ISO27001认证体系信息安全策略介绍,ISO27001认证体系信息安全管理策略指南

ISO27001认证体系信息安全策略介绍

ISO27001认证体系信息安全策略介绍

越来越多企业开始通过实施ISO27001认证体系以提升公司信息安全管理，本文摘要介绍ISO27001认证体系信息安全策略供参考。

控制

信息安全策略集宜被定义，由管理者批准，并发布、传达给所有员工和外部相关方。

实现指南

在最高层上，组织宜定义1个.. 信息安全方针"，该方针宜获得管理层批准，并建立组织管理其信息安全目标的方法。

信息安全方针宜关注下列方面产生的要求:

a) 业务战略;

b) 法律、法规和合同;

c) 当前和预期的信息安全威胁环境。

该信息安全方针宜包含涉及以下内容的陈述:

a) 信息安全、目标和原则的定义，以指导所有信息安全有关的活动;

b) 把信息安全管理方面的通常和特定责任的分配给已定义的角色;

c) 处理偏差和意外的过程。

在较低层面， 该信息安全策略宜由特定主题的策略予以支持，这些策略进1步强制性地规定了信息安全控制的实现， 并通常是结构化的， 以强调组织内某些目标群体需求或桶盖某些主题。下面括号中是指ISO27001认证体系实践指南中章节。

例如，这样的策略主题包含:

a) 访问控制(见第9章) ;

b) 信息分级(和处理)(见8.2) ;

c) 物理和环境安全(见第11章)

d) 面向终端用户的策略，如:

1) 资产的可接受使用(见8.1.3) ;

2) 桌丽和|屏幕的清理(见11.2.9) ;

3) 信息传输(见13.2.1) ;

4) 移动设备和远程工作(见6.2) ;

5) 软件安装以及使用限制( 见12.6.2) ;

这些策略都是实施ISO27001认证体系必须考虑实施的。

e) 备份(见12.3) ;

f) 信息传输(见13.2) ;

g) 恶意软件防范(见12.2) ;

h) 技术脆弱性管理(见12.6.1) ;

i) 密码控制(见第10章) ;

j) 通信安全(见第13章) ;

k ) 隐私以及个人可识别信息的保护(见18.1.4) ;

1) 供应商关系(见第15 章) 。

这些策略宜采用预期读者适合的、可访问和可理解的形式传达给员工和外部相关方，例如，在"信息安全意识、教育和培训11 "(见7.2.2) 环境下。

其他信息

内部信息安全策略的需求因组织而异。内部策略对于大型和复杂的组织而言尤其有用，当这些组织中明确和批准控制预期水平的人员与实现控制的人员是分离的，或者当内部策略应用在组织不同的人员或职能时，也是非常有用的。信息安全策略能够以单一"信息安全策略"文件的形式发布，或作为各不相同但相互关联的一套文件的形式发布。

假如信息安全策略在组织外进行分发. 宜注意不要世露保密信息。

一些组织使用其他术语用于这些策略文件.例如"标准""导员。"或"规则" 。

上述策略可作为实施ISO27001认证体系信息安全管理参考。

ISO27001认证体系信息安全管理策略指南

ISO27001认证体系信息安全管理策略指南

实施信息化、工业化(即两化融合)认证企业不可避免会涉及到ISO27001信息安全管理体系，本文摘要介绍ISO27001认证体系信息安全管理策略，仅供参考。

一.控制-信息安全策略集宜被定义，由管理者批准、发布，传达给所有员工和外部相关方；

二.实现指南-在最高管理层次上，公司定义1个息安全方针，该方针宜获获得管理层批准，并建立组织管理其信息安全目标的方法。

信息安全方针宜关注下列方面产生的要求

(1) 业务战略;

(2) 法律、法规和合同;

(3)当前和预期的信息安全威胁环境。

该息安全方针应包含涉及以下内容的陈述:

a) 息安全、目标和原则的足义，以指导所有信息安全有关的活动；

b) 信息安全管理方面的通常和 特定责任的分配给已定义的角色；

c) 处理偏差和意外外的过程。

在较低层面.，该信息安全策略应宜由特定主题的策略予以支持. 这些策略进1步强制性地规定了信息安全控制的实现，通常是结构化的，以强调组织内某些目标群体的需求或涵盖某些主题。例如， 这样的策略主题包含:

a) 访问控制 ;

b) 信息分级(和l 处理) :

c) 物理和环境安全 ;

d)面向终端用户策略：

1) 资产的可接受使用 :

2) 桌面和屏幕的清理:

3) 信息传输:

4）移动监备l远程工作 ;

5) 软件安装以及使用规则;(这是实施ISO27001认证体系控制点)

e) 备份 ;

f)信息传输 ;

g) 恶意软件防范;

h) 技术脆弱性管理 :

i ) 密码控制 :(这是实施ISO27001认证体系控制点)

j )通信安全 ;

k) 隐私以及个人可识别信息的保护;

1) 供应商关系。

这些策略宜采用顶期读者适合的、可访问和可理解的形式传达给员工和外部相关方， 例如 .信息安全意识、教育和培训环境下。

三.其他信息

内部信息安全策略求因组织而异。内部策略对于大型和复杂的组织而言尤其有用，当这些组织中明确和批准控制预期水平的人且与实现控制的人员是分离的. 或者当内部策略应用在组织不同的人员或职能时，也是非常有用的。信息、安全策略能够以单一..信息安全策略"文件的形式发布. 或作为各不相同但相互关联的一套文仲的形式发布。

假如信息安全策略在组织外进行分发，宜注意不要泄漏保密信息。

上述内容实施ISO27001认证体系企业制订信息安全策略时参考。