本文目录

2 获得管理层支持

如 ISO/IEC 27001 在管理层职责部分所述,管理层在 ISMS 的成功中扮演着重要的角色。

输入

ISO/IEC 27001 管理层职责定义

管理层必须致力于 ISMS 的建立、实施、运行、监控、审查、维护和改进。管理层承诺必须包括如下活动:确保有适当的资源用于ISMS的工作,确保所有受ISMS影响的员工都有适当的培训、意识和能力。

输出

下列项目的建立证明了管理承诺:

  • 信息安全政策:该策略可以是一个独立的文档,也可以是组织使用的整体安全手册的一部分。(有关其他指导,请参阅下面的示例。)
  • 信息安全目标和计划:同样,这些信息可以是一个独立的文档,也可以是一个组织使用的整体安全手册的一部分(有关其他指导,请参阅下面的示例)。
  • 信息安全的角色和职责:与信息安全相关的角色列表应记录在组织的工作描述文件中,或作为安全手册或ISMS描述文件的一部分。
  • 向组织通告或沟通遵守信息安全政策的重要性。
  • 有足够的资源来管理、开发、维护和实施ISMS。

此外,管理层将参与 ISMS 计划-实施-检查-行动[PDCA]过程,如 ISO/IEC 27001 所述:

  • 确定可接受的风险水平。这种活动的证据可以纳入风险评估文件,稍后将在本指南中描述。定期对 ISMS 进行管理评审。此活动的证据可以作为 ISMS 文件审批过程的一部分。
  • 确保受 ISMS 影响的人员得到培训,能够胜任其被指派履行的角色和职责,并意识到这些角色和职责。这一活动的证据可以通过员工培训记录和员工评审文件来证明。

案例

安全策略案例

保护公司资产对我们业务的成功至关重要。为此,我们建立了一个信息安全管理体系,该体系运行所有所需的流程,以确定我们需要保护的信息以及我们必须如何保护这些信息。

由于我们业务的需要变化,我们认识到我们的管理系统必须不断地改变和改进,以满足我们的需要。为此,我们不断制定新的目标,并定期审查我们的过程。

目标

我们公司的政策是:

  • 信息只能由公司内部或外部的授权人员访问。
  • 保持信息的机密性。
  • 在整个过程中保持信息的完整性。
  • 建立、维护和测试业务连续性计划。
  • 所有人员都接受了信息安全培训,并被告知遵守政策强制性的。
  • 报告并调查所有信息安全漏洞和可疑弱点。
  • 存在支持策略的步骤,包括病毒控制措施、密码和连续性计划。
  • 满足信息和系统可用性的业务需求。
  • 信息安全经理负责维护政策,并在其实施过程中提供支持和建议。

所有经理直接负责执行政策并确保员工遵守各自的部门。

本政策经公司管理层批准,每年由管理层评审小组评审。

最近更新于 2022-05-22 猿小六2022-05-21 发布, 已阅 1455 次。