前TOGAF标准中的安全活动提高到了更高的理论层次。此方法的目的是说明如何在现有企业安全架构中通过调整TOGAF方法和框架，从而更加完善地解决安全和风险问题。
 

该方法由业务驱动并支持ISM和ERM这两个过程的整合。这种过程导向通过TOGAF架构开发方法（ADM）增进对不同阶段安全概念和活动的理解。业务导向将有助于证明安全组件的合理性。