Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27014:2020(2022 年确认)— 信息安全管理 — 信息安全治理
董事会层面的信息安全战略治理框架
一、信息安全治理框架
ISO/IEC 27014:2020(2022 年确认)建立了信息安全治理框架,弥合了高层领导与运营安全管理之间的差距。与侧重于具体控制措施和技术实施的运营安全标准不同,ISO/IEC 27014 涉及信息安全治理的战略层面:董事会、高管层和治理机构应如何行使监督、建立问责制并就组织的信息安全状况做出明智决策。该标准提供了一种通用语言和概念模型,使业务领导者能够就战略风险和投资与安全专业人员进行有意义的互动。
有效的信息安全治理要求将安全视为董事会层面的关切,而不仅仅是 IT 运营问题。ISO/IEC 27014 提供了将安全讨论提升到战略层面的框架。
2020 版反映了重大数据泄露事件和监管发展(包括欧盟通用数据保护条例 GDPR)之后公司治理期望的演变,以及针对董事会决策的勒索软件日益盛行,和网络风险作为需要向投资者和监管机构披露的重大财务风险的日益增长的认知。该标准与 ISO 高层结构保持一致,并与 ISO/IEC 27001 整合,同时将其范围扩展到涵盖组织最高决策机构的治理职责。
二、关键治理流程
ISO/IEC 27014 定义了六个治理流程,分为三个治理领域:评估、指导和监控。评估流程侧重于评估信息安全的当前和未来状态,与业务战略、法律和监管义务以及利益相关者期望相关。指导流程包括制定安全策略、分配职责和做出资源分配决策,将战略方向转化为运营现实。监控流程跟踪信息安全战略的绩效、ISMS 的有效性和整体治理合规态势。
| 治理流程 | 描述 | 关键输出 | 负责机构 |
|---|---|---|---|
| 评估 — 安全战略 | 针对业务目标和威胁态势评估当前安全状况;确定战略安全优先级 | 安全战略文件、风险偏好声明、战略威胁评估 | 董事会/执行委员会 |
| 评估 — 风险评估 | 审查企业级信息安全风险,考虑业务战略、法律义务和利益相关者关切 | 企业风险登记册、风险处理计划、残余风险接受 | 董事会风险委员会/CISO |
| 指导 — 政策与资源 | 制定安全策略、分配治理角色、批准安全预算和资源分配 | 信息安全策略、RACI 矩阵、安全预算分配 | 高管层/安全指导委员会 |
| 指导 — 沟通 | 确保利益相关者理解安全目标、自身职责和治理框架 | 安全意识计划、治理沟通计划、报告模板 | CISO/人力资源/内部沟通 |
| 监控 — 绩效 | 跟踪关键安全绩效指标、监控威胁态势演变、审查事件趋势 | 安全仪表板、KPI 报告、趋势分析、基准测试结果 | 安全指导委员会/CISO |
| 监控 — 合规与审计 | 通过独立保证验证安全策略、法律义务和治理承诺的合规性 | 审计报告、合规声明、保证意见、管理层行动计划 | 内部审计/合规/外部审计师 |
一个常见的治理失败在于缺乏重大安全风险的明确升级路径。治理流程必须定义阈值、触发器和时间框架,以便将问题从运营管理层升级到董事会层面。
三、使安全治理与公司治理保持一致
该标准强调信息安全治理不能脱离组织的整体公司治理框架独立运行。ISO/IEC 27014 提供了将安全治理与现有治理结构(包括审计委员会、风险委员会和战略规划流程)整合的指南。这种整合确保安全考量嵌入到重大业务决策中,如并购、数字化转型、新产品开发和市场拓展战略。
实际整合机制包括将安全风险纳入企业风险管理框架、将安全绩效纳入高管薪酬计分卡、建立董事会级网络安全委员会或将网络安全监督职责分配给现有委员会,以及确保安全报告使用的语言和指标能够与非技术背景的董事会成员产生共鸣。该标准还涉及第三方安全风险、合资企业和供应链安全的治理,认识到现代组织的安全态势越来越依赖于外部合作伙伴和服务提供商。ISO/IEC 27014 建议治理机构每年进行信息安全治理框架评审,在发生重大安全事件或重大组织变革时应更频繁地触发评审。
具有成熟安全治理框架并与 ISO/IEC 27014 对齐的组织,能够在安全投资上获得更好的风险调整回报,从安全事件中恢复更快,并在利益相关者中建立更强的韧性信心。
常见问题
问:ISO/IEC 27014 与 ISO/IEC 27001 有什么区别?
答:ISO/IEC 27001 规定了信息安全管理体系(ISMS)的要求——用于管理安全的运营系统。ISO/IEC 27014 涉及治理——董事会和高管层监督、指导和监控 ISMS 及整体安全计划的框架。
答:ISO/IEC 27001 规定了信息安全管理体系(ISMS)的要求——用于管理安全的运营系统。ISO/IEC 27014 涉及治理——董事会和高管层监督、指导和监控 ISMS 及整体安全计划的框架。
问:没有正式董事会结构的小型组织能否实施 ISO/IEC 27014?
答:可以。其原则是可扩展的。在小型组织中,治理角色可由所有者或总经理履行。关键是治理流程(评估、指导、监控)在最高决策层面得到实施,无论该层面采取什么形式。
答:可以。其原则是可扩展的。在小型组织中,治理角色可由所有者或总经理履行。关键是治理流程(评估、指导、监控)在最高决策层面得到实施,无论该层面采取什么形式。
问:ISO/IEC 27014 如何处理人工智能和云计算等新兴技术?
答:虽然该标准本身与技术无关,但其治理框架旨在容纳新兴风险。评估流程要求持续评估威胁态势,自然将涵盖 AI 安全风险、云治理挑战和其他技术驱动的安全考量。
答:虽然该标准本身与技术无关,但其治理框架旨在容纳新兴风险。评估流程要求持续评估威胁态势,自然将涵盖 AI 安全风险、云治理挑战和其他技术驱动的安全考量。
问:ISO/IEC 27014 可以用于认证吗?
答:可以。ISO/IEC 27014 可作为审计信息安全治理的基础。然而,针对该标准的认证不如 ISO/IEC 27001 认证普遍。许多组织将此标准用作内部治理改进的基准,而不是寻求正式认证。
答:可以。ISO/IEC 27014 可作为审计信息安全治理的基础。然而,针对该标准的认证不如 ISO/IEC 27001 认证普遍。许多组织将此标准用作内部治理改进的基准,而不是寻求正式认证。
