5.2  知識(shí)子域：安全管理控制措施

5.2.1  信息安全方針

信息安全方針包含1個(gè)控制目標(biāo)2個(gè)控制措施。

　　方針主要闡述組織管理信息安全目標(biāo)的方法。該方針應(yīng)獲得管理層批準(zhǔn)簽字。需要組織通過(guò)正式公告、宣傳培訓(xùn)等方式對(duì)全體員工和外部相關(guān)方發(fā)布組織的“信息安全方針”， 必要時(shí)可以留存宣傳培訓(xùn)記錄。一般在每次管理評(píng)審后，信息安全方針可能會(huì)被修訂，修訂結(jié)果也應(yīng)獲得管理層批準(zhǔn)并留存記錄，并及時(shí)發(fā)布傳達(dá)。同時(shí)將舊的信息安全方針宣傳材料及時(shí)處理。

信息安全方針應(yīng)針對(duì)以下各方的要求：

1)業(yè)務(wù)策略；

2)法律、法規(guī)和合同；

3)當(dāng)前和預(yù)測(cè)的信息安全威脅環(huán)境。

方針建議包括以下聲明：

1)信息安全，目標(biāo)和原則的定義，以指導(dǎo)所有信息安全有關(guān)的活動(dòng)；

2)用以定義角色的信息安全管理一般和特定職責(zé)的分配；

3)處理偏差和意外的流程。

在稍低的層面，信息安全方針應(yīng)由特定主題的方針支持，例如網(wǎng)絡(luò)安全方針、移動(dòng)辦公安全方針、外部第三方合作伙伴安全方針等。這些特定的主題強(qiáng)制實(shí)施信息安全控制措施，

通常解決組織內(nèi)某些目標(biāo)群體的需求或覆蓋某些主題。

每一條特定方針應(yīng)該有一個(gè)責(zé)任人，由其負(fù)責(zé)并對(duì)該方針的制定、審查和評(píng)估負(fù)有管理責(zé)任。安全方針的審查應(yīng)包括評(píng)估改進(jìn)組織方針的時(shí)機(jī)和響應(yīng)組織環(huán)境、業(yè)務(wù)環(huán)境、法律條件或技術(shù)環(huán)境變更的信息安全管理方法。信息安全方針的評(píng)審應(yīng)考慮到每次管理評(píng)審的結(jié)果。