由 猿小六 如 ISO/IEC 27001 在管理层职责部分所述,管理层在 ISMS 的成功中扮演着重要的角色。
输入
ISO/IEC 27001 管理层职责定义
管理层必须致力于 ISMS 的建立、实施、运行、监控、审查、维护和改进。管理层承诺必须包括如下活动:确保有适当的资源用于ISMS的工作,确保所有受ISMS影响的员工都有适当的培训、意识和能力。
输出
下列项目的建立证明了管理承诺:
- 信息安全政策:该策略可以是一个独立的文档,也可以是组织使用的整体安全手册的一部分。(有关其他指导,请参阅下面的示例。)
- 信息安全目标和计划:同样,这些信息可以是一个独立的文档,也可以是一个组织使用的整体安全手册的一部分(有关其他指导,请参阅下面的示例)。
- 信息安全的角色和职责:与信息安全相关的角色列表应记录在组织的工作描述文件中,或作为安全手册或ISMS描述文件的一部分。
- 向组织通告或沟通遵守信息安全政策的重要性。
- 有足够的资源来管理、开发、维护和实施ISMS。
此外,管理层将参与 ISMS 计划-实施-检查-行动[PDCA]过程,如 ISO/IEC 27001 所述:
- 确定可接受的风险水平。这种活动的证据可以纳入风险评估文件,稍后将在本指南中描述。定期对 ISMS 进行管理评审。此活动的证据可以作为 ISMS 文件审批过程的一部分。
- 确保受 ISMS 影响的人员得到培训,能够胜任其被指派履行的角色和职责,并意识到这些角色和职责。这一活动的证据可以通过员工培训记录和员工评审文件来证明。
案例
安全策略案例
保护公司资产对我们业务的成功至关重要。为此,我们建立了一个信息安全管理体系,该体系运行所有所需的流程,以确定我们需要保护的信息以及我们必须如何保护这些信息。
由于我们业务的需要变化,我们认识到我们的管理系统必须不断地改变和改进,以满足我们的需要。为此,我们不断制定新的目标,并定期审查我们的过程。
目标
我们公司的政策是:
- 信息只能由公司内部或外部的授权人员访问。
- 保持信息的机密性。
- 在整个过程中保持信息的完整性。
- 建立、维护和测试业务连续性计划。
- 所有人员都接受了信息安全培训,并被告知遵守政策强制性的。
- 报告并调查所有信息安全漏洞和可疑弱点。
- 存在支持策略的步骤,包括病毒控制措施、密码和连续性计划。
- 满足信息和系统可用性的业务需求。
- 信息安全经理负责维护政策,并在其实施过程中提供支持和建议。
所有经理直接负责执行政策并确保员工遵守各自的部门。
本政策经公司管理层批准,每年由管理层评审小组评审。