8.1 信息安全策略體系（MSP_SPL）

信息安全管理保障是以風險和策略為核心。信息安全保障策略體系規范和指導了整個組織機構的信息安全保障工作。
圖6描述了信息安全策略體系管理保障控制類的組成結構。

8.1　信息安全策略體系（MSP_SPL）

8.1.1　安全保障管理目的

組織機構應為信息安全保障工作建立一整套完整的策略體系，以規范和指導整個組織機構信息安全保障工作。
策略體系文件是由三層結構的文件組成：
a) 策略方針文件。策略方針文件是由組織機構最高管理層批準和發布，提供組織機構管理層對信息安全管理保障工作的指導和支持，用于符合業務要求和相關法律法規和標準要求的高層綱領性文件。策略方針文件主要描述了目的、范圍、角色和職責以及符合性的說明；
b) 制度規范與程序指南文件。制度規范與程序指南文件是由組織機構負責信息安全保障工作的管理層批準和發布，它是在策略方針文件的指導下，規定、落實和指導具體信息安全管理保障領域工作的文件。其中，制度規范是規范相關人員行為、明確責任義務的規范性要求文件，程序指南文件是指導具體操作和活動的指導性要求文件；
c) 第三層表單和過程記錄文件。第三層表單和過程記錄文件是由組織機構具體實施信息安全保障工作的部門和/或人員來負責維護，明確和記錄根據制度規范與程序指南文件而進行的信息安全保障具體實施工作的步驟、內容和結果的記錄。
組織機構應根據業務要求、風險評估的結果等，開發、分發、溝通和定期審核/更新其策略體系文件。

8.1.2　MSP_SPL.1 信息安全策略方針文件

8.1.2.1　管理保障控制組件控制

信息安全策略方針文件應提供組織機構最高管理層對信息安全的管理指導和支持，以符合業務要求和相關的法律和法規。
組織機構最高管理層應批準符合業務目標的清晰的策略方針文件，并通過在整個組織機構里發布和維護信息安全策略方針文件來展示其對信息安全的支持和應承擔的責任。

8.1.2.2　管理保障控制組件注解

信息安全策略方針應當：
a) 信息安全策略方針文件應由組織機構最高管理層批準和發布，以體現組織機構對信息安全工作的重視和支持；
b) 信息安全策略文件應符合國家、信息安全主管單位、行業、上級主管機關的法律法規、行政令和策略方針文件的要求；
c) 信息安全策略文件應符合組織機構的業務要求和風險管理的要求；
d) 信息安全策略方針向組織機構的全體員工發布，并通過意識培訓等方式同組織機構內的所有人員進行溝通；
e) 信息安全策略方針的制定應綜合監督人員、外部咨詢專家、管理層等的積極參與；
f) 組織機構應建立策略方針文件的編制標準，規范化策略文件的結構和內容；
g) 信息安全策略方針文件按照標準審批流程通過審批；
策略方針文件的內容應包含：
a) 策略方針文件應包含目的、范圍、角色和職責以及符合性的說明；
b) 對組織機構而言特別重要的安全策略、原則、標準和符合性要求的簡要說明，包括：
1) 符合性法律、法規和合同要求；
2) 安全教育、培訓和意識要求；
3) 業務持續性管理；
4) 違反信息安全策略的后果；
c) 信息安全管理整體和特定職責的定義，包括報告信息安全事故；
f) 至支持策略的其它參考文件，例如特定信息系統的更詳細的安全策略和流程或用戶應遵守的安全規章制度。
此信息安全策略應以相對于預期讀者而言有關、可訪問和可理解的方式同整個組織機構的用戶進行溝通。

8.1.3　MSP_SPL.2 制度規范與程序指南文件

8.1.3.1　管理保障控制組件控制

組織機構負責信息安全保障工作的管理層應批準和發布符合和支持策略方針文件的制度規范與程序指南文件，以規定、落實和指導具體信息安全管理保障領域工作的文件。
制度規范與程序指南文件是規范、指導信息系統日常運行、管理、使用方面的文件。制度規范與程序指南文件中，制度規范是規范相關人員行為、明確責任義務的規范性要求文件，程序指南文件是指導具體操作和活動的指導性要求文件。

8.1.3.2　管理保障控制組件注解

制度規范與程序指南文件應：
a) 符合業務和風險評估的要求；
b) 符合所對應的策略方針文件；
c) 組織機構應規范化制度規范和程序指南文件的編制過程和內容；
d) 組織機構應充分利用外部專家、外部相關組織機構在特定信息安全保障工作方面的成果、最佳實踐和建議；
e) 組織機構應組織相關人員的培訓和教育工作，以充分溝通并建立具體執行人員對制度規范與程序指南文件的充分理解。

8.1.4　MSP_SPL.3 第三層表單和過程記錄文件

8.1.4.1　管理保障控制組件控制

組織機構具體實施信息安全保障工作的部門和/或人員應根據組織機構的策略方針文件、制度規范與程序指南文件編制和記錄具體的第三層表單和過程記錄文件，以明確和記錄其信息安全保障具體實施工作的步驟、內容和結果的記錄。
表單文件和過程記錄用于對制度規范與程序指南的落實進行記錄。為提高安全控制措施和管理體系運行的有效性，應基于日常記錄收集、整理和量化數據以幫助進行分析和驗證。

8.1.4.2　管理保障控制組件注解

第三層表單和過程記錄文件應：
a) 根據具體的制度規范與程序指南文件的要求來制定和記錄；
b) 過程記錄文件應詳細記錄具體的具體的執行步驟和內容，以提供進一步分析、改進的基礎。

8.1.5　MSP_SPL.4審核信息安全策略體系

8.1.5.1　管理保障控制組件控制

應以規劃的間隔期間或當發生重大變更時對信息安全策略體系文件進行審核和更新，以確保其持續適用性、充分性和有效性。

8.1.5.2　管理保障控制組件注解

應維護信息安全文件體系的有效性和完善性，應規范化應制度和程序控制文件的創建、發布、執行、保存、維護過程，各級文件體系必須在相應的范圍內按審核程序進行維護及審核。該審核程序應確保在信息系統有任何改動或發生重大安全事故時會馬上進行審核，例如發生重要的安全事件、出現新漏洞、機構或技術架構的改變。一般情況下，定期進行審核和修訂。
信息安全策略體系文件的定期審查應包含下列內容：
a) 系統所記錄的安全事件的本質、次數及影響所表明的策略的有效性。
b) 控制對業務效率的影響和成本。
c) 技術改變的效果；
d) 應將審核的結果同被審核人進行充分溝通，并獲得被審核人的理解和同意。
信息安全策略體系文件包括三層結構：策略方針文件、制度規范與程序指南文件以及第三層表單和過程記錄文件。在審核和更新信息安全策略體系文件時，應根據不同層次策略體系文件的特點、不同的負責人員以及業務要求來處理。在根據審核結果進行策略體系文件修改時，應考慮：
a) 應制定規范化的修改流程，修改的流程應綜合變更管理的要求；
b) 不同層次的策略體系文件有不同的特點：
1) 策略方針文件是高層指導性文件，對所有相關的策略體系文件都具有指導作用和影響，因此在進行策略方針文件的修改時應非常慎重并且綜合考慮所有相關文件的修改要求；
2) 制度規范與程序指南文件是對具體實施工作的規范要求和指導，當業務和技術系統要求的變化時，應及時進行更新。