ISO27001標(biāo)準(zhǔn)附錄 A.5.1 信息安全方針
【內(nèi)容解析】
在建立并保持信息安全方針時需依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)要求。確保信息安全方針得到最高管理者的支持,使所有相關(guān)的人員(內(nèi)部或外部的)了解其關(guān)于信息安全的責(zé)任。
ISO27001標(biāo)準(zhǔn)附錄 A.5.1.1 信息安全方針文件
【內(nèi)容解析】
通過安全方針建立全體員工的信息安全意識并支持組織的業(yè)務(wù)運行與發(fā)展。信息安全方針可以形成一份單獨的文件,由組織的高級管理者簽署批準(zhǔn),在組織內(nèi)以可訪問的方式發(fā)布。信息安全方針是組織安全管理的指導(dǎo)性文件,其他安全管理策略、過程和規(guī)程等應(yīng)與信息安全方針保持一致。
ISO27001標(biāo)準(zhǔn)附錄 A.5.2 信息安全方針的評審
【內(nèi)容解析】
組織的環(huán)境和業(yè)務(wù)狀況等處于變化中,應(yīng)按組織預(yù)定的周期對信息安全方針進行評審;或者當(dāng)發(fā)生對信息安全產(chǎn)生影響的重大事件時對安全方針進行評審。根據(jù)評審結(jié)果對信息安全方針加以必要修訂,以適應(yīng)業(yè)務(wù)環(huán)境的變化和組織安全管理的需要。
共有條評論 網(wǎng)友評論