通常，治理是指负责企业的人员（例如，公司的董事会和执行管理人员，联邦机构的机构负责人）行使的一套职责和实践，旨在提供战略指导，确保目标是
实现，确定风险得到适当管理，并验证企业资源得到合理使用。4风险和资源可以与不同领域（例如，信息技术或IT，财务，法律和法规遵从性，信息安全）以及不同领域相关联需要专业知识才能管理风险。从而，
企业治理通常是按域组织的。5

 

网络安全治理是企业治理的组成部分，它解决了在存在对手的情况下企业对网络空间的依赖性。6网络安全治理因此包括信息系统安全治理；因此，网络安全治理包括信息系统安全治理。信息系统是否安全 治理可以通过信息安全来识别治理取决于
7但是，尽管信息安全治理的各个方面可能涉及网络空间之外的信息，但非网络领域和网络领域之间的信息流如此普遍，以至于
对于网络安全治理而言，最好包含信息安全治理。

 

注意： //www.mitre.org/sites/default/files/pdf/10_3710.pdf

 

 

 

法规遵从 分层网络安全治理框架™ （HCGF）对必要的文档组成部分有全面的了解，这些组成部分对于能够证明尽职调查和适当注意的证据至关重要。该框架解决了政策，控制目标，标准，准则，控制，风险，程序之间的相互联系& metrics. 的 安全控制框架（SCF） 通过提供组织需要实施以保持安全性和合规性所需的必要网络安全性和隐私控制，来适应此模型。

 

的 法规遵从 综合网络安全治理模型™ （ICGM） 对治理网络安全和隐私计划有一个全面的了解。没有更广泛的运营概念 治理，风险&合规（GRC）/综合风险管理（IRM） 在职能上，组织通常会发现他们的治理，风险，合规性和隐私团队在他们的思维和操作方式上很孤立。这些孤立的职能和不明确的角色通常是由于缺乏对这些特定职能如何组合在一起以在各个团队之间建立共生工作关系以实现对人员，流程和技术的质量控制的战略了解。

 

ICGM利用 计划，执行，检查& 法案 (PCDA) 设计治理结构的逻辑方法的方法：

 

 

治理：

• 目标
• 政策规定& Standards
• 策略生命周期管理

风险管理：

• 风险评估
• 风险评估
• 风险监控
• 风险缓解

合规性：

• 更换管理层
• 项目评估
• 建筑评论
• 配置管理

 

治理方法：

• 建立和促进积极的文化
• 验证对网络安全的投资和一致性
• 强制和确保网络安全计划
• 要求有关网络安全计划的报告

期望的治理结果：

• 网络安全与业务战略的战略统一
• 更好的风险管理
• 更好的资源管理
• 更好的性能评估
• 改善价值传递

NACD基本实践（ //www.nacdonline.org)

全国公司董事协会

• 将网络安全问题列入董事会议程
• 确定并支持网络安全领导者
• 确保网络安全政策的有效性
• 将网络安全分配给关键委员会并提供支持

网络安全治理要求：

• 风险管理方法
• 综合策略
• 安全结构
• 以信息为中心的策略
• 安全政策
• 安全标准
• 监控程序
• 持续评估和更新

CGTF治理方法

• 进行年度网络安全评估
• 进行定期风险评估
• 实施政策和程序
• 实施安全管理结构
• 制定计划并采取行动
• 将网络安全视为SLC的组成部分
• 为个人提供网络安全意识培训和教育
• 进行定期测试和评估
• 制定补救计划
• 制定事件响应程序
• 建立运营连续性
• 使用安全性最佳做法指南

ISO / IEC 27014：2013-IT-安全技术-信息安全治理

• 建立组织范围的网络安全
• 采用基于风险的方法
• 设定投资决策方向
• 确保符合要求
• 营造积极安全的环境
• 根据业务成果审查绩效

评估-直接-监控-沟通-确保