业务要求安全架构师（SA）提供安全的解决方案和服务，这些解决方案和服务可以安全地支持诸如增加利润和生产力、改进客户服务、创新以及更快地将新产品和服务推向市场等活动。

  “负责确保业务解决方案设计满足安全和法规遵从性要求的技术角色。SA与整个组织的利益相关者合作，以安全地实现业务计划的功能需求。SA是组织内信息安全体系结构的技术权威。”

  识别和沟通风险教育管理与特定业务解决方案相关的风险影响是SA的核心能力。

  降低风险-一旦业务领导人就建议的解决方案或行动方案作出决定，SA有责任设计一个安全的解决方案，使其平衡功能需求与安全和合规要求。

  “扩展企业”的架构能力——由于移动业务的爆炸和云服务的兴起，扩展企业的业务流程很少（如果有的话）独立于公司的四壁之内。在当今的扩展企业中，成功的SAs一定要具有核心安全知识，以及API驱动的应用程序环境和联邦身份的内部和外部知识。

  像攻击者-威胁建模一样思考的能力是识别系统中的威胁和漏洞并寻找利用它们的方法的过程。

  谈判、说服和影响技能——这在没有要求特定行动方案的合规授权的组织中非常适合。在这种情况下，影响决策的难度要大得多，而且需要更加多的技巧

  安全体系结构和企业体系结构（EA）之间的关系很重要。EA集团帮助创建一个以业务为中心的企业架构，将战略与技术联系起来。安全必须是EA的一部分。无论组织架构是什么，安全架构师都应该与企业架构师和首席信息安全办公室密切合作。更多细节请参见图。

  信息安全架构师的角色要求业务洞察力、技术敏锐性以及在不同抽象层次上思考、交流和写作的能力。

  与企业架构师、其他功能区架构师和安全专家密切合作，确保在所有IT系统和平台上都有足够的安全解决方案，以充分降低已识别的风险，并满足业务目标和法规要求。

  担任应用程序开发、数据库设计、网络和/或平台（操作系统）工作方面的安全专家，帮助项目团队遵守企业和IT安全政策、行业法规和最佳实践。

  研究、设计和倡导新技术、体系结构和安全产品，以支持企业以及它客户、业务合作伙伴和供应商的安全需求。

  根据批准的安全体系结构评估和开发安全解决方案。根据新出现的安全威胁、漏洞和风险，分析业务影响和风险。

  CISO负责建立和维护公司范围的信息安全管理计划，以确保信息资产得到充分保护。该职位负责以符合合规和监督管理要求的方式识别、评估和报告信息安全风险，并符合和支持企业的风险态势。CISO职位需要一位有远见的领导者，具备良好的业务管理知识和信息安全技术的工作知识。CISO将主动与业务部门合作，实施符合信息安全规定政策和标准的实践。

  制定、实施和监控战略性的、全面的企业信息安全和IT风险管理计划，以确保信息的完整性、机密性和可用性由组织拥有、控制或处理。

  管理企业的信息安全组织，包括直接报告和间接报告（如业务连续性和IT运营中的个人）。这包括招聘、培训、员工发展、绩效管理和年度绩效评估。

  通过实施分级治理计划，包括成立信息安全指导委员会或咨询委员会，促进信息安全治理。

  制定、维护和发布最新的信息安全政策、标准和指南。监督安全政策和实践的批准、培训和传播。

  创建、沟通和实施基于风险的供应商风险管理流程，包括对合作伙伴、顾问和其他服务提供商可能会产生的风险做评估和处理。

  为所有员工、承包商和经批准的系统用户创建和管理信息安全和风险管理意识培训计划。

  直接与业务部门合作，促进IT风险评估和风险管理流程，并与整个企业的利益相关者合作，确定可接受的剩余风险水平。

  作为企业风险管理战略计划的一部分，定期向企业风险团队、高级业务领导与董事会报告信息安全计划的现状。

  开发并增强基于以下内容的信息安全管理框架：如果存在或标识了某个框架，则插入该框架。

  与企业架构团队联系，确保安全架构和企业架构之间的一致性，从而协调这些架构中隐含的战略规划。

  创建和管理一个统一、灵活的控制框架，以整合和规范全球法律、标准和法规产生的各种一直在变化的要求。

  根据需要与信息安全团队和公司合规、审计、法律和人力资源管理团队保持联络。

  管理安全事件和事件以保护公司IT资产，包括知识产权、受监管数据和公司声誉。

  监控外部威胁环境中出现的威胁，并就适当的行动方案向相关利益相关者提供建议。

  与外部机构联络，如执法机构和其他必要的咨询机构，以确保本组织保持强有力的安全态势。

  协调信息安全计划中涉及的外部资源的使用，包括但不限于面试、谈判合同和费用，以及管理外部资源。

  信息安全分析员是信息安全团队的高级成员，与团队其他成员密切合作，制定并实施全面的信息安全计划。这包括定义安全策略、过程和标准。安全分析师与IT部门合作，选择和部署技术控制以满足特定的安全需求，并定义流程和标准以确保维护安全配置。

  与业务部门和其他风险职能部门合作，使用可能包括风险和业务影响评估的方法确定安全需求。该活动的组成部分包括但不限于：

  与信息安全领导层合作，制定战略和计划，以执行安全要求并解决已识别的风险。

  在应用程序开发或获取项目中扮演顾问角色，以评估安全需求和控制，并确保安全控制按计划实施。

  开发安全流程和过程，并支持服务级别协议（sla），以确保安全控制得到管理和维护。

  研究、评估和推荐与信息安全相关的硬件和软件，包括开发安全投资的商业案例。

  本文 :讨论：知识星球【首席架构师圈】或者加微信小号【ca_cto】或者加】 公众号

  【jiagoushipro】【超级架构师】精彩图文详解架构方法论，架构实践，技术原理，技术趋势。我们在等你，赶快扫描关注吧。

  【ca_cea】50000人社区，讨论：企业架构，云计算，大数据，数据科学，物联网，人工智能，安全，全栈开发，DevOps，数字化.

  【285069459】深度交流企业架构，业务架构，应用架构，数据架构，技术架构，集成架构，安全架构。以及大数据，云计算，物联网，人工智能等各种新兴技术。加QQ群，有珍贵的报告和干货资料分享。

  视频号 【超级架构师】1分钟快速了解架构相关的基本概念，模型，方法，经验。每天1分钟，架构心中熟。

  知识星球 【首席架构师圈】向大咖提问，近距离接触，或者获得私密资料分享。

  喜马拉雅 【超级架构师】路上或者车上了解最新黑科技资讯，架构心得。 知识星球 认识更多朋友，职场和技术闲聊。 领英 Harry 领英群组 领英架构群组微博‍‍ 【超级架构师】 哔哩哔哩 【超级架构师】

  网站 CIO(首席信息官) 网站CIO,CTO和CDO网站架构师实战分享网站程序员云开发分享网站首席架构师社区网站 应用开发和开发平台 网站 开发信息网 网站 超级架构师 网站 企业技术培养和训练 网站 程序员宝典 网站 开发者闲谈 网站 CPO宝典 网站 首席安全官 网站 CIO酷 网站 CDO信息 网站 CXO信息