3.2　基本內涵

企業體系結構用于調整業務系統使其以有效和高效的方式實現業務目標（系統是流程、人員和技術的組合）。企業體系結構包括安全體系結構，信息安全是衡量企業體系結構質量的重要指標之一。

安全體系結構是組織、概念、邏輯和物理組件的結構，它們以一致的方式進行交互，以實現并維持受管理的風險和信息安全狀態。它既是安全、彈性和可靠行為的驅動器，也是解決整個企業風險領域的驅動器。安全框架的核心是如何從組織戰略出發，逐步規劃并實施業務架構、信息系統架構等設施的安全建設。

企業安全體系結構尋求安全措施與業務目標保持業務一致性。它通過定義不同體系結構層上的組件之間的關系來做到這一點，從而提供了可追溯性和合理性。

開放安全架構組織（OSA）對安全架構設計的定義是“安全架構的設計應描述清楚安全控制或措施是如何設置的，以及他們與整個信息技術架構是如何關聯的。這些控制或措施的目的是維持信息系統在機密性、完整性、可用性、可審計性和服務保障等方面的質量和屬性”。

Techopedia（techopedia.com）對此定義及其關鍵屬性做了進一步解釋：“一個標準的安全架構設計，應是解決了固有風險和潛在風險的特定場景或環境。它也制定了實施安全控制的時間和地點。安全架構的設計過程通常是可重現的。”其關鍵屬性如下。

（1）關系和依賴：不同組件間的關系，以及它們如何相互依賴。

（2）優點：控制的標準化使其價格實惠，由于架構中所描述控件的復用，安全架構具有成本效益。

（3）形式：安全架構與IT架構相關聯。但是，它可能采取多種形式。除了關系圖、原理等，它通常還包括常規控件的目錄。

（4）驅動：基于風險管理、最佳實踐/規范、財務和法律及監管的控制決策/判斷。