5.2  知識子域：安全管理控制措施

5.2.1  信息安全方針

信息安全方針包含1個(gè)控制目標(biāo)2個(gè)控制措施。

　　方針主要闡述組織管理信息安全目標(biāo)的方法。該方針應(yīng)獲得管理層批準(zhǔn)簽字。需要組織通過正式公告、宣傳培訓(xùn)等方式對全體員工和外部相關(guān)方發(fā)布組織的“信息安全方針”， 必要時(shí)可以留存宣傳培訓(xùn)記錄。一般在每次管理評審后，信息安全方針可能會被修訂，修訂結(jié)果也應(yīng)獲得管理層批準(zhǔn)并留存記錄，并及時(shí)發(fā)布傳達(dá)。同時(shí)將舊的信息安全方針宣傳材料及時(shí)處理。

信息安全方針應(yīng)針對以下各方的要求：

1)業(yè)務(wù)策略；

2)法律、法規(guī)和合同；

3)當(dāng)前和預(yù)測的信息安全威脅環(huán)境。

方針建議包括以下聲明：

1)信息安全，目標(biāo)和原則的定義，以指導(dǎo)所有信息安全有關(guān)的活動；

2)用以定義角色的信息安全管理一般和特定職責(zé)的分配；

3)處理偏差和意外的流程。

在稍低的層面，信息安全方針應(yīng)由特定主題的方針支持，例如網(wǎng)絡(luò)安全方針、移動辦公安全方針、外部第三方合作伙伴安全方針等。這些特定的主題強(qiáng)制實(shí)施信息安全控制措施，

通常解決組織內(nèi)某些目標(biāo)群體的需求或覆蓋某些主題。

每一條特定方針應(yīng)該有一個(gè)責(zé)任人，由其負(fù)責(zé)并對該方針的制定、審查和評估負(fù)有管理責(zé)任。安全方針的審查應(yīng)包括評估改進(jìn)組織方針的時(shí)機(jī)和響應(yīng)組織環(huán)境、業(yè)務(wù)環(huán)境、法律條件或技術(shù)環(huán)境變更的信息安全管理方法。信息安全方針的評審應(yīng)考慮到每次管理評審的結(jié)果。