5.2  知識子域：安全管理控制措施

5.2.1  信息安全方針

信息安全方針包含1個控制目標2個控制措施。

　　方針主要闡述組織管理信息安全目標的方法。該方針應獲得管理層批準簽字。需要組織通過正式公告、宣傳培訓等方式對全體員工和外部相關方發布組織的“信息安全方針”， 必要時可以留存宣傳培訓記錄。一般在每次管理評審后，信息安全方針可能會被修訂，修訂結果也應獲得管理層批準并留存記錄，并及時發布傳達。同時將舊的信息安全方針宣傳材料及時處理。

信息安全方針應針對以下各方的要求：

1)業務策略；

2)法律、法規和合同；

3)當前和預測的信息安全威脅環境。

方針建議包括以下聲明：

1)信息安全，目標和原則的定義，以指導所有信息安全有關的活動；

2)用以定義角色的信息安全管理一般和特定職責的分配；

3)處理偏差和意外的流程。

在稍低的層面，信息安全方針應由特定主題的方針支持，例如網絡安全方針、移動辦公安全方針、外部第三方合作伙伴安全方針等。這些特定的主題強制實施信息安全控制措施，

通常解決組織內某些目標群體的需求或覆蓋某些主題。

每一條特定方針應該有一個責任人，由其負責并對該方針的制定、審查和評估負有管理責任。安全方針的審查應包括評估改進組織方針的時機和響應組織環境、業務環境、法律條件或技術環境變更的信息安全管理方法。信息安全方針的評審應考慮到每次管理評審的結果。