GB/T 32923-2016信息技术安全技术信息安全治理

ICS35040

L80.

中华人民共和国国家标准

GB/T32923—2016/ISO/IEC270142013

:

信息技术安全技术信息安全治理

Informationtechnology—Securitytechniques—

Governanceofinformationsecurity

(ISO/IEC27014:2013,IDT)

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T32923—2016/ISO/IEC270142013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概念

4………………………1

总则

4.1…………………1

目标

4.2…………………2

期望成果

4.3……………2

关系

4.4…………………2

原则和过程

5………………3

概述

5.1…………………3

原则

5.2…………………3

过程

5.3…………………4

附录资料性附录信息安全状态示例

A()………………7

附录资料性附录详细的信息安全状态示例

B()………8

参考文献

………………………9

Ⅰ

GB/T32923—2016/ISO/IEC270142013

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用翻译法等同采用信息技术安全技术信息安全治理

ISO/IEC27014:2013《》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中电长城网际系统应用有限公司中国信息安全测评中心中国电子技术标准化

:、、

研究院中国信息安全研究院有限公司

、。

本标准主要起草人闵京华张晓菲上官晓丽许玉娜李斌罗锋盈王惠莅左晓栋周亚超

:、、、、、、、、、

刘恒张兴李刚陈洪波张春明张劲刘作康王琰王新杰

、、、、、、、、。

Ⅲ

GB/T32923—2016/ISO/IEC270142013

:

引言

本标准提供关于信息安全治理的指南

。

信息安全已成为组织的关键问题不仅法规要求日益增加而且组织的信息安全措施失效会直接

。,

影响其声誉

。

因此组织治理者越来越需要承担起治理责任中的信息安全监督职责以确保组织目标的实现

,,。

此外在组织的治理者执行管理者和负责实现与运行信息安全管理体系人员之间信息安全治理

,、,

提供了强有力的纽带

。

信息安全治理为在整个组织内推动信息安全行动倡议提供了必不可少的基础

。

再者信息安全的有效治理确保治理者收到在业务语境下形成的信息安全相关活动的报告从而能

,,

够对信息安全问题作出恰当和及时的决策来支持组织的战略目标

。

Ⅳ

GB/T32923—2016/ISO/IEC270142013

:

信息技术安全技术信息安全治理

1范围

本标准就信息安全治理的概念和原则提供指南通过本标准组织可以对其范围内的信息安全相关

,,

活动进行评价指导监视和沟通

、、。

本标准适用于所有类型和规模的组织

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T29246—2012。

31

.

执行管理者executivemanagement

为达成组织意图承担由组织治理者委派的战略和策略实现责任的个人或一组人

,。

注1执行管理者构成最高管理层的一部分为明晰角色本标准在最高管理层内区分两组人员治理者和执行管

:。,:

理者

。

注2执行管理者可包括首席执行官行政总裁政府机构领导首席财务官财务总监首席运营官

:/(CEO)、、/(CFO)、/

运营总监首席信息官信息总监首席信息安全官信息安全总监和类似的角色

(COO)、/(CIO)、/(CISO)。

32

.

治理者governingbody

对组织的绩效和合规负有责任的个人或一组人

。

注治理者构成最高管理层的一部分