信息安全控制目标和控制措施
表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC 17799:2005第5到15章一致。

表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。

在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。

ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南，以支持A.5到A.15列出的控制措施。

表A.1控制目标和控制措施
A.5 安全方针
A.5.1 信息安全方针
目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。

A.5.1.1
信息安全方针文件
控制措施
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。

A.5.1.2
信息安全方针的评审
控制措施
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。

A.6信息安全组织
A.6.1内部组织
目标：在组织内管理信息安全。