國(guó)家標(biāo)準(zhǔn)《信息技術(shù)　安全技術(shù)　信息安全治理》（征求意見稿）編制說(shuō)明

PAGE5PAGE任務(wù)來(lái)源根據(jù)工業(yè)和信息化部信息安全協(xié)調(diào)司2013年下達(dá)的《關(guān)于委托開展信息安全標(biāo)準(zhǔn)制修訂專項(xiàng)工作的函》（工信協(xié)函[2013]112號(hào)），由中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司牽頭，中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)信息安全研究院等單位參與，編制國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全治理》(國(guó)標(biāo)計(jì)劃號(hào)：20141162-T-469)。任務(wù)背景信息安全已成為組織的關(guān)鍵問題。不僅是增加的法律法規(guī)要求，還有組織信息安全措施的失效可能對(duì)組織的業(yè)務(wù)和聲譽(yù)產(chǎn)生直接影響。因此，治理者，作為其治理責(zé)任之一，日益被要求監(jiān)督信息安全，以確保組織目標(biāo)的實(shí)現(xiàn)。另外，信息安全治理在組織的治理者、執(zhí)行管理者和那些負(fù)責(zé)實(shí)施與運(yùn)行信息安全管理體系者之間提供了強(qiáng)有力的紐帶，為在整個(gè)組織內(nèi)推動(dòng)信息安全倡議提供必不可少的基礎(chǔ)。此外，信息安全的有效治理確保組織治理者收到業(yè)務(wù)語(yǔ)境的框架下關(guān)于信息安全相關(guān)活動(dòng)的有關(guān)報(bào)告，從而能夠?qū)π畔踩珕栴}作出恰當(dāng)和及時(shí)的決策來(lái)支持組織的戰(zhàn)略目標(biāo)。國(guó)際信息安全標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27自2008年10月立項(xiàng)ISO/IEC27014|ITU-TX.1054Informationtechnology—Securitytechniques—Governanceofinformationsecurity《信息技術(shù)—安全技術(shù)—信息安全治理》國(guó)際標(biāo)準(zhǔn)編制，歷經(jīng)四年半，于2013年5月15日正式發(fā)布?！缎畔⒓夹g(shù)安全技術(shù)信息安全治理》是國(guó)際信息安全管理體系（ISMS）標(biāo)準(zhǔn)族（即ISO/IEC27000系列標(biāo)準(zhǔn)）中的標(biāo)準(zhǔn)之一。國(guó)際信息安全標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27WG1專門負(fù)責(zé)ISMS標(biāo)準(zhǔn)族的研究和制定。ISMS標(biāo)準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實(shí)踐價(jià)值的標(biāo)準(zhǔn)，被廣泛用于不同國(guó)家、不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導(dǎo)。截至目前，我國(guó)在持續(xù)跟蹤研究該系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)以等同采用方式轉(zhuǎn)化了ISMS中的七項(xiàng)標(biāo)準(zhǔn)為國(guó)家標(biāo)準(zhǔn)，分別是：ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系—要求》（轉(zhuǎn)標(biāo)為GB/T22080:2008）、ISO/IEC27002:2005《信息技術(shù)—安全技術(shù)—信息安全管理使用規(guī)則》（轉(zhuǎn)標(biāo)為GB/T22081:2008）、ISO/IEC27006:2007《信息技術(shù)—安全技術(shù)—信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可要求》（轉(zhuǎn)標(biāo)為GB/T25067-2010）、ISO/IEC27000:2009《信息技術(shù)—安全技術(shù)—信息安全管理體系—概述和詞匯》（轉(zhuǎn)標(biāo)為GB/T29246-2012）、ISO/IEC27003:2010《信息技術(shù)—安全技術(shù)—信息安全管理體系實(shí)施指南》（轉(zhuǎn)標(biāo)工作已進(jìn)入報(bào)批階段）、ISO/IEC27004:2009《信息技術(shù)—安全技術(shù)—信息安全管理—測(cè)量》（轉(zhuǎn)標(biāo)工作已進(jìn)入報(bào)批階段）和ISO/IEC27005:2008《信息技術(shù)—安全技術(shù)—信息安全風(fēng)險(xiǎn)管理》（轉(zhuǎn)標(biāo)工作已進(jìn)入報(bào)批階段）。編制原則等同采用：基于目前國(guó)內(nèi)對(duì)國(guó)際ISMS標(biāo)準(zhǔn)族相關(guān)標(biāo)準(zhǔn)的研究和轉(zhuǎn)化情況，以及我國(guó)整體信息安全管理理論和技術(shù)發(fā)展現(xiàn)狀，決定等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)—信息安全治理》。準(zhǔn)確理解：在充分理解國(guó)際標(biāo)準(zhǔn)原文的基礎(chǔ)上進(jìn)行等同翻譯，做到準(zhǔn)確表達(dá)原意。語(yǔ)言通暢：在等同翻譯時(shí)，盡量符合中文的語(yǔ)言習(xí)慣，做到表述通暢。主要工作過(guò)程1、2013年10月15日，工業(yè)和信息化部信息安全協(xié)調(diào)司正式下達(dá)由中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司（以下簡(jiǎn)稱“長(zhǎng)城網(wǎng)際”）牽頭編制國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)信息安全治理》的任務(wù)，參見《關(guān)于委托開展信息安全標(biāo)準(zhǔn)制修訂專項(xiàng)工作的函》（工信協(xié)函[2013]112號(hào)）及其附件《信息安全標(biāo)準(zhǔn)制修訂專項(xiàng)資金分配及任務(wù)表》。2、2014年1月，長(zhǎng)城網(wǎng)際與全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處正式簽訂《信息技術(shù)安全技術(shù)信息安全治理》國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目任務(wù)。與此同時(shí)，由項(xiàng)目牽頭單位和參與單位共同組成的標(biāo)準(zhǔn)編制組正式成立并啟動(dòng)工作。3、2014年1月至4月，收集和研究信息安全治理相關(guān)國(guó)內(nèi)外資料，翻譯國(guó)際標(biāo)準(zhǔn)ISO/IEC27014:2013。4、2014年5月16日，完成《信息技術(shù)安全技術(shù)信息安全治理》國(guó)家標(biāo)準(zhǔn)草案初稿及其編制說(shuō)明，在標(biāo)準(zhǔn)編制組內(nèi)征求意見。5、2014年6月10日，完成根據(jù)標(biāo)準(zhǔn)編寫組內(nèi)的反饋意見修改《信息技術(shù)安全技術(shù)信息安全治理》國(guó)家標(biāo)準(zhǔn)草案，填寫意見匯總處理表，并提交至全國(guó)信安標(biāo)委“信息安全標(biāo)準(zhǔn)項(xiàng)目管理與服務(wù)平臺(tái)”（）。6、2014年6月16日，在北京應(yīng)物會(huì)議中心A座第四會(huì)議室召開了《信息技術(shù)安全技術(shù)信息安全治理》國(guó)家標(biāo)準(zhǔn)草案專家意見征求會(huì)。7、2014年9月23日，完成根據(jù)專家意見征求會(huì)上的專家意見修改《信息安全治理》國(guó)家標(biāo)準(zhǔn)草案，填寫意見匯總處理表，更新編制說(shuō)明，并在標(biāo)準(zhǔn)編制組內(nèi)征求意見。8、2014年11月5日，在北京應(yīng)物會(huì)議中心A座第四會(huì)議室召開了《信息技術(shù)安全技術(shù)信息安全治理》國(guó)家標(biāo)準(zhǔn)草案專家審查會(huì)。9、2014年11月12日，完成根據(jù)專家審查會(huì)上的專家意見修改《信息安全治理》國(guó)家標(biāo)準(zhǔn)草案，形成征求意見稿（v1.0），填寫意見匯總處理表，更新編制說(shuō)明，并在標(biāo)準(zhǔn)編制組內(nèi)征求意見。10、2104年11月22日，完成標(biāo)準(zhǔn)編制組內(nèi)征求意見，形成《信息安全治理》國(guó)家標(biāo)準(zhǔn)征求意見稿（v1.1），并提交至全國(guó)信安標(biāo)委秘書處。11、2014年12月30日，完成WG4組內(nèi)成員單位投票表決中反饋意見的處理，將《信息安全治理》國(guó)家標(biāo)準(zhǔn)征求意見稿（v1.1）、更新的意見匯總處理表和更新的編制說(shuō)明，提交至全國(guó)信安標(biāo)委秘書處。主要內(nèi)容該標(biāo)準(zhǔn)就信息安全治理的概念和原則提供指南，通過(guò)這一指南，組織可以對(duì)其范圍內(nèi)的信息安全相關(guān)活動(dòng)進(jìn)行評(píng)價(jià)、指導(dǎo)、監(jiān)督和溝通，適用于所有類型和規(guī)模的組織。該標(biāo)準(zhǔn)定義了信息安全治理、治理者、執(zhí)行管理者和相關(guān)利益者的概念，設(shè)立了信息安全治理的目標(biāo)，列出了實(shí)施信息安全治理的期望成果，給出了信息安全治理與組織其他方面治理（如信息技術(shù)治理和結(jié)構(gòu)治理）的關(guān)系。該標(biāo)準(zhǔn)提出了信息安全治理的六項(xiàng)原則，即：原則1：建立組織范圍的信息安全原則2：采用基于風(fēng)險(xiǎn)的方法原則3：確定投資決策的方向原則4：確保符合內(nèi)部和外部要求原則5：營(yíng)造安全良好的環(huán)境原則6：關(guān)聯(lián)業(yè)務(wù)產(chǎn)出來(lái)評(píng)審績(jī)效該標(biāo)準(zhǔn)提出了信息安全治理的五大過(guò)程，即：“評(píng)價(jià)”、“指導(dǎo)”、“監(jiān)督”、“溝通”和“保證”，并給出了治理者和執(zhí)行管理者在這些過(guò)程中的職責(zé)。最后，該標(biāo)準(zhǔn)在附錄中給出了作為“溝通”方法之一的信息安全狀態(tài)的示例。主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果該標(biāo)準(zhǔn)是一種方法指南，用于指導(dǎo)組織內(nèi)的信息安全治理，旨在通過(guò)信息安全治理在組織范圍內(nèi)，使信息安全目標(biāo)和戰(zhàn)略與業(yè)務(wù)目標(biāo)和戰(zhàn)略一致（即戰(zhàn)略一致），為治理者和利益相關(guān)者帶來(lái)價(jià)值（即價(jià)值交付），確保信息風(fēng)險(xiǎn)得到充分解決（即責(zé)任承擔(dān)）。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況該標(biāo)準(zhǔn)等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)—信息安全治理》。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系該標(biāo)準(zhǔn)符合我國(guó)現(xiàn)行的法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)。另外，該標(biāo)準(zhǔn)與現(xiàn)有推薦性國(guó)家標(biāo)準(zhǔn)GB/T22080:2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、GB/T22081:2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》、GB/T25067:2010《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》、GB/T29246-2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》、GB/TXXXXX-XXXX《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》（報(bào)批中）、GB/TYYYYY-YYYYY《信息技術(shù)安全技術(shù)信息安全管理測(cè)量》（報(bào)批中）和GB/TZZZZZ-ZZZZ《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（報(bào)批中）均屬于信息安全管理體系（ISMS）標(biāo)準(zhǔn)族中的標(biāo)準(zhǔn)。重大分歧意見的處理經(jīng)過(guò)和依據(jù)尚無(wú)。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議該標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容）該標(biāo)準(zhǔn)的宣貫和應(yīng)用應(yīng)重點(diǎn)放在負(fù)責(zé)組織治理的決策層，并且與信息安全管理體系（ISMS）的其他標(biāo)準(zhǔn)以體系化的方法集成實(shí)施。其他事項(xiàng)說(shuō)明在翻譯國(guó)際標(biāo)準(zhǔn)ISO/IEC27014:2013《信息技術(shù)—安全技術(shù)