5.3 過程

5.3 過程

5.3.1　概述

治理者執行“評價”、“指導”、“監督”和“溝通”過程來治理信息安全。另外，“保障”過程提供關于信息安全治理和其所達到級別的獨立和客觀的意見。圖2示出了這些過程的關系。

5.3.2　評價

“評價”這一治理過程是基于當前的過程和計劃的變更，考慮到當前和預期要達到的安全目標，確定最能有效達成未來戰略目標所需要的任何調整。

• 確保業務新計劃考慮到了信息安全問題；
• 響應信息安全績效結果，優化并啟動所需要的行動。
  
• 確保信息安全充分支持和維持業務目標；
• 向治理者提交有顯著影響的新的信息安全項目。

  5.3.3　指導

治理者通過“指導”這一治理過程為需要實現的信息安全目標和戰略指明方向，可包括資源配置級別的變更、資源的分配、活動的優先級，以及策略、重大風險接受和風險管理計劃的批準。

• 確定組織對風險的承受；
• 批準信息安全戰略和策略；
• 分配足夠的投資和資源。
  
• 制定和實現信息安全戰略和策略；
• 使信息安全目標與業務目標一致；
• 促進良好的信息安全文化。

  5.3.4　監督

“監督”這一治理過程使治理者能夠評估戰略目標的實現。

• 評估信息安全管理活動的效果；
• 確保符合內部和外部的要求；
• 考慮不斷變化的業務、法律、法規和規章環境及其對信息風險的潛在影響。
  
• 從業務角度選擇適當的績效測度；
• 向治理者反饋信息安全績效結果，包括之前由治理者所確定的行動的績效及其對組織的影響；
• 向治理者預警影響信息風險和信息安全的新的發展狀況。

  5.3.5　溝通

治理者和利益相關者通過“溝通”這一雙向的治理過程交換適合他們特定需要的關于信息安全的信息。
“溝通”的方法之一是向利益相關者提供解釋信息安全活動和問題的信息安全狀態，附錄A和B給出了例子。

• 向外部利益相關者報告組織在實行與其業務性質相稱的信息安全級別；
• 通知執行管理者任何發現信息安全問題并要求采取糾正措施的外部評審結果；
• 識別信息安全相關的監管義務、利益相關者期望和業務需要。
  
• 向治理者建議任何需要其注意，還可能需要決策的事項；
• 在采取支持治理者指示和決定的具體行動上指導有關的利益相關方。

  5.3.6　保障

治理者通過“保障”這一治理過程以委托方式開展獨立和客觀的審核、評審或認證，以此識別和確認與治理活動開展和操作運行相關的目標和行動，以便獲得信息安全的期望水平。

• 通過委托獲得對其履行信息安全期望水平責任的獨立和客觀的意見。
  
• 支持由治理者委托的審核、評審或認證。