ISO27001认证培训——ISO27002:2013信息安全控制实用守则之信息安全方针

来源:本站 作者:ADMIN 发布时间:2017-08-10

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之信息安全方针

5 信息安全方针

5.1 信息安全管理方向

目标:为信息安全提供管理指导和支持并确保与业务需求和相关法律和法规相一致。

5.1.1 信息安全方针(原条款不变

控制措施

一组信息安全方针应被定义,并由管理者批准、发布、传达给所有员工和外部团体。

实施指南

在最高级,组织应定义一个由管理者批准的“信息安全方针”,阐述组织管理信息安全目标的方法。

信息安全方针应定位于下面建立的要求:

a) 业务战略;

b) 法规、法律和合同;

信息安全方针应包含的声明:

a) 指导所有相关信息安全活动的信息安全、目标和原则的定义;

b) 为信息安全管理定义的角色的一般和具体的责任分配;

c) 处理偏差和异常处理。

在较低级,信息安全方针应以具体主题的策略来支持,更进一步的授权信息安全控制措施的实施,且是典型的结构来处理组织某个目标组的需要或覆盖某个主题。这样的策略主题案例包括:

a) 访问控制(见 9);

b) 信息分类(和处理)(见 8.2);

c) 物理和环境安全(见 11);

d) 面向最终用户的主题如下:

1) 资产的可接受使用(见 8.1.3);

2) 清空桌面和清除屏幕(见 11.2.9);

3) 信息转移(见 13.2.1);

4) 移动设备和远程工作(见 6.2);

5) 软件安全和使用的限制(见 12.6.2);

e) 备份(见 12.3);

f) 信息转移(见 13.2);

g) 恶意软件的防护(见 12.2);

h) 技术脆弱性管理(见 12.6.1);

i) 密码学控制(见 10);

j) 通讯安全(见 13);

k) 个人可识别信息的隐私和保护(见 18.1.4);

l) 供应商关系(见 15);

这些策略应与雇员和相关外部团体以一种相关联的、易接受的和易理解的方式进行沟通,如,一个“信息安全意识、教育和培训程序(见 7.2.2)”的文本。

其它信息

需要各种贯穿组织内部的信息安全策略。内部策略对大型或更的组织尤其的有用,这些定义和批准的控制措施的预期水平与那些实施的控制措施进行分离,或一个策略应用于组织内许多不同的人或功能。信息安全策略可以以一个单独的“信息安全策略“文件发布,或作为一组单独的相关文件。如果任何信息安全策略分配到组织外部,应注意不要泄漏保密信息。一些组织对这些策略文件使用其它的术语,如,“标准”、“指导”或“规则”。

5.1.2信息安全方针的评审(原条款不变)

控制措施

应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。

实施指南

每个方针应有一个由管理者批准的所有人,他负有对方针进行开发、评审和评价的职责。评审应包括评估组织方针改进的机会,和管理信息安全响应组织环境、业务状况、法律条件或技术环境变化的方法。

信息安全方针的评审应考虑管理评审的结果。

应获得管理对一个修订方针的批准。

凡来源为本站的文章,版权为本站所有,转载请注明出处!
肯达信,中国最专业的威廉希尔手机版咨询威廉希尔手机版辅导机构,助您顺利通过威廉希尔手机版
客服中心

您好,我是肯达信管理顾问公司客服,欢迎咨询!

廖幼灵

您好,我是肯达信管理顾问公司客服,欢迎咨询!

陈容珍

您好,我是肯达信管理顾问公司客服,欢迎咨询!

杨老师

您好,我是肯达信管理顾问公司客服,欢迎咨询!

王老师

面向全国客户服务热线

400-690-0031

24小时热线

18575592846


展开客服