ISO27002:2013信息安全控制实用守则之信息安全方针
5 信息安全方针
5.1 信息安全管理方向
目标:为信息安全提供管理指导和支持并确保与业务需求和相关法律和法规相一致。
5.1.1 信息安全方针(原条款不变)
控制措施
一组信息安全方针应被定义,并由管理者批准、发布、传达给所有员工和外部团体。
实施指南
在最高级,组织应定义一个由管理者批准的“信息安全方针”,阐述组织管理信息安全目标的方法。
信息安全方针应定位于下面建立的要求:
a) 业务战略;
b) 法规、法律和合同;
信息安全方针应包含的声明:
a) 指导所有相关信息安全活动的信息安全、目标和原则的定义;
b) 为信息安全管理定义的角色的一般和具体的责任分配;
c) 处理偏差和异常处理。
在较低级,信息安全方针应以具体主题的策略来支持,更进一步的授权信息安全控制措施的实施,且是典型的结构来处理组织某个目标组的需要或覆盖某个主题。这样的策略主题案例包括:
a) 访问控制(见 9);
b) 信息分类(和处理)(见 8.2);
c) 物理和环境安全(见 11);
d) 面向最终用户的主题如下:
1) 资产的可接受使用(见 8.1.3);
2) 清空桌面和清除屏幕(见 11.2.9);
3) 信息转移(见 13.2.1);
4) 移动设备和远程工作(见 6.2);
5) 软件安全和使用的限制(见 12.6.2);
e) 备份(见 12.3);
f) 信息转移(见 13.2);
g) 恶意软件的防护(见 12.2);
h) 技术脆弱性管理(见 12.6.1);
i) 密码学控制(见 10);
j) 通讯安全(见 13);
k) 个人可识别信息的隐私和保护(见 18.1.4);
l) 供应商关系(见 15);
这些策略应与雇员和相关外部团体以一种相关联的、易接受的和易理解的方式进行沟通,如,一个“信息安全意识、教育和培训程序(见 7.2.2)”的文本。
其它信息
需要各种贯穿组织内部的信息安全策略。内部策略对大型或更的组织尤其的有用,这些定义和批准的控制措施的预期水平与那些实施的控制措施进行分离,或一个策略应用于组织内许多不同的人或功能。信息安全策略可以以一个单独的“信息安全策略“文件发布,或作为一组单独的相关文件。如果任何信息安全策略分配到组织外部,应注意不要泄漏保密信息。一些组织对这些策略文件使用其它的术语,如,“标准”、“指导”或“规则”。
5.1.2
信息安全方针的评审(原条款不变)
控制措施
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。
实施指南
每个方针应有一个由管理者批准的所有人,他负有对方针进行开发、评审和评价的职责。评审应包括评估组织方针改进的机会,和管理信息安全响应组织环境、业务状况、法律条件或技术环境变化的方法。
信息安全方针的评审应考虑管理评审的结果。
应获得管理对一个修订方针的批准。
***********************************************************************************************************************************************
深圳市安信达咨询公司——26年老品牌,国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!
在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!
因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都有ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。
公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。
公司有规范、完善的内部管理系统:
业内首家实行:
1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。
2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)
3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。
目前开展的ISO系列认证有:ISO9001认证、ISO14001认证、IATF16949认证、ISO13485认证、OHSAS18001认证、QC080000认证、AS9100认证、HACCP认证、ISO22000认证、ISO27001认证、ISO20000认证、FSSC22000认证、SA8000认证、ISO26000认证、ISO17025认证、QS认证咨询、英国BRC认证、美国AIB认证、TAPA认证、ICTI认证、ISO14604认证、ISO50001认证等。点击标准查看详细信息