5Organizational controls 组织控制ISO/IEC 27001: 2022 附录A)
5.1policies for information security
信息安全策略
Control 控制
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
信息安全策略和特定主题的策略应被定义,由管理者批准,发布、传达给所有员工和外部相关方,并按策划的时间间隔或当重大变化发生时进行信息安全策略评审。
A.5 信息安全策略ISO/IEC 27001: 2013附录A)
A.5.1 信息安全管理指导
目标:依据业务要求和相关法律法规,为信息安全提供管理指导和支持
A.5.1.1信息安全策略控制
信息安全策略集应被定义,由管理者批准,并发布、传达给所有员工和外部相关方。
A.5.1.2信息安全策略的评审控制
应按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和有效性。

控制解析:

  1. 新版将ISO/IEC 27001: 2013附录A中A.5.1.1、A.5.1.2两个控制合并成A.5.1一个控制了,因此控制要求并没有变化。
  2. 在理解本控制的时候,容易把信息安全策略与正文“5.2 信息安全方针”混淆,其实信息安全策略与信息安全方针完全是两个东西。信息安全方针属于层次较高的战略层面,信息安全策略属于较低层次的执行层面;
  3. 信息安全策略,包含多个方面,主要涉及附录A的控制要求,如访问控制策略(A.5.15),信息分级策略(A.5.12),物理和环境安全策略(A.7),备份策略(A.8.13),桌面和屏幕的清理策略(A.7.7)等;
  4. 信息安全策略使用概括性的文字描述,信息安全策略的实施和落地,则需要对应的程序文件和管理规范,如同信息安全管理手册中主要是ISO/IEC 27001正文要求的概述性文字,而信息安全策略则是附录A中控制项要求的概述性文字;
  5. 信息安全策略需要由管理者批准,并发布、传达给所有员工和外部相关方;
  6. 信息安全策略每年至少需要评审一次,并提供评审记录。

实施本控制应输出的文档:

  1. 《信息安全策略管理程序》(可选);
  2. 《信息安全策略集》;
  3. 《信息安全策略集》批准、发布以及评审记录;
  4. 《信息安全策略集》宣导和培训记录。

本控制审核要点:

  1. 是否制定《信息安全策略集》,是否有相关批准、发布以及评审记录;
  2. 是否能提供《信息安全策略集》宣导和培训记录。