談框架、方法論及模型易，談溝通，說服及改變難

再開始談SABSA資安架構與模型前，先來談談溝通與說服，這會造就資安人生的狼狽與優雅，但狼狽是一個必經的過程，透過別人的經驗及教科書學習框架、知識、方法論等，能讓資安治理及管理的過程中，稍微優雅一些，但實際運作時依舊狼狽不堪，畢竟在企業經營中，IT往往被視為支援單位，並非營收產生單位，更何況再出現資安單位幫忙增加公司的開銷，造成IT與資安人員要跟高階長官談資安時，經常是在不同認知基礎上進行，進而造成許多衝突。

「人不是討厭改變，人抗拒的是『被改變』」---《寶貝老闆：家大業大》The Boss Baby: Family Business (2021)

再來看看相 對論之父Albert Einstein的名言，來源：©經理人

公司無法用相同的方法，得到不同的未來，尤其在這資訊發達與高度不確定性及複雜度下
因此在談資安治理或管理前，如何跟利害關係人的溝通或說服，變得非常重要!!舉例如下：

• 如果雙方在同樣認知基礎上，我們可以採取溝通 取得共識，換得優雅。
• 如果雙方不在同樣的認知上，我們可以採取說服(可用的手法有：教育訓練、 高層施壓、學半澤直樹劇中找上司的太太施壓(誤) )，先建立同樣的認知，才能進行溝通。

最後再談正經的資安框架前，有一段話覺得很有意思，關乎於你的優雅取決你溝通的對象與層級，大家可以看看下面的話深思一番：

創業當老闆是要承擔經營風險，
為人工作的可能只要承擔自己的人生或家庭...

資訊安全治理或管理，業界經常可以聽到被歸類於是風險管理的一環，但往往跟老闆報告時，老闆卻無法認同或感受，原因有很多種，歸類工作上遇見的：
1.中間主管欺上瞞下，老闆不知
2.資安的風險管理無法跟公司經營掛勾
3.資安人員的報告或溝通沒有即視感，例如：大家都知道健康檢查很重要，但往往要發現自己有類似的症狀或看到案例，才會開始重視，轉換成 老闆都知道資安管理很重要，但往往要出事了 或是看到 別家公司出事了才會開始重視。

談SABSA資安架構與模型

由業務驅動的資安架構
參考維基百科
SABSA架構，其全名為 Sherwood Applied Business Security Architecture，是一種用於企業資安架構和服務管理的模型或方法論，該模型流程一開始就分析業務需求，通過生命週期的概念、設計、實施以及持續的“管理和測量”，建立可追溯的循環，以確保業務安全。

SABSA 適用於IT（資訊技術）和 OT（運營技術)環境
SABSA 模型本身是通用的，可以作為任何組織的起點，通過該模型分析和決策，使企業產出高度客製化且獨特的業務模型，並能實際成為企業適用的安全架構，迅速成為組織內資訊安全治理及管理成功的核心。

從下圖得知，SABSA模型提供了不同視角及安全架構設計，最終由經營層綜觀整體架構。
6個視角：商業、架構師、設計師、建築師、技術師、經營層
6個安全架構層級：情境、概念、邏輯、物理、組件、經營

從SABSA矩陣 配合 5W1H 進行安全架構

SABSA模型中的6個安全構架層級：情境、概念、邏輯、物理、組件、經營。
可以通過如下問題，進一步深入理解每個層級:
• 為什麽需要這一層安全架構？—— 安全架構需要保護的對應資產。
• 為什麽要提供安全架構？—— 通過描繪對應風險，解釋需要安全保護的動機。
• 如何實現這層安全架構？—— 安全架構所需的流程和功能。
• 涉及哪些人員？——與安全相關的人和組織管理。
• 在哪部署安全架構？——部署安全架構的具體位置。
• 什麽時間進行？——與安全相關的時間和時間參數等。

理論上可以回答及解決矩陣中每個單元格對應的安全問題，則應有信心實現企業安全架構。

SABSA開發企業安全架構的過程就是填充所有這36個單元的過程

參考資料：
SABSA
https://sabsa.org/sabsa-executive-summary/