ISMS-MG-A05-01信息安全策略管理指南.doc.doc

| Internal Use Only 1 ISO 27001 信息安全管理体系文件信息安全策略管理指南文档信息文档名称信息安全策略管理指南文档编号 ISMS-MG--01 受控状态受控文件扩散范围内部使用制作人制作日期 2006-12-20 复审人复审日期 2006-12-21 版本历史版本日期说明修订人 2006-12-20 创建文件| Internal Use Only 2 1. 目的为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。 2. 适用范围本文档适用于公司建立的信息安全管理体系。本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 3. 定义本程序引用 GB/T19000-2000 idt ISO9000:2000 标准中的术语及公司《质量手册》中的定义。本程序引用 ISO/IEC 17799:2005 标准中的术语。 4. 程序 信息安全策略文档管理层应该阐述信息安全方针,并规定组织管理信息安全的方法。该策略文档应包括以下方面的陈述: a)信息安全的定义、整体目标、范围以及安全作为保障信息安全共享机制的重要性; b)信息安全的管理意图、支持性目标和准则,并与业务战略和目标保持一致; c)设立控制目标和控制措施的框架,包括风险评估和风险管理的架构; d)对安全方针、准则、标准的简介,也包括对机构有特别重要性的法律的要求,例如: 1)要符合法律及合同要求; 2)安全教育、培训、意识的要求; 3)业务连续性管理; 4)违反安全方针的后果。 e)信息安全管理的一般的和特定的责任的定义,包括报告安全事件; f)支持该方针的文档的参考说明,如更详尽的安全