開放組體系結(jié)構(gòu)框架（TOGAF）是一個行業(yè)標(biāo)準(zhǔn)的體系架構(gòu)框架，它能被任何希望開發(fā)一個信息系統(tǒng)體系架構(gòu)在組織內(nèi)部使用的組織自由使用。中培偉業(yè)《IT戰(zhàn)略規(guī)劃與企業(yè)架構(gòu)最佳實踐/TOGAF認(rèn)證》王老師指出，對于在應(yīng)用TOGAF ADM中需要考慮的安全性等問題，TOGAF提供了 一些的指導(dǎo)原則。這些指導(dǎo)原則幫助部署ADM的企業(yè)架構(gòu)師告知安全架構(gòu)師，需要進行哪些安全架構(gòu)方面的變更。作為指導(dǎo)，這些原 則也力圖幫助企業(yè)架構(gòu)師避免遺漏關(guān)鍵的安全關(guān)注點。

企業(yè)中的各種利益相關(guān)者都會關(guān)注安全性，這一點除非架構(gòu)師清楚這些干系人的特點，否則很難一下子看清楚。建議盡可能早地讓安全架構(gòu)師進入到架構(gòu)項目中去。在ADM的整個過程中，對于應(yīng)該收集哪些具體的安全信息，采取哪些步驟，并創(chuàng)建哪些制品， TOGAF都給出了指導(dǎo)。與安全相關(guān)的架構(gòu)決策和所有其他的架構(gòu)決 策一樣，也應(yīng)該能夠追溯到業(yè)務(wù)和策略決策上，這些業(yè)務(wù)和策略決 策應(yīng)該源于風(fēng)險分析。對于安全架構(gòu)師的關(guān)注領(lǐng)域，普遍接受的領(lǐng) 域包括：
     ◎ 身份認(rèn)證（Authentication）：以某種方式證實跟系統(tǒng)相關(guān)的 某個人或?qū)嶓w的身份。
     ◎ 授權(quán)（Authorization）：對已經(jīng)建立身份的人或?qū)嶓w的允許 的能力，進行定義并保證執(zhí)行。
     ◎ 審計（Audit）：提供法定數(shù)據(jù)來證明系統(tǒng)的使用符合安全 政策規(guī)定的能力。
     ◎ 保證（Assurance）：測試并證明系統(tǒng)具有支持安全政策規(guī)定 所需的安全屬性的能力。
     ◎ 可用性（Availability）：系統(tǒng)在發(fā)生非正常或惡意事件時， 仍能運行而服務(wù)不會中斷或耗盡的能力。
     ◎ 資產(chǎn)保護（Asset Protection）：對信息資產(chǎn)的保護使其免于 遭受損失或非預(yù)期的泄漏，和對資源的保護使其免于未授權(quán)和非預(yù) 期的使用。
     ◎ 管理（Administration）：增加或者改變安全策略、增加或改 變策略在系統(tǒng)中的實現(xiàn)方式、以及增加或改變與系統(tǒng)相關(guān)的人或?qū)?體的能力。
     ◎ 風(fēng)險管理（Risk Management）：組織對風(fēng)險的態(tài)度和承受 能力。
典型的安全架構(gòu)制品包括：
     ◎ 關(guān)于處理數(shù)據(jù)/信息資產(chǎn)的業(yè)務(wù)規(guī)則
     ◎ 書面的和發(fā)布的安全政策
     ◎ 成文的數(shù)據(jù)/信息資產(chǎn)的所有權(quán)和保管權(quán)說明
     ◎ 風(fēng)險分析的文檔記錄
     ◎ 數(shù)據(jù)分類策略的文檔記錄