信息安全策略宜被特定主题的策略所支持
233这个信息安全策略的原文为A.5. l.'lPolicies for information Security,标题A.5 Information security policies,句式稍有不同,但是应该没有特殊含义。
234在ISO/IEC 27002: 2013相应的章节中,对方针和策略还是有解释的:1)At the highest level,organizations should define an“information security policy: which is approved by management and which sets out the organization's approach to managingits information security objectives(在最高层,组织宜确定一个被管理层批准且确立其管理信息安全目标方法的“信息安金方钛”。注意:a)信息安全方针是加日|号的,而且还能论个,可数;b)这里的描述来自ISO/IEC 27002: 2013,要求类型是should,华为‘苗……”,比较温和,商量的口气),2)At a lower level,the information security pol.cy should be supported by topic-specific policies, which further mandate the implementation of information security controls and are typi - cally structured to address the needs of certain target groups within an organization or to cover certain topics(在低一些的层次,信息安全策略宜被特定主题的策略所支持,这些策略将进一步强制信息安全控制的实施并且典型的结构化为满足特定组织内目标群的需要或后面一段西的意思是箫硌有的是舒尉特定久群的,有的是舒X巢一类事的,这‘个遵鬻初Z矿有的制度竣坑哥想保荇7,一致)。由于在英文中policy范围很广,可以指战略层次的方针、方向,也可以指非常具体的规定、要求。因此在其解释中分为“最高层(the highest level)”和“低一些的层次(a lower level)”两部分,最高层的policy,就是我们中文版本中所讨论的方针,和ISO/IEC 27002: 2013中5.2是一致的。低的policy,就是策略集,正文中没有讨论,主要集中在附录A中。
235在原来ISO/IEC 27001:2005时代,A.5.1.1为“信息安全方针文件”,比较容易设计,肯定是一个文件,但是一旦成了policies,就要考虑发布形式,在ISO/IEC 27002: 2013中认为:信息安全策略(集)能发布在一个单独的“信息安全方针”文件或者以一套单独但相关的文件(Policies for.nformation security can be issued in a single“information security policy”document or as a set of individual but related documents).
236为了不纠缠于这些词汇,其包含的内容如下表所示
 
                 400-626-7377
400-626-7377 
             
             
            