信息技术　安全技术　信息安全治理.docVIP

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX/ISO/IEC27014:2013

信息技术安全技术信息安全治理

Informationtechnology—Securitytechniques—Governanceofinformationsecurity

(ISO/IEC27014:2013,IDT)

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

(征求意见稿)

2014-11-22

XXXX-XX-XX发布

XXXX-XX-XX实施

中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布

中华人民共和国国家质量监督检验检疫总局

GB/TXXXXX—XXXX/ISO/IEC27014:2013

I

引言

本标准提供关于信息安全治理的指南。

信息安全已成为组织的关键问题。不仅是增加的法规要求，还有组织信息安全措施的失效可能对组织的声誉产生直接影响。

因此，组织治理者，作为其治理责任之一，日益被要求监视信息安全，以确保组织目的的实现。

另外，信息安全治理在组织的治理者、执行管理者和那些负责实现与运行信息安全管理体系者之间提供了强有力的纽带。

信息安全治理为在整个组织内推动信息安全倡议提供必不可少的基础。

此外，信息安全的有效治理确保治理者收到在业务语境的框架下关于信息安全相关活动的有关报告，从而能够对信息安全问题作出恰当和及时的决策来支持组织的战略目的。

GB/TXXXXX—XXXX/ISO/IEC27014:2013

1

信息技术安全技术信息安全治理

1范围

本标准就信息安全治理的概念和原则提供指南，通过这一指南，组织可以对其范围内的信息安全相关活动进行评价、指导、监视和沟通。

本标准适用于所有类型和规模的组织。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T29246-2012信息技术安全技术信息安全管理体系概述和词汇

3术语和定义

GB/T29246-2012中界定的以及下列术语和定义适用于本文件。

3.1

执行管理者executivemanagement

为达成组织意图，承担由组织治理者委派的战略和策略实现责任的个人或一组人。

注1:执行管理者构成最高管理层的一部分。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

注2:执行管理者可包括首席执行官/行政总裁(CEO)、政府机构领导、首席财务官/财务总监(CFO)、首席运营官/运营总监(C0O)、首席信息官/信息总监(CIO)、首席信息安全官/信息安全总监(CISO)和类似的角色。

3.2

治理者governingbody

对组织的绩效和合规负有责任的个人或一组人。

注：治理者构成最高管理层的一部份。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

3.3

信息安全治理governanceofinformationsecurity

指导和控制组织信息安全活动的体系。

3.4

利益相关者stakeholder

对于组织活动能够产生影响、受到影响或感觉受到影响的任何个人或组织。

注：决策者可以是利益相关者。

2

GB/TXXXXX—XXXX/ISO/IEC27014:2013

4概念

4.1总则

信息安全治理需要使信息安全目的和战略与业务目的和战略一致，并要求符合法律、法规、规章和合同。它宜通过风险管理途径被评估、分析和实现，并得到内部控制系统的支持。

治理者最终对组织的决策和绩效负责。在信息安全方面，治理者的关键聚焦点是确保组织的信息安全方法是有效率的、有效果的、可接受的，与业务目的和战略是一致的，并充分考虑到利益相关者的期望。各种利益相关者可能有不同的价值取向和需要。

4.2目的

信息安全治理目的是：

·使信息安全目的和战略与业务目的和战略一致(战略一致)

·为治理者和利益相关者带来价值(价值提供)

·确保信息风险得到充分解决(责任承担)

4.3期望成果

有效实现信息安全治理的期望成果包括：

·