Continuous Controls Monitoring
ISO 27002:2007
ISO 27002:2007
深度解析之一
深度解析之一
安全方针
安全方针
Continuous Controls Monitoring
提纲
信息安全方针策略的重要性
27001的要求
27002的阐述
信息安全方针和策略体系结构
相关管理过程记录
Continuous Controls Monitoring
信息安全方针的重要性
Policy
Policy,可译为
方针
方针或者
策略
策略
方针在
信息安全管理体系(
信息安全管理体系(
ISMS
ISMS
)
)中居于最高层次的核心地
位,所有细化的管理制度、流程、规范、指引都必须与方针策
略相一致,在方针的约束和指导下制定
在ISMS中,信息安全方针属于最上层的一级文件,阐述了信
息安全的目标、信息安全管理的范围、信息安全管理的基本原
则等重要内容
信息安全方针策略自身也是由多个文档构成的层次化体系,由
上至下逐渐细化和深化,包括
总体安全方针
总体安全方针、
面向特定问题
面向特定问题的
安全策略(如访问控制策略、密码使用策略)、以及
面向特定
面向特定
系统
系统的安全策略(如OA系统访问控制策略),其中前两个层
次的方针策略是ISMS中全局性的,最后一个层次是局部的策
略
Continuous Controls Monitoring
27001对于信息安全方针的要求
在27001中,对于建立ISMS的PDCA过程描述中,明确了
建立
建立
ISMS
ISMS
方针
方针的要求
在27001中,对于所建立的
ISMS
ISMS
文件要求
文件要求中,明确要求必须有
经过正式发布的ISMS方针文件
在27001的描述中,认为ISMS方针是信息安全方针的一个扩展
集(
其实这句话是国内等同采纳标准
其实这句话是国内等同采纳标准
GBT
GBT
-
-
22080
22080
中的说法,这
中的说法,这
里有一些疑问,两者的区别到底如何界定,文字内容应该如何
里有一些疑问,两者的区别到底如何界定,文字内容应该如何
阐述?
阐述?)
