GB/T 32923-2016信息技術(shù)安全技術(shù)信息安全治理

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T32923—2016/ISO/IEC270142013

:

信息技術(shù)安全技術(shù)信息安全治理

Informationtechnology—Securitytechniques—

Governanceofinformationsecurity

(ISO/IEC27014:2013,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T32923—2016/ISO/IEC270142013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

概念

4………………………1

總則

4.1…………………1

目標(biāo)

4.2…………………2

期望成果

4.3……………2

關(guān)系

4.4…………………2

原則和過(guò)程

5………………3

概述

5.1…………………3

原則

5.2…………………3

過(guò)程

5.3…………………4

附錄資料性附錄信息安全狀態(tài)示例

A()………………7

附錄資料性附錄詳細(xì)的信息安全狀態(tài)示例

B()………8

參考文獻(xiàn)

………………………9

Ⅰ

GB/T32923—2016/ISO/IEC270142013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全治理

ISO/IEC27014:2013《》。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國(guó)信息安全測(cè)評(píng)中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化

:、、

研究院中國(guó)信息安全研究院有限公司

、。

本標(biāo)準(zhǔn)主要起草人閔京華張曉菲上官曉麗許玉娜李斌羅鋒盈王惠蒞左曉棟周亞超

:、、、、、、、、、

劉恒張興李剛陳洪波張春明張勁劉作康王琰王新杰

、、、、、、、、。

Ⅲ

GB/T32923—2016/ISO/IEC270142013

:

引言

本標(biāo)準(zhǔn)提供關(guān)于信息安全治理的指南

。

信息安全已成為組織的關(guān)鍵問(wèn)題不僅法規(guī)要求日益增加而且組織的信息安全措施失效會(huì)直接

。,

影響其聲譽(yù)

。

因此組織治理者越來(lái)越需要承擔(dān)起治理責(zé)任中的信息安全監(jiān)督職責(zé)以確保組織目標(biāo)的實(shí)現(xiàn)

,,。

此外在組織的治理者執(zhí)行管理者和負(fù)責(zé)實(shí)現(xiàn)與運(yùn)行信息安全管理體系人員之間信息安全治理

,、,

提供了強(qiáng)有力的紐帶

。

信息安全治理為在整個(gè)組織內(nèi)推動(dòng)信息安全行動(dòng)倡議提供了必不可少的基礎(chǔ)

。

再者信息安全的有效治理確保治理者收到在業(yè)務(wù)語(yǔ)境下形成的信息安全相關(guān)活動(dòng)的報(bào)告從而能

,,

夠?qū)π畔踩珕?wèn)題作出恰當(dāng)和及時(shí)的決策來(lái)支持組織的戰(zhàn)略目標(biāo)

。

Ⅳ

GB/T32923—2016/ISO/IEC270142013

:

信息技術(shù)安全技術(shù)信息安全治理

1范圍

本標(biāo)準(zhǔn)就信息安全治理的概念和原則提供指南通過(guò)本標(biāo)準(zhǔn)組織可以對(duì)其范圍內(nèi)的信息安全相關(guān)

,,

活動(dòng)進(jìn)行評(píng)價(jià)指導(dǎo)監(jiān)視和溝通

、、。

本標(biāo)準(zhǔn)適用于所有類(lèi)型和規(guī)模的組織

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T29246—2012。

31

.

執(zhí)行管理者executivemanagement

為達(dá)成組織意圖承擔(dān)由組織治理者委派的戰(zhàn)略和策略實(shí)現(xiàn)責(zé)任的個(gè)人或一組人

,。

注1執(zhí)行管理者構(gòu)成最高管理層的一部分為明晰角色本標(biāo)準(zhǔn)在最高管理層內(nèi)區(qū)分兩組人員治理者和執(zhí)行管

:。,:

理者

。

注2執(zhí)行管理者可包括首席執(zhí)行官行政總裁政府機(jī)構(gòu)領(lǐng)導(dǎo)首席財(cái)務(wù)官財(cái)務(wù)總監(jiān)首席運(yùn)營(yíng)官

:/(CEO)、、/(CFO)、/

運(yùn)營(yíng)總監(jiān)首席信息官信息總監(jiān)首席信息安全官信息安全總監(jiān)和類(lèi)似的角色

(COO)、/(CIO)、/(CISO)。

32

.

治理者governingbody

對(duì)組織的績(jī)效和合規(guī)負(fù)有責(zé)任的個(gè)人或一組人

。

注治理者構(gòu)成最高管理層的一部分