信息安全方针

9.3.5　信息安全方针

5.1　信息安全方针

目标：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。

管理者应根据业务目标制定清晰的方针方向，并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。

5.1.1　信息安全方针文档

控制

信息安全方针文档应经过管理层的批准，并传达给所有雇员和外部相关方。

实施指南

信息安全方针应阐述管理层的承诺，并规定组织管理信息安全的方法。该方针文档应包括以下方面的陈述：

a) 信息安全的定义、其整体目标和范围以及安全作为保障信息安全共享机制的重要性；

b) 陈述信息安全的管理意图、支持性目标和准则，并与业务战略和目标保持一致；

c) 设立控制目标和控制措施的框架，包括风险评估和风险管理的架构；

d) 对安全方针、准则、标准的简介，也包括对机构有特别重要性的法律的要求，例如：

　　1) 要符合法律及合同要求；

　　2)安全教育、培训、意识的要求；

　　3)业务连续性管理；

　　4)违反安全方针的后果。

e) 信息安全管理的一般的和特定的责任的定义，包括报告安全事件；

f) 支持该方针的文档的参考说明，如更详尽的安全策略，特定信息系统的程序，用户应该遵守的安全规则。

应以适合读者阅读的、可访问的和可理解的形式将信息安全方针传递给整个组织的用户。

其他信息

信息安全方针可能是总体方针文件的一部分。如果信息安全方针在组织外进行分发，应注意不要泄露敏感信息。更多内容参考ISO/IEC 13335-1：2004。

5.1.2　信息安全方针评审

控制

应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它的持续的适宜性、充分性和有效性。

实施指南

信息安全方针应有专人负责，他具有安全方针制定、评审和评估的管理职责。评审应包括评估组织信息安全方针的改进的机会和适应组织环境、业务状况、法律条件或技术环境变化的信息安全管理方法。

信息安全方针评审应考虑管理评审的结果。要定义管理评审程序，包括时间表或评审周期。

管理评审的输入应包括以下信息：

a) 相关方的反馈；

b) 独立评审的结果（见6.1.8）；

c) 预防和纠正措施的状态（见6.1.8和15.2.1）；

d) 以往管理评审的结果；

e) 执行情况和信息安全方针符合性；

f) 可能影响组织管理信息安全方法的变化，包括组织环境、业务状况、资源可用性、合同、法律法规的条件或技术环境的变化。

g) 关于威胁和脆弱点的趋势；

h) 已报告的信息安全事故（见13.1）；

i) 相关专家的建议（见6.1.6）。

管理评审的输出应包括与以下方面有关的任何决定和措施：

a) 组织管理信息安全的方法和它的执行过程的改进；

b) 控制目标和控制措施的改进；

c) 资源和/或职责分配的改进。

管理评审的记录应被维护。

应获得管理者对方针修订的批准。