您现在的位置:首 页 > 体系认证 > ISO27001认证体系信息安全策略介绍

ISO27001认证体系信息安全策略介绍

越来越多企业开始通过实施ISO27001认证体系以提升公司信息安全管理,本文摘要介绍ISO27001认证体系信息安全策略供参考。

控制
信息安全策略集宜被定义,由管理者批准,并发布、传达给所有员工和外部相关方。
实现指南
在最高层上,组织宜定义一个.. 信息安全方针",该方针宜获得管理层批准,并建立组织管理其信息安全目标的方法。
信息安全方针宜关注下列方面产生的要求:
a) 业务战略;
b) 法律、法规和合同;
c) 当前和预期的信息安全威胁环境。
该信息安全方针宜包括涉及以下内容的陈述:
a) 信息安全、目标和原则的定义,以指导所有信息安全有关的活动;
b) 把信息安全管理方面的一般和特定责任的分配给已定义的角色;
c) 处理偏差和意外的过程。
在较低层面, 该信息安全策略宜由特定主题的策略予以支持,这些策略进一步强制性地规定了信息安全控制的实现, 并通常是结构化的, 以强调组织内某些目标群体需求或桶盖某些主题。下面括号中是指ISO27001认证体系实践指南中章节。
例如,这样的策略主题包括:
a) 访问控制(见第9章) ;
b) 信息分级(和处理)(见8.2) ;
c) 物理和环境安全(见第11章)
d) 面向终端用户的策略,如:
   1) 资产的可接受使用(见8.1.3) ;
   2) 桌丽和|屏幕的清理(见11.2.9) ;
   3) 信息传输(见13.2.1) ;
   4) 移动设备和远程工作(见6.2) ;
   5) 软件安装及其使用限制( 见12.6.2) ;

这些策略都是实施ISO27001认证体系需要考虑实施的。

e) 备份(见12.3) ;

f) 信息传输(见13.2) ;
g) 恶意软件防范(见12.2) ;
h) 技术脆弱性管理(见12.6.1) ;

i) 密码控制(见第10章) ;
j) 通信安全(见第13章) ;
k ) 隐私及其个人可识别信息的保护(见18.1.4) ;
1) 供应商关系(见第15 章) 。
这些策略宜采用预期读者适合的、可访问和可理解的形式传达给员工和外部相关方,例如,在"信息安全意识、教育和培训11 "(见7.2.2) 环境下。
其他信息
内部信息安全策略的需求因组织而异。内部策略对于大型和复杂的组织而言尤其有用,当这些组织中确定和批准控制预期水平的人员与实现控制的人员是分离的,或者当内部策略应用在组织不同的人员或职能时,也是非常有用的。信息安全策略可以以单一"信息安全策略"文件的形式发布,或作为各不相同但相互关联的一套文件的形式发布。
如果信息安全策略在组织外进行分发. 宜注意不要世露保密信息。
一些组织使用其他术语用于这些策略文件.例如"标准""导员。"或"规则" 。

上述策略可作为实施ISO27001认证体系信息安全管理参考。

获得帮助:4000-816-938

证书查询

图文展示

IATF16949认证标准IATF16949:2016版第四次修订认可解释SI14IATF发布官方最权威关于IATF16949认证标准修订认可解释

铁路行业ISO/TS22163认证标准取代IRIS认证标准转换指导了解铁路行业认证标准掌握最新版TS22163转换认证时间表

如何申请GJB9001认证之GJB9001C认证条件与准备企业如何申请GJB认证呢?需要具备什么条件又该如何准备认证呢?

AS9100认证体系适用范围及作用介绍AS9100认证体系产生、作用及适用企业范围

最新ISO13485认证标准2016版主要变化与特征简要介绍最新版ISO13485认证标准主要变化以便企业换版参考

汽车质量管理体系IATF16949认证申请条件和要求IATF16949认证标准取代ISO/TS16949认证标准后适用范围有变化

IAF正式发布ISO9001:2015版转换实施指南ISO9001:2015版发生了很大变化,如实顺利低成本换版是很多企业关注焦点。

QC080000管理体系认证咨询为何需要QC080000认证?QC080000适合哪些企业?如何办理QC080000认证?

电讯业TL9000管理体系认证咨询知名公司加速市场开发
规范提升企业管理
专业高效认证咨询模式
电讯行业质量管理体系

咨询电话:4000-816-938

在线客服