5.2 Polityka

Najwyższe kierownictwo powinno ustanowić politykę bezpieczeństwa informacji, która:

a) jest odpowiednia do celu organizacji;

b) zawiera cele dotyczące bezpieczeństwa informacji (patrz punkt 6.2) lub stanowi ramy dla ich określania;

c) obejmuje zobowiązanie do spełniania obowiązujących wymagań dotyczących bezpieczeństwa informacji;

d) zawiera zobowiązanie do ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.

Polityka bezpieczeństwa informacji powinna:

e) być dostępna jako udokumentowana informacja;

f) być komunikowana w organizacji;

g) być udostępniana zainteresowanym stronom, w miarę potrzeby.