De directie moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden vastgesteld en [A1>compatibel zijn met<A1] de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen beschikbaar zijn;
d) het belang [A1>van doeltreffend<A1] informatiebeveiligingsmanagement en van het voldoen aan de eisen van het managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en) behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementfuncties te ondersteunen om hun leiderschap te tonen binnen hun verantwoordelijkheidsgebieden.
De directie moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen bevat (zie 6.2) of het kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met informatiebeveiliging; en
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
Het beleid voor informatiebeveiliging moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie, en
g) [A1>op een geschikte manier<A1] beschikbaar zijn voor belanghebbenden.
De directie moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant zijn voor informatiebeveiliging worden toegekend en gecommuniceerd.
De directie moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van deze norm; en
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan de directie.
OPMERKING De directie kan ook verantwoordelijkheden en bevoegdheden toekennen met betrekking tot het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging binnen de organisatie.
