國家標準《信息技術(shù)　安全技術(shù)　信息安全治理》（征求意見稿）編制說明

PAGE5PAGE任務來源根據(jù)工業(yè)和信息化部信息安全協(xié)調(diào)司2013年下達的《關(guān)于委托開展信息安全標準制修訂專項工作的函》（工信協(xié)函[2013]112號），由中電長城網(wǎng)際系統(tǒng)應用有限公司牽頭，中國信息安全測評中心、中國電子技術(shù)標準化研究院、中國信息安全研究院等單位參與，編制國家標準《信息技術(shù)安全技術(shù)信息安全治理》(國標計劃號：20141162-T-469)。任務背景信息安全已成為組織的關(guān)鍵問題。不僅是增加的法律法規(guī)要求，還有組織信息安全措施的失效可能對組織的業(yè)務和聲譽產(chǎn)生直接影響。因此，治理者，作為其治理責任之一，日益被要求監(jiān)督信息安全，以確保組織目標的實現(xiàn)。另外，信息安全治理在組織的治理者、執(zhí)行管理者和那些負責實施與運行信息安全管理體系者之間提供了強有力的紐帶，為在整個組織內(nèi)推動信息安全倡議提供必不可少的基礎(chǔ)。此外，信息安全的有效治理確保組織治理者收到業(yè)務語境的框架下關(guān)于信息安全相關(guān)活動的有關(guān)報告，從而能夠?qū)π畔踩珕栴}作出恰當和及時的決策來支持組織的戰(zhàn)略目標。國際信息安全標準化組織ISO/IECJTC1SC27自2008年10月立項ISO/IEC27014|ITU-TX.1054Informationtechnology—Securitytechniques—Governanceofinformationsecurity《信息技術(shù)—安全技術(shù)—信息安全治理》國際標準編制，歷經(jīng)四年半，于2013年5月15日正式發(fā)布?！缎畔⒓夹g(shù)安全技術(shù)信息安全治理》是國際信息安全管理體系（ISMS）標準族（即ISO/IEC27000系列標準）中的標準之一。國際信息安全標準化組織ISO/IECJTC1SC27WG1專門負責ISMS標準族的研究和制定。ISMS標準族作為一套具有一定科學理論基礎(chǔ)和實踐價值的標準，被廣泛用于不同國家、不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導。截至目前，我國在持續(xù)跟蹤研究該系列標準的基礎(chǔ)上，已經(jīng)以等同采用方式轉(zhuǎn)化了ISMS中的七項標準為國家標準，分別是：ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系—要求》（轉(zhuǎn)標為GB/T22080:2008）、ISO/IEC27002:2005《信息技術(shù)—安全技術(shù)—信息安全管理使用規(guī)則》（轉(zhuǎn)標為GB/T22081:2008）、ISO/IEC27006:2007《信息技術(shù)—安全技術(shù)—信息安全管理體系認證機構(gòu)認可要求》（轉(zhuǎn)標為GB/T25067-2010）、ISO/IEC27000:2009《信息技術(shù)—安全技術(shù)—信息安全管理體系—概述和詞匯》（轉(zhuǎn)標為GB/T29246-2012）、ISO/IEC27003:2010《信息技術(shù)—安全技術(shù)—信息安全管理體系實施指南》（轉(zhuǎn)標工作已進入報批階段）、ISO/IEC27004:2009《信息技術(shù)—安全技術(shù)—信息安全管理—測量》（轉(zhuǎn)標工作已進入報批階段）和ISO/IEC27005:2008《信息技術(shù)—安全技術(shù)—信息安全風險管理》（轉(zhuǎn)標工作已進入報批階段）。編制原則等同采用：基于目前國內(nèi)對國際ISMS標準族相關(guān)標準的研究和轉(zhuǎn)化情況，以及我國整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國際標準ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)—信息安全治理》。準確理解：在充分理解國際標準原文的基礎(chǔ)上進行等同翻譯，做到準確表達原意。語言通暢：在等同翻譯時，盡量符合中文的語言習慣，做到表述通暢。主要工作過程1、2013年10月15日，工業(yè)和信息化部信息安全協(xié)調(diào)司正式下達由中電長城網(wǎng)際系統(tǒng)應用有限公司（以下簡稱“長城網(wǎng)際”）牽頭編制國家標準《信息技術(shù)安全技術(shù)信息安全治理》的任務，參見《關(guān)于委托開展信息安全標準制修訂專項工作的函》（工信協(xié)函[2013]112號）及其附件《信息安全標準制修訂專項資金分配及任務表》。2、2014年1月，長城網(wǎng)際與全國信息安全標準化技術(shù)委員會秘書處正式簽訂《信息技術(shù)安全技術(shù)信息安全治理》國家標準制定項目任務。與此同時，由項目牽頭單位和參與單位共同組成的標準編制組正式成立并啟動工作。3、2014年1月至4月，收集和研究信息安全治理相關(guān)國內(nèi)外資料，翻譯國際標準ISO/IEC27014:2013。4、2014年5月16日，完成《信息技術(shù)安全技術(shù)信息安全治理》國家標準草案初稿及其編制說明，在標準編制組內(nèi)征求意見。5、2014年6月10日，完成根據(jù)標準編寫組內(nèi)的反饋意見修改《信息技術(shù)安全技術(shù)信息安全治理》國家標準草案，填寫意見匯總處理表，并提交至全國信安標委“信息安全標準項目管理與服務平臺”（）。6、2014年6月16日，在北京應物會議中心A座第四會議室召開了《信息技術(shù)安全技術(shù)信息安全治理》國家標準草案專家意見征求會。7、2014年9月23日，完成根據(jù)專家意見征求會上的專家意見修改《信息安全治理》國家標準草案，填寫意見匯總處理表，更新編制說明，并在標準編制組內(nèi)征求意見。8、2014年11月5日，在北京應物會議中心A座第四會議室召開了《信息技術(shù)安全技術(shù)信息安全治理》國家標準草案專家審查會。9、2014年11月12日，完成根據(jù)專家審查會上的專家意見修改《信息安全治理》國家標準草案，形成征求意見稿（v1.0），填寫意見匯總處理表，更新編制說明，并在標準編制組內(nèi)征求意見。10、2104年11月22日，完成標準編制組內(nèi)征求意見，形成《信息安全治理》國家標準征求意見稿（v1.1），并提交至全國信安標委秘書處。11、2014年12月30日，完成WG4組內(nèi)成員單位投票表決中反饋意見的處理，將《信息安全治理》國家標準征求意見稿（v1.1）、更新的意見匯總處理表和更新的編制說明，提交至全國信安標委秘書處。主要內(nèi)容該標準就信息安全治理的概念和原則提供指南，通過這一指南，組織可以對其范圍內(nèi)的信息安全相關(guān)活動進行評價、指導、監(jiān)督和溝通，適用于所有類型和規(guī)模的組織。該標準定義了信息安全治理、治理者、執(zhí)行管理者和相關(guān)利益者的概念，設(shè)立了信息安全治理的目標，列出了實施信息安全治理的期望成果，給出了信息安全治理與組織其他方面治理（如信息技術(shù)治理和結(jié)構(gòu)治理）的關(guān)系。該標準提出了信息安全治理的六項原則，即：原則1：建立組織范圍的信息安全原則2：采用基于風險的方法原則3：確定投資決策的方向原則4：確保符合內(nèi)部和外部要求原則5：營造安全良好的環(huán)境原則6：關(guān)聯(lián)業(yè)務產(chǎn)出來評審績效該標準提出了信息安全治理的五大過程，即：“評價”、“指導”、“監(jiān)督”、“溝通”和“保證”，并給出了治理者和執(zhí)行管理者在這些過程中的職責。最后，該標準在附錄中給出了作為“溝通”方法之一的信息安全狀態(tài)的示例。主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預期的經(jīng)濟效果該標準是一種方法指南，用于指導組織內(nèi)的信息安全治理，旨在通過信息安全治理在組織范圍內(nèi)，使信息安全目標和戰(zhàn)略與業(yè)務目標和戰(zhàn)略一致（即戰(zhàn)略一致），為治理者和利益相關(guān)者帶來價值（即價值交付），確保信息風險得到充分解決（即責任承擔）。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況該標準等同采用國際標準ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)—信息安全治理》。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系該標準符合我國現(xiàn)行的法律、法規(guī)和強制性國家標準。另外，該標準與現(xiàn)有推薦性國家標準GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》、GB/T25067:2010《信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求》、GB/T29246-2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、GB/TXXXXX-XXXX《信息技術(shù)安全技術(shù)信息安全管理體系實施指南》（報批中）、GB/TYYYYY-YYYYY《信息技術(shù)安全技術(shù)信息安全管理測量》（報批中）和GB/TZZZZZ-ZZZZ《信息技術(shù)安全技術(shù)信息安全風險管理》（報批中）均屬于信息安全管理體系（ISMS）標準族中的標準。重大分歧意見的處理經(jīng)過和依據(jù)尚無。國家標準作為強制性國家標準或推薦性國家標準的建議建議該標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標準的宣貫和應用應重點放在負責組織治理的決策層，并且與信息安全管理體系（ISMS）的其他標準以體系化的方法集成實施。其他事項說明在翻譯國際標準ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)