ISO 27001要求在计划阶段的第二步定义信息安全策略。
标准的章节4.2.1.b要求组织制定信息安全政策。这项规定也包含在附录A的控制编号5.1.1中,它也是ISO 27001众多章节的最前面一章,并且受到ISO 27002最佳实践指南的支持。ISO 27002章节5.1.1条文扩充了ISO 27001附录A中同样编号的要求,并且符合ISO 27001第4.2.1.b的规范。它解释说,将政策文件做为控制目标的一项的原因是,它提供“为信息安全对业务需求和有关法律法规的依从提供管理指导和 支持。”
政策和业务目标
条文5.1.1接着指出,政策文件应设置为“符合经营目标的明确的政策方向”。该标准的观点是,一个成功的和有益的ISMS将不会破坏或阻止商业活动。实施阻碍业务活动的系统来应对风险,这并不与商业目标相一致,这样的话业务内部的人们将会忽略或绕过ISMS的控制。
信息安全政策是重要的,必须制定到使每个字都是清楚的、明确的和有意义的(即提供一个“明确的方向”)。最后的政策确定是根据该项目范围的完成而定。范围的划定,即成功实施ISO 27001的九大关键要素之一,对政策的定义有着举足轻重的贡献。
信息安全政策必须由董事会签署通过,并通过恰当的方式发布给那些需要用到它的人们。
信息安全治理和信息安全管理体系
关于信息治理,ICT治理委员会绘制了一幅架构图,它展示了管理层如何响应来自业务和其他方面的直接压力来指导、评估和监测ISMS的有效性。
管理层将评价新的或变更了的业务和IT流程,并考虑当时的风险和业务需要,通过信息安全政策,提供组织以风险控制为基础的指导,将控制措施作为其作业流程的一部分,然后监测和评估这些控制的有效性。
