《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)是2017年3月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)就信息安全治理的概念和原則提供指南;信息安全治理在組織的治理者、執行管理者和那些負責實現與運行信息安全管理體系者之間提供了紐帶。信息安全治理需要使信息安全目的和戰略與業務目的和戰略一致,並要求符合法律、法規、規章和契約。它宜通過風險管理途徑被評估、分析和實現,並得到內部控制系統的支持,標準適用於所有類型和規模的組織。
基本介紹
- 中文名:信息技術—安全技術—信息安全治理
- 外文名:Information technology—Security techniques—Governance of information security
- 標準號:GB/T 32923-2016
- 發布日期:2016-08-29
- 實施日期:2017-03-01
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準計畫
2014年11月19日,國家標準計畫《信息技術—安全技術—信息安全治理》(20141162-T-469)下達,項目周期12個月,由TC260(全國信息安全標準化技術委員會)提出,並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2016年8月29日,國家標準《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)由中華人民共和國國家質量監督檢驗檢疫總局和中華人民共和國國家標準化管理委員會發布。
2017年3月1日,國家標準《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)實施。
制定依據
國家標準《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)給出的規則起草。
起草工作
主要起草單位:中電長城網際系統套用有限公司、中國信息安全測評中心、中國電子技術標準化研究院、中國信息安全研究院有限公司。
主要起草人:閔京華、張曉菲、上官曉麗、許玉娜、李斌、羅鋒盈、王惠蒞、左曉棟、周亞超、劉恆、張興、李剛、陳洪波、張春明、張勁、劉作康、王琰。
標準目次
目次 | Ⅰ |
|---|---|
前言 | Ⅱ |
引言 | Ⅲ |
1 範圍 | 1 |
2 規範性引用檔案 | 1 |
3 術語和定義 | 1 |
3.1 執行管理者 executive management | 1 |
3.2 治理者 governing body | 1 |
3.3 信息安全治理 governance of informationsecurity | 1 |
3.4 利益相關者 stakeholder | 1 |
4 概念 | 2 |
4.1 總則 | 2 |
4.2 目的 | 2 |
4.3 期望成果 | 2 |
4.4 關係 | 2 |
5 原則和過程 | 3 |
5.1 概述 | 3 |
5.2 原則 | 3 |
5.3 過程 | 4 |
附錄A(資料性附錄) 信息安全狀態示例 | 7 |
附錄B(資料性附錄) 詳細的信息安全狀態示例 | 8 |
參考文獻 | 9 |
參考資料:
內容範圍
國家標準《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)就信息安全治理的概念和原則提供指南,通過這一指南,組織可以對其範圍內的信息安全相關活動進行評價、指導、監視和溝通。信息安全治理在組織的治理者、執行管理者和那些負責實現與運行信息安全管理體系者之間提供了紐帶。信息安全治理需要使信息安全目的和戰略與業務目的和戰略一致,並要求符合法律、法規、規章和契約。它宜通過風險管理途徑被評估、分析和實現,並得到內部控制系統的支持,標準適用於所有類型和規模的組織。
引用檔案
GB/T 22081-2008 信息技術—安全技術—信息安全管理實用規則 GB/T 29246-2012 信息技術—安全技術—信息安全管理體系—概述和辭彙 GB/T 22080-2008 信息技術—安全技術—信息安全管理體系—要求 |
參考資料:
意義價值
國家標準《信息技術—安全技術—信息安全治理》(GB/T 32923-2016)對信息安全管理體系(以下簡稱“ISMS”)審核和認證的機構規定了要求並提供了指南,以作為對ISO/IEC17021和ISO/IEC27001中相關要求的補充。該標準的主要目的是為實施ISMS認證的認證機構的認可提供支持(該標準的主要目的是為ISMS認證機構的認可提供支持)。任何提供ISMS認證的機構需要在能力和可靠性方面證實其滿足該標準的要求。該標準的指南為這些要求提供了進一步的解釋。
