ISMS-MG-A.05-01 信息安全策略管理指南.docVIP

ISO 27001信息安全管理体系文件 信息安全策略管理指南 文档信息 文档名称 信息安全策略管理指南 文档编号 ISMS-MG-A.05-01 受控状态 受控文件 扩散范围 内部使用 制作人 制作日期 2006-12-20 复审人 复审日期 2006-12-21 版本历史 版本 日期 说明 修订人 1.0 2006-12-20 创建文件 目的 为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。 适用范围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 定义 本程序引用GB/T19000-2000 idt ISO9000:2000标准中的术语及公司《质量手册》中的定义。 本程序引用ISO/IEC 17799:2005标准中的术语。 程序 4.1信息安全策略文档 管理层应该阐述信息安全方针，并规定组织管理信息安全的方法。该策略文档应包括以下方面的陈述： a) 信息安全的定义、整体目标、范围以及安全作为保障信息安全共享机制的重要性； b) 信息安全的管理意图、支持性目标和准则，并与业务战略和目标保持一致； c) 设立控制目标和控制措施的框架，包括风险评估和风险管理的架构； d) 对安全方针、准则、标准的简介，也包括对机构有特别重要性的法律的要求，例如： 1) 要符合法律及合同要求； 2) 安全教育、培训、意识的要求； 3) 业务连续性管理； 4) 违反安全方针的后果。 e) 信息安全管理的一般的和特定的责任的定义，包括报告安全事件； f) 支持该方针的文档的参考说明，如更详尽的安全策略，特定信息系统的程序，用户应该遵守的安全规则等。 策略文档由XX部门组织编写，经信息安全管理者代表审核，总经理签字后方有效。 策略文档正式发布后，XX部门以邮件、内部网站的形式向全体员工传递。与外部相关方的内容由负责联系的部门传递。 4.2信息安全策略评审 信息安全方针由信息安全管理者代表负责制定、评审和评估。评审包括评估组织信息安全方针的改进的机会和适应组织环境、业务状况、法律条件或技术环境化的信息安全管理方法。 信息安全策略评审按《管理评审控制程序》进行。 信息安全方针修订后，获得管理者的批准后方生效。 相关文件 《信息安全管理体系手册》 《管理评审控制程序》 相关记录 | Internal Use Only 2