在組織內採用零信任安全是一項複雜且需多年努力的工作,涵蓋商業策略與規劃、技術設計與架構、部署及營運。
若缺乏結構化的採用方法,安全現代化計畫可能變得支離破碎、反應迅速且難以持續。
我們的*結構化安全採用模式提供標準化、可重複且具備角色意識的流程,協助你規劃、優先排序並實施跨混合、多雲及多平台環境的端到端安全現代化。
採用模式能將關鍵業務成果、資安領域與解決方案實施對齊,使業務領導者、資安管理者、架構師與實務人員能在組織內以受控且永續的步調共同前進。
Tip
Microsoft 提供豐富的安全採用工作坊——安全採用框架(SAF)工作坊。 我們的結構化採用模式指引與 Microsoft Unified 在這些工作坊中由專家主導的指導相符。 了解更多關於 SAF工作坊的資訊。
為什麼要採用採用模式?
結構化採用模式能幫助您:
- 符合安全性最佳做法 - 符合 零信任 原則、Microsoft 安全未來倡議 (SFI) 模式、開放標準與指引,以及其他安全性最佳做法。
- 最大化現有投資——在引入新功能前,先從 現有工具中獲得價值。
- 提供端對端安全策略——將 企業優先事項與安全架構、控制、流程及營運連結。
- 持續調整 ——隨著威脅、業務需求與技術變化,持續演進安全態勢與策略。
- 優先行動 - 為團隊與利害關係人提供具體職務的實用指導,基於最佳實務、經驗教訓及實務案例。
這張圖說明了這些元素如何在採用模式中結合。
採用模式如何整合現有指引
此採用模式整合了 Microsoft 歷來在多個框架與資源中發布的安全指引,將其整合成單一且可執行的架構。
它整合並建立在既定指引之上,並包含以下內容來源:
- Microsoft網路安全參考架構 (MCRA)
- 安全開發生命週期(SDL)。
- 零信任 及 CISO 工作坊
- 安全法 則的不變
- 特權存取/工作站指引。
- 事件回應劇本
透過將這些指引圍繞常見的商業情境、紀律與實施步驟組織,該模型幫助你從孤立的建議,轉變為規劃、實施及衡量安全改進的連貫方法。 我們將隨著時間進一步豐富採用模式的內容。
採用模式結構
採用模式建立在三個核心要素上,幫助組織從商業意圖邁向詳細實施:
- 商業情境 定義典型的商業成果,以及安全必須如何調整以達成這些目標。
- 資安領域 定義團隊如何組織、規劃與運作,以現代化資安並達成業務成果。
- 技術支柱 描述了我們希望確保的組織資產與資源。 例如身份、裝置和資料。
採用模式的每個組成部分都針對特定受眾與角色。
| 章節 | 主要對象 | 目的 |
|---|---|---|
| 商業情境 | 企業領袖 | 識別、定義並傳達安全必須支持的關鍵業務成果。 將企業優先事項轉化為可執行的安全目標,指導規劃與決策。 提供實用且可重複的業務成果指引,明確指引達成目標所需的角色與紀律。 |
| 安全領域 | 資安領導者與團隊、資訊科技領導者、設計師、架構師。 | 銜接業務情境與安全部署/導入。 確保安全投資與優先事項透過清晰的規劃、架構與營運實務,轉化為可衡量的成果。 商業情境通常對應多個資安領域。 |
| 技術支柱 | 技術與安全實施人員及合作夥伴。 | 定義哪些類型的資產必須被保障,以及在哪些地方必須適用 零信任 原則和安全控管。 透過將相關技術、控制與能力分組,將安全策略與實施連結起來。 商業情境很可能會跨越多個技術支柱。 舉例來說,如果我們的商業目標是改善企業的安全態勢,那麼我們必須在裝置、資料、基礎設施、網路等多個領域改善安全態勢。 |
收養指引
結構化採用指引著重於:
- 針對常見商業關鍵情境的端到端指引。
- 根據 零信任 原則、Microsoft 最佳實務及外部框架所提出的不受特定產品限制的建議。
- 詳細實作指導,採用 Microsoft 安全產品與服務。
下一步
檢閱開始您的安全性導入歷程的選項。