16.1 信息安全規劃管理策略和流程（MIP_PPP）

信息安全建設是信息化的有機組成部分，必須與信息化同步規劃、同步建設。應在信息系統生命周期的第一個階段計劃組織階段綜合考慮信息安全的規劃并將其作為信息系統規劃的有機組成部分。

圖14描述了信息安全規劃管理管理保障控制類的組成結構。

16.1.1　安全保障管理目的

組織機構應建立完善的信息安全規劃管理體系，以規劃和指導組織機構的信息安全保障工作。
信息安全規劃管理策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核信息安全規劃工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。
信息安全規劃應基于組織機構的業務要求和風險管理的要求，它包括組織機構對信息技術的戰略計劃和體系結構的規劃和管理、組織機構的信息安全保障計劃。

16.1.2　MIP_PPP.1信息安全規劃管理策略和流程

16.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的信息安全規劃策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施信息安全規劃策略和相關的信息安全規劃控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

16.1.2.2　管理保障控制組件注解

信息安全規劃策略應作為組織機構信息安全策略體系的一個有機組成部分。組織機構在建立其信息安全整體規劃后，可根據業務要求和風險管理要求，為某個特定的信息系統或信息系統的一部分建立信息安全的規劃。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，應參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。
組織機構在管理信息安全規劃，應考慮以下內容：
a) 信息安全規劃的策略和流程，應符合組織機構的信息安全策略體系的總體要求；
b) 在實施信息安全規劃時，組織機構可采取統一規劃、分步實施的原則；
c) 組織機構應定期或當發生重大變更時，對信息安全規劃進行審核和修改，信息安全規劃的修改應嚴格遵守組織機構的相關流程并得到組織機構管理層的批準。