5.2 原則

5.2 原則

滿足利益相關者的需要，并為他們中的每一位帶來價值，從長遠來看是信息安全取得成功不可或缺的。為達成使信息安全與業務目標緊密一致的治理目標并為利益相關者帶來價值，本條目提出六項行動原則。

這些原則為信息安全治理過程的實現提供了一個良好基礎。每個原則的陳述只提及宜做什么，但不描述如何、何時或由誰實現這些原則，因為這些方面依賴于實現這些原則的組織性質。治理者宜要求應用這些原則，并委派專人且給予責任、問責和權利來落實它們。

原則1：建立組織范圍的信息安全

信息安全治理宜確保信息安全活動是全面的和集成的。宜在組織層面的決策中處理信息安全，其中要考慮到業務、信息安全和所有其他相關方面。宜密切協調涉及物理和邏輯安全的活動。

為建立組織范圍的安全，宜橫跨組織活動的全部范圍建立信息安全的責任制和問責制。這經常超出組織通常被認為的“邊界”，例如，被外部方存儲或傳送的信息。

原則2：采用基于風險的方法

信息安全治理宜建立在基于風險的決策基礎上。決定可接受的安全程度，宜建立在組織對風險承受的基礎之上，包括競爭優勢的喪失、違規和未盡義務的風險、日常業務中斷、聲譽受損和經濟損失。

就采納適合組織的信息風險管理，宜與組織的整體風險管理方法一致并集成在其中。信息安全的可接受級別宜基于組織對風險的承受來定義，包括競爭優勢的喪失、違規和未盡義務的風險、日常業務中斷、聲譽受損和經濟損失。實現信息風險管理的適當資源宜由治理者來分配。

原則3：確定投資決策的方向

信息安全治理宜建立基于業務產出的信息安全投資戰略，使得業務和信息安全要求之間無論短期還是長期都是相稱的，從而滿足利益相關者當前和不斷變化的需要。

為優化信息安全投資來支持組織目標，治理者宜確保信息安全被集成在資本和運營支出、法律法規符合以及風險報告的現有組織過程中。

原則4：確保符合內部和外部的要求

信息安全治理宜確保信息安全策略和實踐符合相關的強制性法律、法規和規章，以及承諾的業務或合同要求和其他的外部或內部要求。

為解決一致性和合規性問題，治理者宜通過委托獨立的安全審核獲得對信息安全活動令人滿意地達到內部和外部要求的保障。

原則5：營造安全良好的環境

信息安全治理宜建立在人的行為之上，包括所有利益相關者不斷變化的需要，因為人的行為是支撐信息安全適當級別的基本要素之一。如果沒有充分的協調，目標、角色、責任和資源可能相互沖突，導致未能達到業務目標。因此，各種利益相關者之間的協調和方向一致非常重要。

為建立良好的信息安全文化，治理者宜要求、促進和支持利益相關者活動的協調，以實現連貫一致的信息安全方向。這將支持開展安全教育、培訓和宣傳。

原則6：評審業務產出相關績效

在約定的信息安全級別下，信息安全治理宜確保保護信息所采用的方法適合支持組織的意圖。安全績效宜被維持在滿足當前和未來業務需求所需要的級別上。

為從治理角度評審信息安全績效，治理者宜評價信息安全在業務影響方面的績效，而不僅僅是安全控制措施的效率和效果。這可以通過授權執行一個監督、審核和改進的績效測量程序來做到，從而將信息安全績效關聯到業務績效。