5.1 信息安全管理指導

5.1 信息安全管理指導

5.1.1信息安全策略

控制
信息安全策略集宜被定義，由管理者批準，并發布、傳達給所有員工和外部相關方。
實現指南
在最高層上，組織宜定義一個“信息安全方針”，該方針宜獲得管理層批準，并建立組織管理其信息安全目標的方法。
信息安全方針宜關注下列方面產生的要求：
a) 業務戰略；
b) 法律、法規和合同；
c) 當前和預期的信息安全威脅環境。
該信息安全方針宜包括涉及以下內容的陳述：
a) 信息安全、目標和原則的定義，以指導所有信息安全有關的活動；
b) 把信息安全管理方面的一般和特定責任的分配給已定義的角色；
c) 處理偏差和意外的過程。
在較低層面，該信息安全策略宜由特定主題的策略予以支持，這些策略進一步強制性地規定了信息安全控制的實現，并通常是結構化的，以強調組織內某些目標群體需求或涵蓋某些主題。
例如，這樣的策略主題包括：
a) 訪問控制（見第9章）；
b) 信息分級（和處理）（見8.2）；
c) 物理和環境安全（見第11章）；
d) 面向終端用戶的策略，如：
1) 資產的可接受使用（見8.1.3）；
2) 桌面和屏幕的清理（見11.2.9）；
3) 信息傳輸（見13.2.1）；
4) 移動設備和遠程工作（見6.2）；
5) 軟件安裝及其使用限制（見12.6.2）；
e) 備份（見12.3）；
f) 信息傳輸（見13.2）；
g) 惡意軟件防范（見12.2）；
h) 技術脆弱性管理（見12.6.1）；
i) 密碼控制（見第10章）；
j) 通信安全（見第13章）；
k) 隱私及其個人可識別信息的保護（見18.1.4）；
l) 供應商關系（見第15章）。
這些策略宜采用預期讀者適合的、可訪問和可理解的形式傳達給員工和外部相關方，例如，在“信息安全意識、教育和培訓”（見7.2.2）環境下。
其他信息
內部信息安全策略的需求因組織而異。內部策略對于大型和復雜的組織而言尤其有用，當這些組織中確定和批準控制預期水平的人員與實現控制的人員是分離的，或者當內部策略應用在組織不同的人員或職能時，也是非常有用的。信息安全策略可以以單一“信息安全策略”文件的形式發布，或作為各不相同但相互關聯的一套文件的形式發布。
如果信息安全策略在組織外進行分發，宜注意不要泄露保密信息。

5.1.2信息安全策略的評審

控制
宜按計劃的時間間隔或當重大變化發生時進行信息安全策略評審，以確保其持續的適宜性、充分性和有效性。
實現指南
每個策略宜有專人負責，他對策略的制定、評審和評價具有被批準的管理責任。評審宜包括評估組織策略和信息安全管理方法的改進機會，以適應組織環境、業務狀況、法律法規或技術環境發生的變化。
信息安全策略評審宜考慮管理評審的結果。