T/ISC 0013—2021 ICS 35.210 CCS A09 互联网信息科技风险治理能力模型 总体框架 2021 -12 -21发布 2022- 03-21实施 团体 标准 T/ISC 0013—2021 中 国 互 联 网 协 会 发布 Capability model of Internet information technology risk governance — General architecture 全国团体标准信息平台 全国团体标准信息平台 T/ISC 0013—2021 目 次 前 言 ................................ ................................ .............. IV 引 言 ................................ ................................ ............... V 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 2 5 总体框架 ................................ ................................ ........... 2 5.1 概述 ................................ ................................ ........... 2 5.2 风险治理能力 ................................ ................................ ... 3 5.3 风险治理领域 ................................ ................................ ... 3 附 录 A （资料性附录 ） 风险管理流程参考 ................................ ............ 6 参考文献 ................................ ................................ ............. 7 全国团体标准信息平台 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国互联网协会归口。 本文件主要起草单位：中国信息通信研究院、贝壳找房（北京）科技有限公司、阿里巴巴（中国） 有限公司、杭州口口相传网络技术有限公司、度小满科技 （北京）有限公司、 百度在线网络技术 （北京） 有限公司、北京携程国际旅行社有限公司、苏宁易购集团股份有限公司、联想（北京）有限公司、北京 京东世纪贸易有限公司、 同盾科技有限公司、 北 京三快在线科技有限公司 （美团） 、 顺丰科技有限公司、 网宿科技股份有限公司、三六零安全科技股份有限公司、央广新媒体文化传媒（北京）有限公司、小米 科技有限责任公司、北京快手科技有限公司、中国联合网络通信集团有限公司、 OPPO广东移动通信有 限公司等。 本文件主要起草人：杨玲玲、陈杨、张龙、应叶、温博、魏涛涛、高磊、李黎、董纪伟、王海棠、 赵炎杰、尚梦宸、王阳、王建莹、马可、刘榕、叶串、栾浩、姚凯、王向宇、吕丽、赵一龙等。 全国团体标准信息平台 T/ISC 0013—2021 引 言 互联网行业业务模式的快速创新和信息科技的深度应用在给企业带来巨大机遇的同时， 也使 企业面 临着越来越多样化，越来越复杂的因信息科技应用而产生的风险。 当前，互联网企业信息科技风险治理在基本框架和治理内容方面缺少标准和共识，需企业和行业组 织共同促进行业共识形成，指导企业建立信息科技 风险治理机制，实现 信息科技 风险的识别、评估、处 置和监测，保障企业运营合规，业务稳健运行，提升 信息保护和风险防控 能力，推动业务创新和新技术 应用，促进互联网生态健康发展。 全国团体标准信息平台 T/ISC 0013—2021 1 互联网信息科技风险治理能力模型 总体框架 1 范围 本文件确立互联网信息科技风险治理能力模型的 总体框架。 本文件适用于互联网企业，为其信息科技 风险治理活动 提供参考和指引。其他相关行业或组织可参 考执行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —2010 信息安全技术 术语 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 22239 —2019 信息安全技术 网络安全等级保护基本要求 ISACA Glossary of Terms Third edition 2015 3 术语和定义 GB/T 25069 —2010、GB/T 35273 —2020、ISO/IEC 38500:2015 、ISO/TR 21506:2018(en) 、ISO/IEC/IEEE 21841:2019(en) 、ISO 9000:2015 、ISO 31000:2018(en) 界定的下列术语和定义适用于本 文件。 3.1 管理 management 为控制和领导组织而进行的协调活动 注1：管理包括建立政策、目标和达成目标的过程等活动。 注2：“管理”有时指人，指对组织的领导和控制负有职责和权限的一个人或一组人。此时，管理概念的使用应当 避免与上述一组活动的管理概念相混淆。例如，不推荐使用“管理应 …”，而推荐用“最高管理者应 …”。应将如管理 和管理者之类概念的不同之处传达给相关人员。 [来源: ISO 9000:2015, 3.3.3 ] 3.2 信息科技风险 information technology risk 在互联网企业的业务运营、内部管理等方面，信息科技运用中由于自然因素、人为因素、技术漏洞 和管理缺陷产生的操作、法律和声誉等方面的风险。 3.3 风险管理 risk management 领导和控制组织面临风险的协调活动 [来源: ISO 31000:2018(en), 3.2 ] 全国团体标准信息平台 2 3.4 风险偏好 risk appetite 组织在追求其使命、战略和目标时以及在需要采取措施处理或管理风险之前愿意接受的风险水平。 3.5 信息安全 information security 对信息的保密性、完整性和可用性的保持。 注：另外，也可包 括诸如真实性、可核查性、抗抵赖和可靠性等其他性质。 [来源：GB/T 29246 —2017，2.33，有修改：注中的 “其他特性 ”改为“其他性质 ”] 3.6 网络安全 cybersecurity 通过采取必要措施 ，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故 ，使网络处于 稳定可靠运行的状态 ，以及保障网络数据的完整性、保密性、可用性的能力。 [来源：GB/T 22239 —2019, 3.1] 3.7 数据安全 data security 通过管理和技术措施，确保数据有效保护和合规使用的状态。 [来源：GB/T 37988 —2019,定义3.1] 3.8 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动 情况的各种信息。 注1：个人信息包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和 内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他加工处理后形成的信息 ， 例如，用户画像特征标签，能够单独或者与 其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，也属于个人信息。 [来源：GB/T 35273 -2020，3.1，有修改： “身份证件号码 ”改为“公民身份号码 ”，