17.1 投資和預算管理策略和流程（MIB_PPP）

17　MIB管理保障控制類：投資和預算管理

17.1　投資和預算管理策略和流程（MIB_PPP）

17.1.1　安全保障管理目的

組織機構管理層應對信息安全保障建設和運行維護所需的投資進行預算，并對這個過程進行審核和監督管理，確保信息安全保障工作所需的投資和資源。
投資和預算管理策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核信息安全規劃工作的策略方針、制度規范與程序指南以及第三層表單和程序文件。
投資和預算管理應基于組織機構的業務要求和風險管理的要求，它包括對相關法律法規、政策標準等要求以及組織機構所制定的信息安全策略體系的符合性管理。

17.1.2　MIB_PPP.1 信息安全保障投資和預算管理策略和流程

17.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的信息安全保障投資和預算管理策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施信息安全保障投資和預算管理策略和相關的符合性管理控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全保障投資和預算管理與運行的過程實施步驟、內容、結果。

17.1.2.2　管理保障控制組件注解

投資和預算管理策略和流程應符合國家的法律、指令、策略、規范、標準和指南。投資和預算管理策略應包含作為組織機構整個信息安全策略的一部分。可根據需要，為信息安全規程整體或為某個特定系統來編制投資和預算規劃流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，應參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。