控制目标:组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全 控制措施 信息安全方针 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方 信息安全方针评审 宜按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性