3.2　基本内涵

企业体系结构用于调整业务系统使其以有效和高效的方式实现业务目标（系统是流程、人员和技术的组合）。企业体系结构包括安全体系结构，信息安全是衡量企业体系结构质量的重要指标之一。

安全体系结构是组织、概念、逻辑和物理组件的结构，它们以一致的方式进行交互，以实现并维持受管理的风险和信息安全状态。它既是安全、弹性和可靠行为的驱动器，也是解决整个企业风险领域的驱动器。安全框架的核心是如何从组织战略出发，逐步规划并实施业务架构、信息系统架构等设施的安全建设。

企业安全体系结构寻求安全措施与业务目标保持业务一致性。它通过定义不同体系结构层上的组件之间的关系来做到这一点，从而提供了可追溯性和合理性。

开放安全架构组织（OSA）对安全架构设计的定义是“安全架构的设计应描述清楚安全控制或措施是如何设置的，以及他们与整个信息技术架构是如何关联的。这些控制或措施的目的是维持信息系统在机密性、完整性、可用性、可审计性和服务保障等方面的质量和属性”。

Techopedia（techopedia.com）对此定义及其关键属性做了进一步解释：“一个标准的安全架构设计，应是解决了固有风险和潜在风险的特定场景或环境。它也制定了实施安全控制的时间和地点。安全架构的设计过程通常是可重现的。”其关键属性如下。

（1）关系和依赖：不同组件间的关系，以及它们如何相互依赖。

（2）优点：控制的标准化使其价格实惠，由于架构中所描述控件的复用，安全架构具有成本效益。

（3）形式：安全架构与IT架构相关联。但是，它可能采取多种形式。除了关系图、原理等，它通常还包括常规控件的目录。

（4）驱动：基于风险管理、最佳实践/规范、财务和法律及监管的控制决策/判断。