1-ISMS深度解析之安全方针.pdfVIP

Continuous Controls Monitoring ISO 27002:2007 ISO 27002:2007 深度解析之一安全方针 深度解析之一安全方针 提纲 信息安全方针策略的重要性 27001的要求 27002的阐述 信息安全方针和策略体系结构 相关管理过程记录 Continuous Controls Monitoring 信息安全方针的重要性 Policy，可译为方针或者策略 Policy 方针 策略 方针在信息安全管理体系（ISMS）中居于最高层次的核心地 信息安全管理体系（ISMS） 位，所有细化的管理制度、流程、规范、指引都必须与方针策 略相一致，在方针的约束和指导下制定 在ISMS中，信息安全方针属于最上层的一级文件，阐述了信 息安全的目标、信息安全管理的范围、信息安全管理的基本原 则等重要内容 信息安全方针策略自身也是由多个文档构成的层次化体系，由 上至下逐渐细化和深化，包括总体安全方针、面向特定问题的 总体安全方针 面向特定问题 安全策略（如访问控制策略、密码使用策略）、以及面向特定 面向特定 系统的安全策略（如OA系统访问控制策略），其中前两个层 系统 次的方针策略是ISMS中全局性的，最后一个层次是局部的策 略 Continuous Controls Monitoring 27001对于信息安全方针的要求 在27001中，对于建立ISMS的PDCA过程描述中，明确了建立 建立 ISMS方针的要求 ISMS方针 在27001中，对于所建立的ISMS文件要求中，明确要求必须有 ISMS文件要求 经过正式发布的ISMS方针文件 在27001的描述中，认为ISMS方针是信息安全方针的一个扩展 集（其实这句话是国内等同采纳标准GBT-22080中的说法，这 其实这句话是国内等同采纳标准GBT-22080中的说法，这 里有一些疑问，两者的区别到底如何界定，文字内容应该如何 里有一些疑问，两者的区别到底如何界定，文字内容应该如何 阐述？） 阐述？ Continuous Controls Monitoring 27002提供的相关控制目标和控制措施 Continuous Controls Monitoring 27002对于总体信息安全方针的内容要求 Continuous Controls Monitoring 27002阐述的信息安全方针的生命周期 初次制定、评审、批准 初次 周期性评审、修订改进、批准 周期性 组织构架、业务模式、管理办法、管理职责、或信息技术平台 发生重大变化时的评审、修订改进、批准 重大变化时 对信息安全方针的评审和修订，可以归入对ISMS的整体评审 对信息安全方针的评审和修订，可以归入对ISMS的整体评审 和修订活动中 和修订活动中 Continuous Controls Monitoring 27002阐述的信息安全方针的管理维护职责 指定专人负责信息安全方针的管理和维护 专人负责 每次修订后，通过评审的信息安全方针必须被最高管理层正式 最高管理层 批准发布 信息安全方针应当被所有相关实体了解和获取，必要时需要组