ISO27001认证体系信息安全管理策略指南

实施信息化、工业化(即两化融合)认证企业不可避免会涉及到ISO27001信息安全管理体系，本文摘要介绍ISO27001认证体系信息安全管理策略，仅供参考。

一.控制-信息安全策略集宜被定义，由管理者批准、发布，传达给所有员工和外部相关方；

二.实现指南-在最高管理层次上，公司定义一个息安全方针，该方针宜获获得管理层批准，并建立组织管理其信息安全目标的方法。

信息安全方针宜关注下列方面产生的要求
(1) 业务战略;
(2) 法律、法规和合同;
(3) 当前和预期的信息安全威胁环境。
该息安全方针应包括涉及以下内容的陈述:
a) 息安全、目标和原则的足义，以指导所有信息安全有关的活动；
b) 信息安全管理方面的一般和 特定责任的分配给已定义的角色；
c) 处理偏差和意外外的过程。
在较低层面.，该信息安全策略应宜由特定主题的策略予以支持. 这些策略进一步强制性地规定了信息安全控制的实现，通常是结构化的，以强调组织内某些目标群体的需求或涵盖某些主题。例如， 这样的策略主题包括:
a) 访问控制 ;
b) 信息分级(和l 处理) :
c) 物理和环境安全 ;
d) 面向终端用户策略：
  1) 资产的可接受使用 :
  2) 桌面和屏幕的清理:
  3) 信息传输:
  4）移动监备l远程工作 ;
  5) 软件安装及其使用规则;(这是实施ISO27001认证体系控制点)
e) 备份 ;
f) 信息传输 ;
g) 恶意软件防范;
h) 技术脆弱性管理 :

i ) 密码控制 :(这是实施ISO27001认证体系控制点)
j ) 通信安全 ;
k) 隐私及其个人可识别信息的保护;
1) 供应商关系。
这些策略宜采用顶期读者适合的、可访问和可理解的形式传达给员工和外部相关方， 例如 .信息安全意识、教育和培训环境下。
三.其他信息
内部信息安全策略求因组织而异。内部策略对于大型和复杂的组织而言尤其有用，当这些组织中确定和批准控制预期水平的人且与实现控制的人员是分离的. 或者当内部策略应用在组织不同的人员或职能时，也是非常有用的。信息、安全策略可以以单一..信息安全策略"文件的形式发布. 或作为各不相同但相互关联的一套文仲的形式发布。
如果信息安全策略在组织外进行分发，宜注意不要泄漏保密信息。

上述内容实施ISO27001认证体系企业制订信息安全策略时参考。