国家标准《信息技术　安全技术　信息安全治理》（征求意见稿）编制说明

PAGE5PAGE任务来源根据工业和信息化部信息安全协调司2013年下达的《关于委托开展信息安全标准制修订专项工作的函》（工信协函[2013]112号），由中电长城网际系统应用有限公司牵头，中国信息安全测评中心、中国电子技术标准化研究院、中国信息安全研究院等单位参与，编制国家标准《信息技术安全技术信息安全治理》(国标计划号：20141162-T-469)。任务背景信息安全已成为组织的关键问题。不仅是增加的法律法规要求，还有组织信息安全措施的失效可能对组织的业务和声誉产生直接影响。因此，治理者，作为其治理责任之一，日益被要求监督信息安全，以确保组织目标的实现。另外，信息安全治理在组织的治理者、执行管理者和那些负责实施与运行信息安全管理体系者之间提供了强有力的纽带，为在整个组织内推动信息安全倡议提供必不可少的基础。此外，信息安全的有效治理确保组织治理者收到业务语境的框架下关于信息安全相关活动的有关报告，从而能够对信息安全问题作出恰当和及时的决策来支持组织的战略目标。国际信息安全标准化组织ISO/IECJTC1SC27自2008年10月立项ISO/IEC27014|ITU-TX.1054Informationtechnology—Securitytechniques—Governanceofinformationsecurity《信息技术—安全技术—信息安全治理》国际标准编制，历经四年半，于2013年5月15日正式发布。《信息技术安全技术信息安全治理》是国际信息安全管理体系（ISMS）标准族（即ISO/IEC27000系列标准）中的标准之一。国际信息安全标准化组织ISO/IECJTC1SC27WG1专门负责ISMS标准族的研究和制定。ISMS标准族作为一套具有一定科学理论基础和实践价值的标准，被广泛用于不同国家、不同领域，为不同信息安全管理需求的用户提供了参考和指导。截至目前，我国在持续跟踪研究该系列标准的基础上，已经以等同采用方式转化了ISMS中的七项标准为国家标准，分别是：ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系—要求》（转标为GB/T22080:2008）、ISO/IEC27002:2005《信息技术—安全技术—信息安全管理使用规则》（转标为GB/T22081:2008）、ISO/IEC27006:2007《信息技术—安全技术—信息安全管理体系认证机构认可要求》（转标为GB/T25067-2010）、ISO/IEC27000:2009《信息技术—安全技术—信息安全管理体系—概述和词汇》（转标为GB/T29246-2012）、ISO/IEC27003:2010《信息技术—安全技术—信息安全管理体系实施指南》（转标工作已进入报批阶段）、ISO/IEC27004:2009《信息技术—安全技术—信息安全管理—测量》（转标工作已进入报批阶段）和ISO/IEC27005:2008《信息技术—安全技术—信息安全风险管理》（转标工作已进入报批阶段）。编制原则等同采用：基于目前国内对国际ISMS标准族相关标准的研究和转化情况，以及我国整体信息安全管理理论和技术发展现状，决定等同采用国际标准ISO/IEC27014:2013《信息技术—安全技术—信息安全治理》。准确理解：在充分理解国际标准原文的基础上进行等同翻译，做到准确表达原意。语言通畅：在等同翻译时，尽量符合中文的语言习惯，做到表述通畅。主要工作过程1、2013年10月15日，工业和信息化部信息安全协调司正式下达由中电长城网际系统应用有限公司（以下简称“长城网际”）牵头编制国家标准《信息技术安全技术信息安全治理》的任务，参见《关于委托开展信息安全标准制修订专项工作的函》（工信协函[2013]112号）及其附件《信息安全标准制修订专项资金分配及任务表》。2、2014年1月，长城网际与全国信息安全标准化技术委员会秘书处正式签订《信息技术安全技术信息安全治理》国家标准制定项目任务。与此同时，由项目牵头单位和参与单位共同组成的标准编制组正式成立并启动工作。3、2014年1月至4月，收集和研究信息安全治理相关国内外资料，翻译国际标准ISO/IEC27014:2013。4、2014年5月16日，完成《信息技术安全技术信息安全治理》国家标准草案初稿及其编制说明，在标准编制组内征求意见。5、2014年6月10日，完成根据标准编写组内的反馈意见修改《信息技术安全技术信息安全治理》国家标准草案，填写意见汇总处理表，并提交至全国信安标委“信息安全标准项目管理与服务平台”（）。6、2014年6月16日，在北京应物会议中心A座第四会议室召开了《信息技术安全技术信息安全治理》国家标准草案专家意见征求会。7、2014年9月23日，完成根据专家意见征求会上的专家意见修改《信息安全治理》国家标准草案，填写意见汇总处理表，更新编制说明，并在标准编制组内征求意见。8、2014年11月5日，在北京应物会议中心A座第四会议室召开了《信息技术安全技术信息安全治理》国家标准草案专家审查会。9、2014年11月12日，完成根据专家审查会上的专家意见修改《信息安全治理》国家标准草案，形成征求意见稿（v1.0），填写意见汇总处理表，更新编制说明，并在标准编制组内征求意见。10、2104年11月22日，完成标准编制组内征求意见，形成《信息安全治理》国家标准征求意见稿（v1.1），并提交至全国信安标委秘书处。11、2014年12月30日，完成WG4组内成员单位投票表决中反馈意见的处理，将《信息安全治理》国家标准征求意见稿（v1.1）、更新的意见汇总处理表和更新的编制说明，提交至全国信安标委秘书处。主要内容该标准就信息安全治理的概念和原则提供指南，通过这一指南，组织可以对其范围内的信息安全相关活动进行评价、指导、监督和沟通，适用于所有类型和规模的组织。该标准定义了信息安全治理、治理者、执行管理者和相关利益者的概念，设立了信息安全治理的目标，列出了实施信息安全治理的期望成果，给出了信息安全治理与组织其他方面治理（如信息技术治理和结构治理）的关系。该标准提出了信息安全治理的六项原则，即：原则1：建立组织范围的信息安全原则2：采用基于风险的方法原则3：确定投资决策的方向原则4：确保符合内部和外部要求原则5：营造安全良好的环境原则6：关联业务产出来评审绩效该标准提出了信息安全治理的五大过程，即：“评价”、“指导”、“监督”、“沟通”和“保证”，并给出了治理者和执行管理者在这些过程中的职责。最后，该标准在附录中给出了作为“沟通”方法之一的信息安全状态的示例。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果该标准是一种方法指南，用于指导组织内的信息安全治理，旨在通过信息安全治理在组织范围内，使信息安全目标和战略与业务目标和战略一致（即战略一致），为治理者和利益相关者带来价值（即价值交付），确保信息风险得到充分解决（即责任承担）。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况该标准等同采用国际标准ISO/IEC27014:2013《信息技术—安全技术—信息安全治理》。与有关的现行法律、法规和强制性国家标准的关系该标准符合我国现行的法律、法规和强制性国家标准。另外，该标准与现有推荐性国家标准GB/T22080:2008《信息技术安全技术信息安全管理体系要求》、GB/T22081:2008《信息技术安全技术信息安全管理实用规则》、GB/T25067:2010《信息技术安全技术信息安全管理体系审核认证机构的要求》、GB/T29246-2012《信息技术安全技术信息安全管理体系概述和词汇》、GB/TXXXXX-XXXX《信息技术安全技术信息安全管理体系实施指南》（报批中）、GB/TYYYYY-YYYYY《信息技术安全技术信息安全管理测量》（报批中）和GB/TZZZZZ-ZZZZ《信息技术安全技术信息安全风险管理》（报批中）均属于信息安全管理体系（ISMS）标准族中的标准。重大分歧意见的处理经过和依据尚无。国家标准作为强制性国家标准或推荐性国家标准的建议建议该标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）该标准的宣贯和应用应重点放在负责组织治理的决策层，并且与信息安全管理体系（ISMS）的其他标准以体系化的方法集成实施。其他事项说明在翻译国际标准ISO/IEC27014:2013《信息技术—安全技术