ISO27001信息安全管理体系标准介绍之五
5.2 方针
最高管理者应建立信息安全方针,方针应:
a) 与组织意图相适宜;
b) 包括信息安全目标(见6.2)或为信息安全目标的设定提供框架;
c) 包括对满足适用的信息安全要求的承诺;
d) 包括持续改进信息安全管理体系的承诺。
信息安全方针应:
e) 形成文件化信息并可用;
f) 在组织内得到沟通;
g) 适当时,对相关方可用。
5.3 组织的角色,职责和权限
最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。
最高管理者应分配职责和权限,以:
a) 确保信息安全管理体系符合本文件的要求;
b) 向最高管理者报告信息安全管理体系绩效。
注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。