最近会实施ISMS项目

对2w7和国内等同采用的标准进行研读和思考

顺便整理一些材料 很可能有不妥的地方 分享出来 欢迎拍砖

首先将27002里面的11个管理类 分别进行分析和思路总结

先来第一个 信息安全方针

楼主的PPT模块不错，酷！
楼主的头像不错，漏点！
楼主写的不错，好！

提纲
􀂄信息安全方针策略的重要性
􀂄27001的要求
􀂄27002的阐述
􀂄信息安全方针和策略体系结构
􀂄相关管理过程记录

模版很靓。。。。。

不明白信息安全里面要包含“环境管理策略”，是怎么定义的，按照27001的那条？你所做的是怎么定的？

“环境管理策略”或许理解为对工作环境进行管理的基本策略，包括对工作环境的特别要求，可能对特定的组织还很重要。如：电子屏蔽要求

另外，“在27001的描述中，认为ISMS方针是信息安全方针的一个扩展集”这话似乎理解，但总有些让人迷惑。请楼主再给解析一下。

层次比较高......

兄弟你看的挺细致 说句实话 问的俺有点心虚 这里的环境策略是指物理环境的安全管理 象 门禁 消防 供电 温湿度控制 监控等 27002里面的管理类“物理和环境安全管理” 里面应该有环境、介质、设备等控制 其实我还没非常仔细看 只是结合了等保的一些管理要求 觉得应该有这些 就列出来了 这是第一个管理类 后面理解深入了 前面的 应该还会随着调整

兄弟补充的很好 我原来更多考虑的是机房之类的环境安全 其实 2w7作为一个组织层面的管理体系 必须考虑办公环境的安全管理 谢谢

这句话我是在国内的等同采纳标准 GBT-22080里面看到的 还没去对比27001里面有没有对应的内容 总之 这句话看得我很纠结 还另外发了个帖子请教大家呢

环境管理策略应该是对应标准中的第五章物理与环境安全，物理与环境安全(Physical and environmentalsecurity)是讨论保护信息系统基础和设施、设备、存储介质免受非法的物理访问、自然灾害和环境危害。

楼主关于信息安全方针的理解十分深刻，受教了，期待后面的十个章节更精彩！

《信息安全策略与机制》张晓伟 （机械工业出版社）

第4章 环境安全策略
4.1 计算机放置地点和设施结构
4.2 环境保护机制
4.2.1 空调系统
4.2.2 防静电措施
4.2.3 计算机房的防火机制
4.3 电源
4.3.1 电源线干扰
4.3.2 保护装置
4.3.3 紧急情况供电
4.3.4 策略描述
4.4 接地机制
4.4.1 地线种类
4.4.2 接地系统
4.4.3 策略描述
4.5 硬件保护机制
4.5.1 计算机设备的安全设置
4.5.2 计算机外部辅助设备的安全

觉得有参考价值的

愧对兄弟高赞

我会陆续把后续的一些思路总结发上来 还想跟等级保护做一个关联分析

另外 本帖只提供思路和要点 不提供具体的文档文字内容 一方面 除了第一层 第二层 文档 可能有部分通用共性之外 三级和四级文档更多着眼于安全管理的落地、可操作，是与具体的环境密切相关的 通用的参考意义不大 另一方面 也算俺一点私心 既要靠这个吃饭 又要承担客户信息保密责任 这里先交待一下了

期待楼主后续的文章。