A.5 信息安全策略 | ||
A.5.1 信息安全管理指导 | ||
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持 | ||
A.5.1.1 | 信息安全策略 | 控制 信息安全策略集应被定义,由管理者批准,并发布、传达给所有员工和外部相关方。 |
A.5.1.2 | 信息安全策略的评审 | 控制 应按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和有效性。 |
标准解析:
- 在理解本控制的时候,容易把信息安全策略与正文“5.2 信息安全方针”混淆,其实信息安全策略与信息安全方针完全是两个东西。信息安全方针属于层次较高的战略层面,信息安全策略属于较低层次的执行层面;
- 信息安全策略,包含多个方面,主要涉及附录A的控制要求,如访问控制策略(A.9),信息分级策略(A.8.2),物理和环境安全策略(A.11),备份策略(A.12.3),桌面和屏幕的清理策略(A.11.2.9)等;
- 信息安全策略使用概括性的文字描述,信息安全策略的实施和落地,则需要对应的程序文件和管理规范,如同信息安全管理手册中主要是ISO/IEC 27001正文要求的概述性文字,而信息安全策略则是附录A中控制项要求的概述性文字;
- 信息安全策略需要由管理者批准,并发布、传达给所有员工和外部相关方;
- 信息安全策略每年至少需要评审一次,并提供评审记录。
实施本条款应输出的文档:
- 《信息安全策略管理程序》(可选);
- 《信息安全策略集》;
- 《信息安全策略集》批准、发布以及评审记录;
- 《信息安全策略集》宣导和培训记录。
本条款审核要点:
- 是否制定《信息安全策略集》,是否有相关批准、发布以及评审记录;
- 是否能提供《信息安全策略集》宣导和培训记录。