在之前的博客文章中，Marc Lankhorst讨论了EA在管理企业风险，合规性和安全性方面的价值。他建议采取下一步措施;本博客中将详细讨论其中两个步骤：

1. 捕获并可视化组织的风险和安全方面。可视化与整体架构和业务战略相关的危险，风险和缓解措施。
2. 衡量并可视化风险的影响，并将这些见解用于决策。可视化来自例如的数据渗透测试并使用它来在业务层面决定必要的IT措施。

企业风险管理方法概述

上面的两个步骤被纳入企业风险管理方法，如图1所示。这种方法有助于理解风险和安全政策的后果，因为战略层面的风险和控制措施的定义是逐步详细的步骤逐步纳入运营控制措施。

这是一种模型驱动和循环方法，可以在周期中的多个点上启动，具体取决于您使用的是更自上而下的方法还是更自下而上的方法。下面将简要介绍每个阶段：

1. 评估风险：在此步骤中，识别并记录企业必须应对的风险。这涵盖了多种风险类型：这些类型可能与IT相关（如网络攻击）风险，但也可能与业务相关的风险。此外，风险可以基于已识别的威胁（参见步骤6）。
2. 指定所需的控制措施：确定每个已识别风险所需的控制措施。一些风险可能需要广泛的控制措施（由于风险的高影响），而其他风险可能需要较少的控制措施。风险和控制措施的组合可以使用ArchiMate动机扩展（评估，目标和要求）的要素进行建模，这使得这些方面之间的关系变得清晰。此外，它可以通过将风险和控制措施与ArchiMate核心元素相关联，将其纳入您现有的EA模型中。
3. 实施控制措施：需要实施所需的控制措施。这是从设计转向实施的步骤。控制措施可以通过多种方式实施：一些可能是IT控制措施，如防火墙或认证机制。其他人可以采取以商业为中心的控制措施，如四眼原则。
4. 执行和监控：需要执行已实施的控制措施。此外，有必要对业务层面进行监测，以获得所实施控制措施的绩效和有效性的统计数据。一个例子是在技术基础设施上使用pentesting。通过pentesting，您可以通过系统化和自动化的方法寻找基础设施中的薄弱环节。测试结果用于分析基础设施中的漏洞并定义新的控制措施。
5. 分析漏洞：从执行和监控中，您获得了有关已实施控制的性能和有效性的必要见解，例如通过pentesting）。在此步骤中，将分析此数据以确定存在哪些漏洞以及这些漏洞存在多大危险。通过使用现有的EA模型，在第2步中的漏洞和已识别的风险之间建立链接。这可以深入了解风险的管理情况或需要采取新的或改进的控制措施。
6. 识别威胁。在此步骤中，识别来自外部或内部环境的威胁。内部环境的威胁可以基于上一步的结果（分析漏洞）。识别新威胁可以在步骤1中导致新的或变更的风险评估。

自上而下与自下而上

上述方法可以自上而下或自下而上应用。自上而下的方法将首先确定威胁和评估风险，作为控制措施的设计和实施的基础。自下而上的方法通常从监视和执行步骤开始：使用pentests或其他机制调查当前实现，并使用此信息来确定当前环境中的漏洞。
哪种方法最适合您的组织，取决于许多方面。通常，具有更成熟的EA方法的组织可以更容易地遵循自上而下的方法。

这种方法的好处

这种方法包括以下好处：

• 系统分析威胁和漏洞
• 控制措施的综合设计
• EA模型支持技术风险/漏洞的业务影响分析
• 将业务风险和安全决策转化为有效的企业变更。这需要业务和IT之间的强大合作。

这些优势有助于将安全性更多地嵌入到组织的业务层中，并有助于根据操作风险影响和成本做出明智的决策。

原文：https://bizzdesign.com/blog/enterprise-risk-management-approach/

本文:https://medium.com/capital-one-tech/microservices-when-to-react-vs-orchestrate-c6b18308a14c

讨论: 请加入知识星球【首席架构师圈】