ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T32923—2016/ISO/IEC270142013

:

信息技術(shù)安全技術(shù)信息安全治理

Informationtechnology—Securitytechniques—

Governanceofinformationsecurity

(ISO/IEC27014:2013,IDT)

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T32923—2016/ISO/IEC270142013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概念

4………………………1

總則

4.1…………………1

目標(biāo)

4.2…………………2

期望成果

4.3……………2

關(guān)系

4.4…………………2

原則和過程

5………………3

概述

5.1…………………3

原則

5.2…………………3

過程

5.3…………………4

附錄資料性附錄信息安全狀態(tài)示例

A()………………7

附錄資料性附錄詳細(xì)的信息安全狀態(tài)示例

B()………8

參考文獻(xiàn)

………………………9

Ⅰ

GB/T32923—2016/ISO/IEC270142013

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用信息技術(shù)安全技術(shù)信息安全治理

ISO/IEC27014:2013《》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司中國信息安全測評中心中國電子技術(shù)標(biāo)準(zhǔn)化

:、、

研究院中國信息安全研究院有限公司

、。

本標(biāo)準(zhǔn)主要起草人閔京華張曉菲上官曉麗許玉娜李斌羅鋒盈王惠蒞左曉棟周亞超

:、、、、、、、、、

劉恒張興李剛陳洪波張春明張勁劉作康王琰王新杰

、、、、、、、、。

Ⅲ

GB/T32923—2016/ISO/IEC270142013

:

引言

本標(biāo)準(zhǔn)提供關(guān)于信息安全治理的指南

。

信息安全已成為組織的關(guān)鍵問題不僅法規(guī)要求日益增加而且組織的信息安全措施失效會直接

。,

影響其聲譽(yù)

。

因此組織治理者越來越需要承擔(dān)起治理責(zé)任中的信息安全監(jiān)督職責(zé)以確保組織目標(biāo)的實(shí)現(xiàn)

,,。

此外在組織的治理者執(zhí)行管理者和負(fù)責(zé)實(shí)現(xiàn)與運(yùn)行信息安全管理體系人員之間信息安全治理

,、,

提供了強(qiáng)有力的紐帶

。

信息安全治理為在整個組織內(nèi)推動信息安全行動倡議提供了必不可少的基礎(chǔ)

。

再者信息安全的有效治理確保治理者收到在業(yè)務(wù)語境下形成的信息安全相關(guān)活動的報告從而能

,,

夠?qū)π畔踩珕栴}作出恰當(dāng)和及時的決策來支持組織的戰(zhàn)略目標(biāo)

。

Ⅳ

GB/T32923—2016/ISO/IEC270142013

:

信息技術(shù)安全技術(shù)信息安全治理

1范圍

本標(biāo)準(zhǔn)就信息安全治理的概念和原則提供指南通過本標(biāo)準(zhǔn)組織可以對其范圍內(nèi)的信息安全相關(guān)

,,

活動進(jìn)行評價指導(dǎo)監(jiān)視和溝通

、、。

本標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T29246—2012。

31

.

執(zhí)行管理者executivemanagement

為達(dá)成組織意圖承擔(dān)由組織治理者委派的戰(zhàn)略和策略實(shí)現(xiàn)責(zé)任的個人或一組人

,。

注1執(zhí)行管理者構(gòu)成最高管理層的一部分為明晰角色本標(biāo)準(zhǔn)在最高管理層內(nèi)區(qū)分兩組人員治理者和執(zhí)行管

:。,:

理者

。

注2執(zhí)行管理者可包括首席執(zhí)行官行政總裁政府機(jī)構(gòu)領(lǐng)導(dǎo)首席財(cái)務(wù)官財(cái)務(wù)總監(jiān)首席運(yùn)營官

:/(CEO)、、/(CFO)、/

運(yùn)營總監(jiān)首席信息官信息總監(jiān)首席信息安全官信息安全總監(jiān)和類似的角色

(COO)、/(CIO)、/(CISO)。

32

.

治理者governingbody

對組織的績效和合規(guī)負(fù)有責(zé)任的個人或一組人

。

注治理者構(gòu)成最高管理層的一部分