信息安全控制目标和控制措施.docx

信息安全控制目标和控制措施

表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC 17799:2005第5到15章一致。表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。

ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南，以支持A.5到A.15列出的控制措施。

表A.1控制目标和控制措施

A.5 安全方针

A.5.1 信息安全方针

目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。

A.5.1.1

信息安全方针文件

控制措施

信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。

A.5.1.2

信息安全方针的评审

控制措施

应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。

A.6信息安全组织

A.6.1内部组织

目标：在组织内管理信息安全。