路径: 主页 > GB/T > 第209页 > GB/T 32923-2016 | 标准编号 | GB/T 32923-2016 (GB/T32923-2016) | | 中文名称 | 信息技术 安全技术 信息安全治理 | | 英文名称 | Information technology -- Security techniques -- Governance of information security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 14,188 | | 发布日期 | 2016-08-29 | | 实施日期 | 2017-03-01 | | 标准依据 | 国家标准公告2016年第14号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 32923-2016
Information technology - Security techniques - Governance of information security
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 信息安全治理
(ISO/IEC 27014:2013,IDT)
2016-08-29发布
2017-03-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概念 1
4.1 总则 1
4.2 目标 2
4.3 期望成果 2
4.4 关系 2
5 原则和过程 3
5.1 概述 3
5.2 原则 3
5.3 过程 4
附录A(资料性附录) 信息安全状态示例 7
附录B(资料性附录) 详细的信息安全状态示例 8
参考文献 9
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用ISO/IEC 27014:2013《信息技术 安全技术 信息安全治理》。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中电长城网际系统应用有限公司、中国信息安全测评中心、中国电子技术标准化
研究院、中国信息安全研究院有限公司。
本标准主要起草人:闵京华、张晓菲、上官晓丽、许玉娜、李斌、罗锋盈、王惠莅、左晓栋、周亚超、
刘恒、张兴、李刚、陈洪波、张春明、张劲、刘作康、王琰、王新杰。
引 言
本标准提供关于信息安全治理的指南。
信息安全已成为组织的关键问题。不仅法规要求日益增加,而且组织的信息安全措施失效会直接
影响其声誉。
因此,组织治理者越来越需要承担起治理责任中的信息安全监督职责,以确保组织目标的实现。
此外,在组织的治理者、执行管理者和负责实现与运行信息安全管理体系人员之间,信息安全治理
提供了强有力的纽带。
信息安全治理为在整个组织内推动信息安全行动倡议提供了必不可少的基础。
再者,信息安全的有效治理确保治理者收到在业务语境下形成的信息安全相关活动的报告,从而能
够对信息安全问题作出恰当和及时的决策来支持组织的战略目标。
信息技术 安全技术 信息安全治理
1 范围
本标准就信息安全治理的概念和原则提供指南,通过本标准,组织可以对其范围内的信息安全相关
活动进行评价、指导、监视和沟通。
本标准适用于所有类型和规模的组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29246-2012 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:
2009,IDT)
3 术语和定义
GB/T 29246-2012界定的以及下列术语和定义适用于本文件。
3.1
执行管理者 executivemanagement
为达成组织意图,承担由组织治理者委派的战略和策略实现责任的个人或一组人。
注1:执行管理者构成最高管理层的一部分。为明晰角色,本标准在最高管理层内区分两组人员:治理者和执行管
理者。
注2:执行管理者可包括首席执行官/行政总裁(CEO)、政府机构领导、首席财务官/财务总监(CFO)、首席运营官/
运营总监(COO)、首席信息官/信息总监(CIO)、首席信息安全官/信息安全总监(CISO)和类似的角色。
3.2
治理者 governingbody
对组织的绩效和合规负有责任的个人或一组人。
注:治理者构成最高管理层的一部分。为明晰角色,本标准在最高管理层内区分两组人员:治理者和执行管理者。
3.3
指导和控制组织信息安全活动的体系。
3.4
利益相关者 stakeholder
对于组织活动能够产生影响、受到影响......
|