一般而言，治理是负责企业的人行使的一系列责任和实践（例如，公司的董事会和董事会，代理机构负责人的董事会），其目标是提供战略方向，确保目标是
实现的，确定风险适当地管理，并验证企业的资源负责任地使用.4风险和资源可以与不同的域（例如，信息技术或IT，金融，法律和法规合规，信息安全）和不同的域相关联需要专门的专业知识来管理风险。因此，
企业治理经常由域名组织

 

网络安全治理是指企业治理的成分，以解决企业对对手的依赖的依赖.6网络安全治理，因此包括信息系统安全治理;信息系统是否可以通过信息安全治理识别信息系统安全治理取决于
当企业限制信息安全性时，虽然信息安全治理的各个方面可以解决网络空间之外的信息，但是非网络和网络领域之间的信息流程如此普遍，这通常是如此
对于网络安全治理的优选涵盖信息安全治理。

 

笔记： //www.mitre.org/sites/default/files/pdf/10_3710.pdf

 

 

 

合规性 分层网络安全治理框架™ （HCGF）对能够展示尽职调查和适当照顾的证据的关键是必要的文档组成部分。该框架解决了政策，控制目标，标准，准则，控制，风险，程序的互连性& metrics. The 安全控件框架（SCF） 通过提供必要的网络安全和隐私控制来符合此模型，控制组织需要实施以保持安全和符合要求。

 

这 合规 综合网络安全型号™ （ICGM） 全面了解控制网络安全和隐私计划。没有更广泛的行动概念 治理，风险&符合性（GRC）/综合风险管理（IRM）  功能，组织往往会发现他们的治理，风险，合规和隐私团队都坐在他们的思考和运作中。这些淤泥功能和不明确的角色通常源于对这些特定职能如何聚集在一起的战略解，以建立能够对人，流程和技术的质量控制的各个团队之间建立共生的工作关系。

 

ICGM利用了一个 计划，做，检查& Act (PCDA) 方法是设计治理结构的逻辑方法：

 

 

治理：

• 目标
• 政策& Standards
• 政策生命周期管理

风险管理：

• 风险评估
• 风险评估
• 风险监测
• 风险缓解

遵守：

• 更换管理层
• 项目评估
• 建筑评论
• 配置管理

 

治理方法：

• 创造和促进积极的文化
• 验证网络安全的投资和对准
• 授权并确保网络安全计划
• 需要关于网络安全计划的报告

治理所需的结果：

• 经营战略的网络安全战略对齐
• 更好的风险管理
• 更好的资源管理
• 更好的性能测量
• 改善价值交付

NACD基本实践（ //www.nacdonline.org)

国家公司董事协会，NACD

• 将网络安全放在董事会上's agenda
• 识别和支持网络安全领导者
• 确保网络安全政策的有效性
• 将网络安全分配给关键委员会并支持它

网络安全的要求：

• 风险管理方法论
• 综合策略
• 安全结构
• 专注的策略
• 安全政策
• 安全标准
• 监测过程
• 继续评估和更新

CGTF治理方法

• 进行年度网络安全评估
• 进行定期风险评估
• 实施政策和程序
• 实施安全管理结构
• 制定计划并启动行动
• 将网络安全视为SLC的一个组成部分
• 为个人提供网络安全意识培训和教育
• 进行定期测试和评估
• 创建一个修复计划
• 开发事件响应程序
• 建立运营的连续性
• 使用安全最佳实践指导

ISO / IEC 27014：2013 - IT -Security Techniques - 信息安全的治理

• 建立组织范围的网络安全
• 采用基于风险的方法
• 设定投资决策的方向
• 确保符合要求
• 培养安全积极的环境
• 审查业务成果的绩效

评估 - 直接监测 - 沟通 - 保证