术语解读：GB/T 32923-2016 信息安全治理

GB/T 32923-2016/ISO/IEC 27014：2013 信息技术 安全技术 信息安全治理

Information technology – Security techniques – Governance of information security(ISO/IEC 27014:2013,IDT)

主要内容

1. 适用范围：适用于所有类型和规模的组织，帮助其对范围内的信息安全相关活动进行评价、指导、监视和沟通。
2. 术语和定义：对信息安全治理相关的术语进行了明确的定义，如 “信息安全”“治理”“利益相关者” 等，为理解和实施标准提供了基础的概念框架。
3. 信息安全治理原则：
   • 领导力与承诺：强调组织的领导者应在信息安全治理中发挥积极的领导作用，对信息安全做出明确的承诺，为信息安全治理提供必要的资源和支持。
   • 战略一致性：信息安全治理应与组织的战略目标相一致，确保信息安全策略和措施能够支持组织战略的实现。
   • 风险评估与管理：要求组织对信息安全风险进行定期的评估和管理，识别潜在的安全威胁和脆弱性，采取相应的风险控制措施，将风险控制在可接受的水平。
   • 绩效评估与监督：建立信息安全绩效评估指标体系，对信息安全治理的效果进行定期的评估和监督，及时发现问题并采取改进措施。
   • 透明度与沟通：信息安全治理过程应保持透明度，组织内部各部门之间以及组织与外部利益相关者之间应进行有效的沟通，确保信息的及时传递和共享。
4. 信息安全治理框架：提出了一个信息安全治理的框架模型，包括治理目标、治理主体、治理机制和治理过程等要素。组织可以根据这个框架模型，建立适合自身的信息安全治理体系。
5. 治理过程：详细描述了信息安全治理的各个过程，包括规划、实施、监控和改进等。在规划阶段，组织应制定信息安全策略和目标；在实施阶段，应落实信息安全措施和控制；在监控阶段，应对信息安全绩效进行监测和评估；在改进阶段，应根据评估结果采取相应的改进措施，不断提高信息安全治理水平。
6. 治理主体与职责：明确了信息安全治理的主体及其职责，包括组织的高层管理者、信息安全管理部门、业务部门和员工等。各主体应在信息安全治理中承担相应的职责，共同推动信息安全治理工作的开展。

术语和定义

1 执行管理者 executive management

为达成组织意图，承担由组织治理者委派的战略和策略实现责任的个人或一组人。

注 1：执行管理者构成最高管理层的一部分。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

注 2：执行管理者可包括首席执行官/行政总裁(CEO)、政府机构领导、首席财务官/财务总监(CFO)、首席运营官/运营总监(COO)、首席信息官/信息总监(CIO)、首席信息安全官/信息安全总监(CISO)和类似的角色。

2 治理者 governing body

对组织的绩效和合规负有责任的个人或一组人。

注：治理者构成最高管理层的一部分。为明晰角色，本标准在最高管理层内区分两组人员：治理者和执行管理者。

3 信息安全治理 governance of information security

指导和控制组织信息安全活动的体系。

4 利益相关者 stakeholder

对于组织活动能够产生影响、受到影响或感觉受到影响的任何个人或组织。

注：决策者可以是利益相关者。

总之，GB/T 32923-2016 为组织开展信息安全治理提供了全面的指导和规范，有助于组织建立有效的信息安全治理体系，提高信息安全管理水平，保护组织的信息资产安全。