《信息技术 安全技术 信息安全治理》.docVIP

GB/TXXXXX—XXXX/ISO/IEC27014:2013

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXTXXXXX—FORMTEXTXXXX/ISO/IEC27014:2013

FORMTEXT?????

FORMTEXT信息技术安全技术信息安全治理

FORMTEXTInformationtechnology—Securitytechniques—Governanceofinformationsecurity

FORMTEXT（ISO/IEC27014:2013，IDT）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

FORMTEXT（征求意见稿）

FORMTEXT2014-11-22

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX/ISO/IEC27014:2013

PAGE8

PAGEI

信息技术安全技术信息安全治理

范围

本标准就信息安全治理的概念和原则提供指南，通过这一指南，组织可以对其范围内的信息安全相关活动进行评价、指导、监视和沟通。

本标准适用于所有类型和规模的组织。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T29246-2012信息技术安全技术信息安全管理体系概述和词汇

术语和定义

GB/T29246-2012中界定的以及下列术语和定义适用于本文件。

执行管理者executivemanagement

为达成组织意图，承担由组织治理者委派的战略和策略实现责任的个人或一组人。

注1：执行管理者构成最高管理层的一部分。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

注2：执行管理者可包括首席执行官/行政总裁（CEO）、政府机构领导、首席财务官/财务总监（CFO）、首席运营官/运营总监（COO）、首席信息官/信息总监（CIO）、首席信息安全官/信息安全总监（CISO）和类似的角色。

治理者governingbody

对组织的绩效和合规负有责任的个人或一组人。

注：治理者构成最高管理层的一部份。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

信息安全治理governanceofinformationsecurity

指导和控制组织信息安全活动的体系。

利益相关者stakeholder

对于组织活动能够产生影响、受到影响或感觉受到影响的任何个人或组织。

注：决策者可以是利益相关者。

概念

总则

信息安全治理需要使信息安全目的和战略与业务目的和战略一致，并要求符合法律、法规、规章和合同。它宜通过风险管理途径被评估、分析和实现，并得到内部控制系统的支持。

治理者最终对组织的决策和绩效负责。在信息安全方面，治理者的关键聚焦点是确保组织的信息安全方法是有效率的、有效果的、可接受的，与业务目的和战略是一致的，并充分考虑到利益相关者的期望。各种利益相关者可能有不同的价值取向和需要。

目的

信息安全治理目的是：

使信息安全目的和战略与业务目的和战略一致（战略一致）

为治理者和利益相关者带来价值（价值提供）

确保信息风险得到充分解决（责任承担）

期望成果

有效实现信息安全治理的期望成果包括：

信息安全状态对治理者可见

信息风险的决策方法敏捷

信息安全投资高效且有效

符合外部要求（法律、法规、规章或合同）

关系

在组织内有一些其他领域的治理模型，诸如信息技术治理和组织治理。每个治理模型都是组织治理的不可分割的组成部分，都强调与业务目的一致的重要性。这通常有益于治理者开发一个整体和集成的组织治理模型视图，信息安全治理是其中的一部分。各治理模型的范围有时会重叠。例如，如图1所示的信息安全治理和信息技术治理之间的关系。

组织治理

组织治理

信息技术治理

信息安全治理

信息安全治理和信息技术治理之间的关系

信息技术治理的总体范围是针对获取、处理、存储和分发信息的所需资源，而信息安全治理的范围涵盖信息的保密性、完整性和可用性。这两种治理方案都需要由下列治理过程来处理：EDM（评价、指导、监视）。但是信息安全治理需要另外的内部过程“沟通”。

治理者建立信息安全治理所需任务在第五章描述。治理任务还与GB/T22080以及ISMS族的其他标准（见参考文献）中规定的管理要求相关。