Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über Sicherheitsdisziplinen im Microsoft Sicherheitsakzeptanzmodell.
Sicherheitsdisziplinen sind strukturierte Bereiche der Verantwortlichkeit , die Organisationen dabei unterstützen, Unternehmenssicherheitsziele in koordinierte Aktionen im gesamten Unternehmen zu übersetzen. Sie bieten eine konsistente Möglichkeit, Strategie, Architektur und Vorgänge zu organisieren, um Risiken zu verwalten und wichtige Geschäftsergebnisse zu schützen.
Anstatt die Sicherheit als isolierte Steuerelemente oder einzelne Tools zu behandeln, organisieren Sicherheitsdisziplinen Prozesse, Fähigkeiten und Technologien in wiederholbare Funktionsbereiche. Dadurch wird sichergestellt, dass Sicherheitsinvestitionen messbare end-to-End-Ergebnisse und keine fragmentierten Verbesserungen liefern.
Zusammen bilden die Sicherheitsdisziplinen ein vollständiges Sicherheitsbetriebsmodell, das Folgendes ermöglicht:
- Klare Sicherheitsstrategie und Steuerung,
- Kohärente, End-to-End-Architekturen.
- Konsistente technische Implementierung und Abläufe.
Sicherheitsdisziplinen werden in Geschäftsszenarien angewendet, z. B. das Sichern von Remotearbeit oder das Schützen kritischer Ressourcen. In diesen Szenarien wird definiert, wo sich die Sicherheitsanstrengungen konzentrieren sollten, um Risiken zu reduzieren und das Unternehmen zu unterstützen.
Tip
Microsoft bietet eine Vielzahl von Workshops zur Einführung von Sicherheit – die Workshops Security Adoption Framework (SAF). Unser strukturiertes Einführungsmodell, einschließlich Anleitungen zur Sicherheitsdisziplin, die wir hier beschreiben, richtet sich an die expertengeführten Anleitungen, die in den Workshops zur Verfügung stehen. Erfahren Sie mehr über unsere SAF-Workshops.
Sicherheitsdisziplinen bei der Einführung
In unserem Sicherheitsakzeptanzmodell bieten Sicherheitsdisziplinen eine Organisationsstruktur zwischen Geschäftsszenarien und technischer Implementierung.
- Geschäftsszenarien definieren , warum Sicherheitsinvestitionen erforderlich sind und welche Ergebnisse wichtig sind.
- Sicherheitsdisziplinen definieren den Besitz und die Rechenschaftspflicht in allen Teams, wobei klargestellt wird , wer für die Bereitstellung der einzelnen Bereiche der Sicherheitsfunktionen in der gesamten Organisation verantwortlich ist.
- Technische Lösungen definieren , wie Sicherheit auf bestimmten Technologiepfeilern implementiert wird.
Verwenden von Sicherheitsdisziplinen
Sicherheitsdisziplinen werden in unserem strukturierten Einführungsmodell verwendet. Sie orientieren sich an den Zero-Trust-Leitlinien, um unterschiedliche Zielgruppen zu unterstützen:
- Führungskräfte und Programmbesitzer verwenden Disziplinen, um zu verstehen, wie Sicherheitsszenarien zum Leben kommen, um Vermögenswerte zu schützen und Geschäftsrisiken zu verwalten.
- Sicherheitsleiter und Architekten verwenden Disziplinen, um End-to-End-Designs zu gestalten und die Konsistenz zwischen technologieübergreifenden Säulen sicherzustellen.
- Implementierungs- und Betriebsteams nutzen Vorgehensweisen als Orientierung für Toolauswahl, Steuerung der Bereitstellung, Erkennung und kontinuierliche Verbesserung.
Disziplinkategorien
Jede Sicherheitsdisziplin passt in eine von drei Kategorien, basierend auf der Art der von ihr unterstützten Entscheidungen und wann sie im Sicherheitslebenszyklus angewendet wird.
- Planungs- und Aufsichtsdisziplinen: Diese Disziplinen legen die Richtung, Ausrichtung und Rechenschaftspflicht für das gesamte Sicherheitsprogramm fest. Sie definieren, wie der Erfolg aussieht und wie der Fortschritt gemessen und gesteuert wird.
- Technische Strategiedisziplinen: Diese Disziplinen definieren, wie Sicherheit technisch gestaltet und implementiert wird. Sie geben architektonische Leitlinien vor, die die Auswahl von Kontrollen, Werkzeugen und die Umsetzung in mehreren Technologiebereichen steuern.
- Operative Disziplinen: Diese Disziplinen definieren, wie Sicherheit täglich ausgeführt wird, einschließlich kontinuierlicher Sichtbarkeit, Erkennung, Reaktion und Verbesserung, wenn Sich Bedrohungen und Umgebungen ändern.
Das folgende Diagramm veranschaulicht, wie Sicherheitskategorien und Disziplinen und wie sie sich auf technologieübergreifende Säulen ausrichten.
Sicherheitsdisziplinen
Die folgende Tabelle zeigt die Disziplinen, die Kategorie, zu der sie gehören, und die Technologiesäulen, auf deren Schutz sie ausgerichtet sind.
| Disziplin/Kategorie | Fachbereich | Säule |
|---|---|---|
|
Sicherheitsstrategie, Integration und Governance Planung und Aufsicht. |
Legt die allgemeine Sicherheitsvision, Prioritäten, Richtlinien und Erfolgsmaßnahmen fest. Sie stellt sicher, dass die Sicherheitsbemühungen an Geschäftsziele und Risikotoleranz ausgerichtet sind und dass der Fortschritt messbar und gesteuert wird. | Alle Säulen. |
|
Sicherheitsarchitektur Planung und Aufsicht. |
Stellt sicher, dass Sicherheitskontrollen, Technologien und Prozesse als zusammenhängendes System zusammenarbeiten. Sie richtet Architekturentscheidungen für Identität, Daten, Anwendungen, Infrastruktur und Vorgänge aus, um konsistente Ergebnisse zu erzielen. | Alle Säulen. |
|
Zugriff und Identität Technische Strategie |
Stellt sicher, wie Benutzer, Geräte, Anwendungen und Workloads auf Organisationsressourcen zugreifen. Diese Disziplin steuert einen konsistenten, identitätsorientierten Ansatz mit Zero Trust Prinzipien auf allen Zugriffspfaden, einschließlich Netzwerk und privilegiertem Zugriff. | Identität, Netzwerke, Endpunkte. |
|
Infrastruktursicherheit Technische Strategie |
Stellt sicher, dass die Workloads und Plattformen, die den Geschäftsbetrieb tragen, in hybriden und Multicloud-Umgebungen sowohl für neue Entwicklungen als auch für Legacy-Anwendungen sicher sind. | Infrastruktur: |
|
Entwicklungssicherheit Technische Strategie |
Stellt sicher, dass Anwendungen und Dienste als Teil eines DevSecOps-Ansatzes und eines Security Development Lifecycle (SDL) sicher konzipiert, entwickelt und gewartet werden. Dazu gehören sichere Codierungsmethoden und Anwendungssicherheitstests. | Apps |
|
Datensicherheit Technische Strategie |
Schützt Datenressourcen wie geistiges Eigentum, Geschäftsgeheimnisse und regulierte Informationen. Diese Disziplin wendet Sicherheitskontrollen während des gesamten Datenlebenszyklus an, unabhängig davon, wo Daten gespeichert werden oder wie sie verschoben werden. Es ist eine wichtige Aktivierung der sicheren generativen KI-Nutzung. | Daten. |
|
OT/IoT Security Technische Strategie |
Sichert OT/IoT-Systeme, die mit physischen Prozessen und der physischen Welt interagieren, einschließlich industrieller Steuerungssysteme und SCADA-Umgebungen. | Endpunkte. |
|
Management der Sicherheitslage Betriebsbereit |
Ermittelt, misst und priorisiert kontinuierlich Sicherheitsrisiken. Sie hilft Organisationen dabei, sich auf die wirkungsvollsten Sicherheitsrisiken und Angriffspfade zu konzentrieren. | Alle Säulen. |
|
SecOps Betriebsbereit |
Erkennt, reagiert auf und stellt den Schutz vor aktiven Bedrohungen wieder her. Diese Disziplin konzentriert sich auf rasche Reaktionen, um die Zeit zu minimieren, in der Angreifer nach einer Kompromittierung Zugriff haben, und so ihre geschäftlichen Auswirkungen zu begrenzen. | Alle Säulen. |
Nächste Schritte
- Beginnen Sie mit der Einführung von Sicherheitsmaßnahmen.
- Wählen Sie ein Geschäftsszenario aus.
- Learn Sie über die Sicherheitsworkshops von Microsoft