ICS35040

L80.

中華人民共和國國家標準

GB/T32923—2016/ISO/IEC270142013

:

信息技術安全技術信息安全治理

Informationtechnology—Securitytechniques—

Governanceofinformationsecurity

(ISO/IEC27014:2013,IDT)

2016-08-29發布2017-03-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T32923—2016/ISO/IEC270142013

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概念

4………………………1

總則

4.1…………………1

目標

4.2…………………2

期望成果

4.3……………2

關系

4.4…………………2

原則和過程

5………………3

概述

5.1…………………3

原則

5.2…………………3

過程

5.3…………………4

附錄資料性附錄信息安全狀態示例

A()………………7

附錄資料性附錄詳細的信息安全狀態示例

B()………8

參考文獻

………………………9

Ⅰ

GB/T32923—2016/ISO/IEC270142013

:

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用信息技術安全技術信息安全治理

ISO/IEC27014:2013《》。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中電長城網際系統應用有限公司中國信息安全測評中心中國電子技術標準化

:、、

研究院中國信息安全研究院有限公司

、。

本標準主要起草人閔京華張曉菲上官曉麗許玉娜李斌羅鋒盈王惠蒞左曉棟周亞超

:、、、、、、、、、

劉恒張興李剛陳洪波張春明張勁劉作康王琰王新杰

、、、、、、、、。

Ⅲ

GB/T32923—2016/ISO/IEC270142013

:

引言

本標準提供關于信息安全治理的指南

。

信息安全已成為組織的關鍵問題不僅法規要求日益增加而且組織的信息安全措施失效會直接

。,

影響其聲譽

。

因此組織治理者越來越需要承擔起治理責任中的信息安全監督職責以確保組織目標的實現

,,。

此外在組織的治理者執行管理者和負責實現與運行信息安全管理體系人員之間信息安全治理

,、,

提供了強有力的紐帶

。

信息安全治理為在整個組織內推動信息安全行動倡議提供了必不可少的基礎

。

再者信息安全的有效治理確保治理者收到在業務語境下形成的信息安全相關活動的報告從而能

,,

夠對信息安全問題作出恰當和及時的決策來支持組織的戰略目標

。

Ⅳ

GB/T32923—2016/ISO/IEC270142013

:

信息技術安全技術信息安全治理

1范圍

本標準就信息安全治理的概念和原則提供指南通過本標準組織可以對其范圍內的信息安全相關

,,

活動進行評價指導監視和溝通

、、。

本標準適用于所有類型和規模的組織

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系概述和詞匯

GB/T29246—2012(ISO/IEC27000:

2009,IDT)

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T29246—2012。

31

.

執行管理者executivemanagement

為達成組織意圖承擔由組織治理者委派的戰略和策略實現責任的個人或一組人

,。

注1執行管理者構成最高管理層的一部分為明晰角色本標準在最高管理層內區分兩組人員治理者和執行管

:。,:

理者

。

注2執行管理者可包括首席執行官行政總裁政府機構領導首席財務官財務總監首席運營官

:/(CEO)、、/(CFO)、/

運營總監首席信息官信息總監首席信息安全官信息安全總監和類似的角色

(COO)、/(CIO)、/(CISO)。

32

.

治理者governingbody

對組織的績效和合規負有責任的個人或一組人

。

注治理者構成最高管理層的一部分