ISO27001认证体系信息安全策略介绍
越来越多企业开始通过实施ISO27001认证体系以提升公司信息安全管理,本文摘要介绍ISO27001认证体系信息安全策略供参考。
控制
信息安全策略集宜被定义,由管理者批准,并发布、传达给所有员工和外部相关方。
实现指南
在最高层上,组织宜定义一个.. 信息安全方针",该方针宜获得管理层批准,并建立组织管理其信息安全目标的方法。
信息安全方针宜关注下列方面产生的要求:
a) 业务战略;
b) 法律、法规和合同;
c) 当前和预期的信息安全威胁环境。
该信息安全方针宜包括涉及以下内容的陈述:
a) 信息安全、目标和原则的定义,以指导所有信息安全有关的活动;
b) 把信息安全管理方面的一般和特定责任的分配给已定义的角色;
c) 处理偏差和意外的过程。
在较低层面, 该信息安全策略宜由特定主题的策略予以支持,这些策略进一步强制性地规定了信息安全控制的实现, 并通常是结构化的, 以强调组织内某些目标群体需求或桶盖某些主题。下面括号中是指ISO27001认证体系实践指南中章节。
例如,这样的策略主题包括:
a) 访问控制(见第9章) ;
b) 信息分级(和处理)(见8.2) ;
c) 物理和环境安全(见第11章)
d) 面向终端用户的策略,如:
1) 资产的可接受使用(见8.1.3) ;
2) 桌丽和|屏幕的清理(见11.2.9) ;
3) 信息传输(见13.2.1) ;
4) 移动设备和远程工作(见6.2) ;
5) 软件安装及其使用限制( 见12.6.2) ;
这些策略都是实施ISO27001认证体系需要考虑实施的。
e) 备份(见12.3) ;
f) 信息传输(见13.2) ;
g) 恶意软件防范(见12.2) ;
h) 技术脆弱性管理(见12.6.1) ;
i) 密码控制(见第10章) ;
j) 通信安全(见第13章) ;
k ) 隐私及其个人可识别信息的保护(见18.1.4) ;
1) 供应商关系(见第15 章) 。
这些策略宜采用预期读者适合的、可访问和可理解的形式传达给员工和外部相关方,例如,在"信息安全意识、教育和培训11 "(见7.2.2) 环境下。
其他信息
内部信息安全策略的需求因组织而异。内部策略对于大型和复杂的组织而言尤其有用,当这些组织中确定和批准控制预期水平的人员与实现控制的人员是分离的,或者当内部策略应用在组织不同的人员或职能时,也是非常有用的。信息安全策略可以以单一"信息安全策略"文件的形式发布,或作为各不相同但相互关联的一套文件的形式发布。
如果信息安全策略在组织外进行分发. 宜注意不要世露保密信息。
一些组织使用其他术语用于这些策略文件.例如"标准""导员。"或"规则" 。
上述策略可作为实施ISO27001认证体系信息安全管理参考。
