Standard Podcast [3:01m]: Hide Player | Play in Popup | Download
ISO 27001要求在計劃階段的第二步定義資訊安全政策。
标準的章節4.2.1.b要求組織制定資訊安全政策。這項規定也包含在附錄A的控制編号5.1.1中,它也是ISO 27001衆多章節的最前面一章,并且受到ISO 27002最佳實踐指南的支援。ISO 27002章節5.1.1條文擴充了ISO 27001附錄A中同樣編号的要求,并且符合ISO 27001第4.2.1.b的規範。它解釋說,将政策檔案做為控制目标的一項的原因是,它提供“為資訊安全對業務需求和有關法律法規的依從提供管理指導和 支援。”
政策和業務目标
條文5.1.1接着指出,政策檔案應設定為“符合經營目标的明确的政策方向”。該标準的觀點是,一個成功的和有益的ISMS将不會破壞或阻止商業活動。實施阻礙業務活動的系統來應對風險,這并不與商業目标相一緻,這樣的話業務内部的人們将會忽略或繞過ISMS的控制。
資訊安全政策是重要的,必須制定到使每個字都是清楚的、明确的和有意義的(即提供一個“明确的方向”)。最後的政策确定是根據該項目範圍的完成而定。範圍的劃定,即成功實施ISO 27001的九大關鍵要素之一,對政策的定義有着舉足輕重的貢獻。
資訊安全政策必須由董事會簽署通過,并通過恰當的方式釋出給那些需要用到它的人們。