De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging.
De organisatie moet:
a) de [A1>benodigde<A1] competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden verricht(en) die [A1>haar<A1] prestaties op het gebied van informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste opleiding, training of ervaring;
c) [A1>indien<A1] van toepassing, [A1>acties ondernemen<A1] om de benodigde competentie te verwerven, en de doeltreffendheid van de [A1>ondernomen acties<A1] evalueren; en
d) geschikte gedocumenteerde informatie als [A1>bewijs van competentie bijhouden<A1].
OPMERKING [A1>Toepasbare acties<A1] kunnen bijvoorbeeld zijn: het voorzien in training van, het begeleiden van, of het in een andere functie benoemen van mensen die al in dienst zijn; of het inhuren of contracteren van competente personen.
Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties;
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
De organisatie moet de behoefte vaststellen aan interne en externe communicatie die relevant is voor het managementsysteem voor informatiebeveiliging, [A1>inclusief<A1]:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) wie moet communiceren; en
e) volgens welke processen de communicatie moet plaatsvinden.
Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) [A1>de<A1] gedocumenteerde informatie die deze norm vereist; en
b) de gedocumenteerde informatie die de organisatie [A1>nodig acht<A1] voor de doeltreffendheid van het managementsysteem voor informatiebeveiliging.
OPMERKING De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor [A1>een passend(e)<A1]:
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en [A1>toereikendheid<A1].
Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en deze norm vereisen, moet worden [A1>beheerst<A1] om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is;
b) de informatie [A1>afdoend<A1] is beveiligd (bijv. tegen verlies van vertrouwelijkheid, oneigenlijk gebruik en aantasting).
Voor het [A1>beheersen<A1] van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, waaronder behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) [A1>het bewaren en vernietigen<A1].
Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en uitvoering van het managementsysteem voor informatiebeveiliging, moet [A1>bij de situatie passend worden geïdentificeerd, en worden beheerst.<A1]
OPMERKING Toegang [A1>impliceert<A1] een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen, enz.
