정보보안 아키텍처는 정보보안 통제들이(security controls) 어떻게 위치하고 있으며, 전반적 정보기술 아키텍처와(information technology architecture) 어떻게 관련이 있는지 명시한 설계도로 정의할 수 있다. 여기에서 다루고있는 보안통제들은(security controls) 정보시스템의 품질 특성인 confidentiality, integrity, availability, accountability, assurance 서비스를 제공한다.

시스템 사용자의 요건을 충족시키기 위해 시스템이 제공해야 하는 보안 서비스, 서비스 수행에 필요한 시스템 구성 요소 및 위험 환경을 처리하는 데 필요한 구성 요소의 수행 단계를 설명하는 계획 및 방침 세트

보안 아키텍처는 하나의 응집된 보안관련 설계로서, 특정 환경이나 시나리오에 있어서의 인증, 권한 등과 같이 특정 위험의 요구사항들을 다룸으로써 어떤 보안통제들이 어느 곳에 적용되어야 하는지 명시한다.

보안아키텍처는 특정 시나리오 또는 환경과 관련된 필수적이고 잠재적 위험들을 다루는 하나의 통합된 보안설계이다. 또한 언제 그리고 어디에 보안통제들이 적용되는지 명시되며, 이 보안통제는 4가지 요인인 위험관리, 벤치마킹, 경제성, 법/규제에 따라 결정된다

보안 아키텍처는 내부 IT아키텍처의 구성요소들과의 연관성을 나타내며 그 구성요소들간에 어떤 의존성이 있는지를 보여준다. 세부적인 보안통제 명세서는 일반적으로 별도의 문서들로 작성된다.

출처: Technopedia

보안아키텍처가 주는 장점은 아래와 같다.

• 표준화의 이점
  • 보안아키텍처의 주요 이점은 표준화로서, 아키텍처에 명시된 통제들의 재사용함으로써 얻는 비용효과이다. 특히, 훌륭한 보안통제라도 사소한 구현 오류로 무력화 될 수 있기 때문에 표준모듈의 재 사용은 보안을 위해 특히 중요하다.
• 원활한 의사소통의 수단
  • 보안 아키텍처는 보안에 대한 전문성이 낮은 관련자들과 또는 다국적 조직의 경우 특히 의사소통을 향상시키는 수단이 된다. 복잡한 시스템에 있어서, 서로 다른 서브시스템의 개발자가 자신의 개발작업이 전체 아키텍처와 어떤 관계에 있으며 보안 요구사항을 충족하는지 여부를 이해할 수 있다.

출처: information security society Switzerland

비즈니스 전략/요구사항, IT전략/거버넌스와 보안아키텍처가 어떤 관계를 갖는지 각 구성요소간의 관계를 표시한 것이다.




이 도표의 붉은 글씨와 선들은 IT Security 특정 개체들을 나타낸다.
도표는 다음의 제안들을 표현하기 위한 것. (오른쪽 상단에서 시작)

1. SA 디자인하는 것은 사업전략과 요구들에 따라야 한다.
2. IT 전략은 사업전략과 요구들에 따라야 한다.
3. IT Reference Architecture는 IT 전략과 거버넌스에 따라야 한다. Reference architecture는 보통 여러 플랫폼들에 나타난다.
4. 독립된 문서라도 The Reference Security Architecture는 IT Architecture의 부분이다.
5. IT Security Risk Management, process(절차) and criteria(표준)들은 사업전략과 요구들로부터 도출된 것이다.
6. 한 묶음의 Baseline Controls는 보안정책과 지침, 표준 등에 기초하여 도출. Baseline Controls에 의해서 조직을 위한 강제적인 최소 표준들을 이해하게 된다. 입력값은 법적/규제적 환경, 벤치마킹과 보안성공사례 등으로부터 나온다.
7. 추가적인 controls는 Risk management process로부터 도출된다.
8. 보안아키텍처는 baseline과 추가적인 보안 controls의 전형이다. 정책, 지침들, 표준들 그리고 위험관리절차를 포함하는 것으로 정의될 수도 있다.
9. 어떤 조직들은 reference architecture에서 도출된 특정 결과들을 언급하는 term solution architecture를 사용한다.