5.2 Beleid

Het topmanagement moet een informatiebeveiligingsbeleid vaststellen dat:

a) passend is voor het doel van de organisatie;

b) informatiebeveiligingsdoelstellingen (zie 6.2) bevat of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;

c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging;

d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.

Het informatiebeveiligingsbeleid moet:

e) beschikbaar zijn als gedocumenteerde informatie;

f) worden gecommuniceerd binnen de organisatie;

g) beschikbaar zijn voor belanghebbenden voor zover van toepassing.