企业最重要的是业务，治理是为业务服务。

组织过程：收购资产也是收购了它的风险。剥离：如资产出售要把信息清除等；治理委员会：

ISO、NIST、COBIT、Sherwood、PCI、FedRAMP

内部治理：政策（策略）

外部治理：法律法规和行业标准，外部是强制性的，是第一位的。

治理有两个目标，一个是绩效，一个是合规，绩效和合规是相辅相成的。安全管理计划（Program）。安全管理是上层管理人员的责任，不是IT人员的责任。

战略：3-5年，战术：1年；操作计划是短期的。

资产剥离要对资产进行净化（sanitized）以防止数据泄露。应移除（removed）和销毁（destroyed）存储介质。

删除、格式化、复写（over writing）、清除purge（采用专门的工具对电脑当中的数据进行清除，难以恢复；介质可二次利用）；消磁，针对HDD硬盘。

安全治理委员会：高级管理层--对组织的维护安全负有最终责任；安全专业人员--执行高级管理层的指令，是实施者；资产所有者--负责对信息进行分类和保护的人员，通常是高级管理人员，最终负责资产保护。

托管人：为CIA Triad数据提供充分的保护；

用户：遵守所有的组织政策；

ISO 27000包含一系列国际标准，

NIST 800-53--NIST.org

NIST的答案为准。

COBIT为审核依据；鼓励将IT安全思路映射到业务目标。

管理分战略、战术和运营层面。CEGIT

ITIL是IT服务管理最佳实践的事实标准。