ISO27001标准附录 A.5.1 信息安全方针
【内容解析】
在建立并保持信息安全方针时需依据业务要求和相关法律法规要求。确保信息安全方针得到最高管理者的支持,使所有相关的人员(内部或外部的)了解其关于信息安全的责任。
ISO27001标准附录 A.5.1.1 信息安全方针文件
【内容解析】
通过安全方针建立全体员工的信息安全意识并支持组织的业务运行与发展。信息安全方针可以形成一份单独的文件,由组织的高级管理者签署批准,在组织内以可访问的方式发布。信息安全方针是组织安全管理的指导性文件,其他安全管理策略、过程和规程等应与信息安全方针保持一致。
ISO27001标准附录 A.5.2 信息安全方针的评审
【内容解析】
组织的环境和业务状况等处于变化中,应按组织预定的周期对信息安全方针进行评审;或者当发生对信息安全产生影响的重大事件时对安全方针进行评审。根据评审结果对信息安全方针加以必要修订,以适应业务环境的变化和组织安全管理的需要。
