# 5.2 Beleid

> Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:

a)  passend is voor het doel van de organisatie;

b)  informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;

c)  een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;

d)  een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.

> Het informatiebeveiligingsbeleid moet:

e)  beschikbaar zijn als gedocumenteerde informatie;

f)  worden gecommuniceerd binnen de organisatie;

g)  beschikbaar zijn voor belanghebbenden voor zover van toepassing.