SABSA(Security Architecture and Business Assurance for Service Management)是一個用於企業安全架構和服務管理的框架和方法論。它旨在通過開發以風險作為驅動的企業信息安全系統和企業信息保證結構,以支持關鍵商務的安全架構解決方案。
SABSA的特點包括:
開放性。它是一個開放式的標準,容納了大量的框架、模型、方法和步驟。
免費性。它是一個完全免費的產品,用戶在開發結構和執行方案時不需要支付許可證。
整合性。SABSA不會取代任何現有的信息風險或信息安全標準,而是提供了一個總體框架,使所有其他現有的標準得以整合在一個單一的SABSA框架中。
無縫結合。SABSA與其他標準(如TOGAF和ITIL)無縫結合,並填補了「安全架構」和「安全服務管理」之間的空隙。
SABSA模型是一個分層架構,包含六種角色視角和相對應的架構層次,如商人視角對應套用安全架構上下文層,架構師視角對應安全架構概念層,設計師視角對應安全架構邏輯層,實施者視角對應安全架構物理層,技術員視角對應安全架構組件層,服務經理視角對應安全架構服務管理層。此外,還有兩個全局角色視角:檢查員視角和治理員視角。
SABSA模型的核心是一個服務管理矩陣(Service Management Matrix),在這個矩陣的基礎上定義了六種管理行為:服務交付管理(Service Delivery Management),風險運營管理(Operational Risk Management),流程交付管理(Process Delivery Management),人員管理(Personnel Management),環境管理(Management of Environment),時間和性能管理(Time & Performance Management)。