控制目標:組織的安全方針能夠依據(jù)業(yè)務要求和相關法律法規(guī)提供管理指導并支持信息安全
　　控制措施
　　信息安全方針
　　信息安全方針應由管理者批準、發(fā)布并傳達給所有員工和外部相關方
　　信息安全方針評審
　　宜按計劃的時間間隔或當重大變化發(fā)生時進行信息安全方針評審，以確保它持續(xù)的適宜性、充分性和有效性