《互聯(lián)網(wǎng)信息科技風險治理能力模型 總體架構》編制說明

第1頁共7頁

1、標準范圍。

本標準適用于互聯(lián)網(wǎng)企業(yè)，為其信息科技風險治理活動提供參考

和指引。其他相關行業(yè)或組織可參考執(zhí)行。

本標準針對互聯(lián)網(wǎng)企業(yè)在信息技術風險治理面臨的主要挑戰(zhàn)，根

據(jù)法律法規(guī)和行業(yè)特性，規(guī)范互聯(lián)網(wǎng)企業(yè)信息科技風險治理的基本框

架，促進行業(yè)共識形成，指導企業(yè)建立信息科技風險治理有效的機制，

實現(xiàn)信息科技風險的識別、評估、處置、回溯和監(jiān)測，保障企業(yè)運營

合規(guī)，業(yè)務穩(wěn)健運行，提升信息保護能力，推動業(yè)務創(chuàng)新和新技術應

用，促進互聯(lián)網(wǎng)生態(tài)健康發(fā)展。

2、工作簡況。

互聯(lián)網(wǎng)行業(yè)業(yè)務模式的快速創(chuàng)新和信息科技的深度應用在給企

業(yè)帶來巨大機遇的同時，也使企業(yè)面臨著越來越多樣化，越來越復雜

的科技風險。為指導行業(yè)信息科技風險治理能力建設，幫助企業(yè)發(fā)現(xiàn)

信息科技風險治理能力方面的不足，促進行業(yè)信息科技風險治理能力

提升，需要推出互聯(lián)網(wǎng)行業(yè)信息科技風險治理能力成熟度標準及配套

評估方法。本標準為此系列標準的總體架構，由風險治理能力和風險

治理領域兩個維度構成。風險治理能力從策略、組織、流程、技術平

臺等四個維度對互聯(lián)網(wǎng)企業(yè)開展信息科技風險治理活動須具備的能

力進行定義，可供企業(yè)構建和評價其信息科技風險治理活動的全面

性、可靠性、有效性和成熟度。風險治理領域是互聯(lián)網(wǎng)企業(yè)根據(jù)其自

身業(yè)務類型、運營模式、管理目標和技術應用情況確定的應開展信息

科技風險治理活動的管理領域。后續(xù)，針對以上管理領域，信息技術

風險治理工作委員會將在《互聯(lián)網(wǎng)信息科技風險治理能力模型總體

第2頁共7頁

架構》框架下制定適用于各個領域的風險治理能力成熟度評估模型標

準。

本標準由中國互聯(lián)網(wǎng)協(xié)會信息技術（IT）風險治理工作委員會提

出，主要起草單位和起草人包括：

中國信息通信研究院：楊玲玲、陳楊、尚夢宸、王陽

百度在線網(wǎng)絡技術（北京）有限公司：王海棠

北京京東世紀貿(mào)易有限公司：高磊

小米科技有限責任公司：趙炎杰、王建瑩

度小滿科技(北京)有限公司：應葉

阿里巴巴（中國）有限公司：張龍

北京奇虎科技有限公司：馬可

聯(lián)想（北京）有限公司：劉榕

北京三快在線科技有限公司（美團）：葉串

貝殼找房（北京）科技有限公司：溫博

北京攜程國際旅行社有限公司（攜程集團）：李黎

蘇寧易購集團股份有限公司：魏濤濤

同盾科技有限公司：董紀偉

其他以個人身份參與標準的專家：欒浩、姚凱、王向宇、呂麗、

趙一龍

第3頁共7頁

本標準于2020年12月立項，共組織了8次企業(yè)交流會，3次標

準討論會，主要情況如下：

（1）前期分別與百度、小米科技、度小滿金融、京東、美團、

阿里本地生活、聯(lián)想集團、攜程、貝殼找房、蘇寧易購、同盾科技等

互聯(lián)網(wǎng)企業(yè)開展了10次線下/線上有關互聯(lián)網(wǎng)企業(yè)信息科技風險治

理各領域工作的交流會，明確了建立互聯(lián)網(wǎng)企業(yè)信息科技風險治理能

力模型及評估工作的市場需求及必要性。

（2）分別組織了3次標準討論會。

2020年10月29日，召開信息技術風險治理工作委員會工作啟

動會，會議由中國信息通信研究院云計算與大數(shù)據(jù)研究所組織。來自

百度、聯(lián)想、美團、順豐科技、網(wǎng)宿科技、360集團、度小滿金融、

小米、快手、阿里本地生活、蘇寧易購、貝殼找房、京東、央廣新媒

體等互聯(lián)網(wǎng)企業(yè)代表參加會議。會上征集了各參與單位代表關于《互

聯(lián)網(wǎng)信息科技風險治理能力模型總體框架》的意見，并邀請專家參與

標準編寫。企業(yè)代表分享了企業(yè)信息科技風險治理實踐經(jīng)驗。

2020年12月2日，工作委員會標準編寫組初步形成《互聯(lián)網(wǎng)信

息科技風險治理能力模型總體框架》標準，召開第二次標準討論會，

邀請了來自工作委員會成員單位二十余位信息科技風險治理領域專

家，針對信息科技風險治理能力模型總體架構標準進行了深入討論和

修訂，并形成《互聯(lián)網(wǎng)信息科技風險治理能力模型總體框架》標準

第4頁共7頁

初稿。

2021年1月19日，標準立項后，為廣泛征求行業(yè)意見，召開面

向互聯(lián)網(wǎng)協(xié)會會員單位的第三次標準討論會，繼續(xù)針對標準全文內(nèi)容

進行完善修訂。

最終，起草組成員在標準框架、能力要求等方面達成初步共識，

并形成了征求意見稿。

3、標準編制原則和確定標準主要內(nèi)容的依據(jù)：

本標準的編制本著科學性、規(guī)范性、合理性和可操作性原則，按

照GB/T1.1-2020給出的規(guī)則編寫。

本標準的主要內(nèi)容包括風險治理能力及風險治理領域兩個維度，

涵蓋風險治理策略、組織、流程、技術平臺等能力維度及業(yè)務安全管

理、應用管理、數(shù)據(jù)管理、平臺管理、基礎設施運行、個人信息保護、

內(nèi)容治理、新技術應用、生態(tài)建設、法律合規(guī)等風險治理領域。編寫

過程主要調(diào)研互聯(lián)網(wǎng)行業(yè)實際信息技術風險治理現(xiàn)狀以及需求。

4、主要試驗（或驗證）的分析、綜述報告。

本標準起草過程中，我們深入多家相關企業(yè)展開調(diào)研，并進行了

多輪專家論證，明確了互聯(lián)網(wǎng)企業(yè)信息科技風險治理總體框架包括風

險治理能力和風險治理領域兩大部分。其中，風險治理能力從策略、

組織、流程、技術平臺等四個維度評價企業(yè)開展信息科技風險治理時

需要建設的風險治理能力；風險治理領域為互聯(lián)網(wǎng)企業(yè)開展信息科技

風險治理時需要涵蓋的風險治理領域，包括業(yè)務安全風險域、應用風

險域、數(shù)據(jù)安全風險域、平臺風險域、基礎設施運營風險域、個人信

第5頁共7頁

息保護風險域、內(nèi)容治理風險域、新技術應用風險域和生態(tài)建設風險

域、法律合規(guī)風險域。

為幫助互聯(lián)網(wǎng)企業(yè)評估自身信息科技風險治理能力，并提供有目

標、有指導、分階段的建設路徑及方法形成了本標準。

5、標準在起草過程中遇到的問題及解決辦法：重大分歧意見的處理

經(jīng)過和依據(jù)：有無重要技術問題需要說明。

在本標準起草修訂過程中，無重大意見分歧。

6、與國外標準的關系：包括：采用國際標準和國外先進標準的程度，

與國外標準主要技術內(nèi)容的差異（可引用標準前言的內(nèi)容）：

本標準沒有完全對應的國際標準或國外先進標準。

7、修訂標準時，說明與標準前一版本的重大技術變化，并列出所涉

及的新、舊版本的有關章條（可引用標準前言的內(nèi)容）：廢止/

代替現(xiàn)行有關標準的建議：

本標準為制定標準，非修訂標準。

8、說明標準與其他標準或文件的關系（可引用標準前言的內(nèi)容），

特別是與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系：

本標準按照GB/T1.1-2020給出的規(guī)則起草。目前，本標準與有

關的現(xiàn)行法律、法規(guī)、強制性國家標準的要求保持一致，沒有沖突。

9、標準作為強制性標準或推薦性標準的建議：

建議本標準作為推薦性標準頒布實施。

10、貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過

渡辦法等內(nèi)容）：標準發(fā)布后，對國內(nèi)外業(yè)界可能產(chǎn)生的影響。

建議本標準作為推薦性標準發(fā)布實施。本標準發(fā)布后，應向互聯(lián)

第6頁共7頁

網(wǎng)行業(yè)的組織進行宣傳貫徹，向從事信息科技風險治理相關工作的人

員推薦執(zhí)行本標準。本標準的貫徹執(zhí)行，有助于相關組織提