控制目標:組織的安全方針能夠依據業務要求和相關法律法規提供管理指導并支持信息安全
　　控制措施
　　信息安全方針
　　信息安全方針應由管理者批準、發布并傳達給所有員工和外部相關方
　　信息安全方針評審
　　宜按計劃的時間間隔或當重大變化發生時進行信息安全方針評審，以確保它持續的適宜性、充分性和有效性