17.2 投資和預算管理（MIB_IBM）

17.2.1　安全保障管理目的

組織機構最高管理層應確保信息安全保障建設和運行維護所需的投資和資源的分配，并對這個過程進行審核和監督管理。

17.2.2　MIB_IBM.1 信息保障項目預算

17.2.2.1　管理保障控制組件控制

組織機構在規劃設計和預算的文件中應當建立一系列關于信息安全保障的項目列表。

17.2.2.2　管理保障控制組件注解

組織機構應提供安全要求或安全規范，使其符合信息系統風險評估的要求并在合同中進行明確或作為參考。

17.2.3　MIB_IBM.2 信息安全運行維護預算

17.2.3.1　管理保障控制組件控制

決策層和管理層應實現預算流程以確保建立年度的信息安全運行維護預算并且確保這些預算同其信息安全的短期和長期規劃相匹配。

17.2.3.2　管理保障控制組件注解

無

17.2.4　MIB_IBM.3 費用和收益監控和調整

17.2.4.1　管理保障控制組件控制

決策層和管理層應建立費用監控流程并將其同年度預算相緊密結合。另外，也應確定和報告由于信息安全保障體系所帶來的可能的收益。對于費用監控的來源應基于機構的財務系統，同時其財務系統也應定期記錄、處理和報告同信息安全活動相關的費用。
信息安全功能的費用調整應同業務發展相協調，因此需要確保相應的管理控制的存在。另外，同樣也需要分析由信息技術活動所帶來的收益。

17.2.4.2　管理保障控制組件注解

無