GTAG-15:資訊安全治理

資訊安全是企業整體治理中重要的一部份，而被置於資訊科技治理(IT Governance)、資訊科技作業(IT Operation:即是資訊科技的應用現況)以及資訊科技專案(IT Projects：即是未來應用資訊科技的可能狀況)之間，資訊安全領域的新趨勢，是賦予資訊安全在資訊科技及機構中有一個角色；由於資訊系統所擁有的資料量以及喪失該資料時的衝擊，較紙本作業流程來的大，資訊安全一直與資訊科技有種特殊的關係，雖然兩種作業流程所擁有的資訊，對資訊安全管理人員來說都是重要的，但以所帶來的嚴峻衝擊而言，資訊科技上的損失將更為重要。治理的模式並無對或錯，因為每個機構的需求及承受風險程度是否不同的。

在一個機構裡，內部稽核主管有責任確保重大風險包括資訊安全風險的管理。在大部份機構的競爭策略中，資訊是一個重要的要素，不論是直接收集、管理、及解讀業務資訊，或是日常業務流程所需資訊的保存。不當的資訊安全管理會導致一些較明顯的結果包括商譽受損、處於競爭劣勢以及違約等。這些衝擊都不應被低估。