安全管理控制措施之信息安全方针
2018-04-02 19:54:58 | 来源:中培企业IT培训网
5.2 知识子域:安全管理控制措施
5.2.1 信息安全方针
信息安全方针包含1个控制目标2个控制措施。
方针主要阐述组织管理信息安全目标的方法。该方针应获得管理层批准签字。需要组织通过正式公告、宣传培训等方式对全体员工和外部相关方发布组织的“信息安全方针”, 必要时可以留存宣传培训记录。一般在每次管理评审后,信息安全方针可能会被修订,修订结果也应获得管理层批准并留存记录,并及时发布传达。同时将旧的信息安全方针宣传材料及时处理。
信息安全方针应针对以下各方的要求:
1)业务策略;
2)法律、法规和合同;
3)当前和预测的信息安全威胁环境。
方针建议包括以下声明:
1)信息安全,目标和原则的定义,以指导所有信息安全有关的活动;
2)用以定义角色的信息安全管理一般和特定职责的分配;
3)处理偏差和意外的流程。
在稍低的层面,信息安全方针应由特定主题的方针支持,例如网络安全方针、移动办公安全方针、外部第三方合作伙伴安全方针等。这些特定的主题强制实施信息安全控制措施,
通常解决组织内某些目标群体的需求或覆盖某些主题。
每一条特定方针应该有一个责任人,由其负责并对该方针的制定、审查和评估负有管理责任。安全方针的审查应包括评估改进组织方针的时机和响应组织环境、业务环境、法律条件或技术环境变更的信息安全管理方法。信息安全方针的评审应考虑到每次管理评审的结果。
- 上一篇:信息安全管理之PDCA过程中保持和改进ISMS
- 下一篇:信息安全组织一