安全管理控制措施之信息安全方针

5.2  知识子域：安全管理控制措施

5.2.1  信息安全方针

信息安全方针包含1个控制目标2个控制措施。

　　方针主要阐述组织管理信息安全目标的方法。该方针应获得管理层批准签字。需要组织通过正式公告、宣传培训等方式对全体员工和外部相关方发布组织的“信息安全方针”， 必要时可以留存宣传培训记录。一般在每次管理评审后，信息安全方针可能会被修订，修订结果也应获得管理层批准并留存记录，并及时发布传达。同时将旧的信息安全方针宣传材料及时处理。

信息安全方针应针对以下各方的要求：

1)业务策略；

2)法律、法规和合同；

3)当前和预测的信息安全威胁环境。

方针建议包括以下声明：

1)信息安全，目标和原则的定义，以指导所有信息安全有关的活动；

2)用以定义角色的信息安全管理一般和特定职责的分配；

3)处理偏差和意外的流程。

在稍低的层面，信息安全方针应由特定主题的方针支持，例如网络安全方针、移动办公安全方针、外部第三方合作伙伴安全方针等。这些特定的主题强制实施信息安全控制措施，

通常解决组织内某些目标群体的需求或覆盖某些主题。

每一条特定方针应该有一个责任人，由其负责并对该方针的制定、审查和评估负有管理责任。安全方针的审查应包括评估改进组织方针的时机和响应组织环境、业务环境、法律条件或技术环境变更的信息安全管理方法。信息安全方针的评审应考虑到每次管理评审的结果。