開放組體系結構框架（TOGAF）是一個行業(yè)標準的體系架構框架，它能被任何希望開發(fā)一個信息系統(tǒng)體系架構在組織內部使用的組織自由使用。中培偉業(yè)《IT戰(zhàn)略規(guī)劃與企業(yè)架構最佳實踐/TOGAF認證》王老師指出，對于在應用TOGAF ADM中需要考慮的安全性等問題，TOGAF提供了 一些的指導原則。這些指導原則幫助部署ADM的企業(yè)架構師告知安全架構師，需要進行哪些安全架構方面的變更。作為指導，這些原 則也力圖幫助企業(yè)架構師避免遺漏關鍵的安全關注點。

企業(yè)中的各種利益相關者都會關注安全性，這一點除非架構師清楚這些干系人的特點，否則很難一下子看清楚。建議盡可能早地讓安全架構師進入到架構項目中去。在ADM的整個過程中，對于應該收集哪些具體的安全信息，采取哪些步驟，并創(chuàng)建哪些制品， TOGAF都給出了指導。與安全相關的架構決策和所有其他的架構決 策一樣，也應該能夠追溯到業(yè)務和策略決策上，這些業(yè)務和策略決 策應該源于風險分析。對于安全架構師的關注領域，普遍接受的領 域包括：
     ◎ 身份認證（Authentication）：以某種方式證實跟系統(tǒng)相關的 某個人或實體的身份。
     ◎ 授權（Authorization）：對已經建立身份的人或實體的允許 的能力，進行定義并保證執(zhí)行。
     ◎ 審計（Audit）：提供法定數(shù)據(jù)來證明系統(tǒng)的使用符合安全 政策規(guī)定的能力。
     ◎ 保證（Assurance）：測試并證明系統(tǒng)具有支持安全政策規(guī)定 所需的安全屬性的能力。
     ◎ 可用性（Availability）：系統(tǒng)在發(fā)生非正常或惡意事件時， 仍能運行而服務不會中斷或耗盡的能力。
     ◎ 資產保護（Asset Protection）：對信息資產的保護使其免于 遭受損失或非預期的泄漏，和對資源的保護使其免于未授權和非預 期的使用。
     ◎ 管理（Administration）：增加或者改變安全策略、增加或改 變策略在系統(tǒng)中的實現(xiàn)方式、以及增加或改變與系統(tǒng)相關的人或實 體的能力。
     ◎ 風險管理（Risk Management）：組織對風險的態(tài)度和承受 能力。
典型的安全架構制品包括：
     ◎ 關于處理數(shù)據(jù)/信息資產的業(yè)務規(guī)則
     ◎ 書面的和發(fā)布的安全政策
     ◎ 成文的數(shù)據(jù)/信息資產的所有權和保管權說明
     ◎ 風險分析的文檔記錄
     ◎ 數(shù)據(jù)分類策略的文檔記錄