控制目標(biāo):組織的安全方針能夠依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全
　　控制措施
　　信息安全方針
　　信息安全方針應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方
　　信息安全方針評(píng)審
　　宜按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保它持續(xù)的適宜性、充分性和有效性