5 领导力
5.1 领导力和承诺
最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺:
a) 确保信息安全方针和信息安全目标已建立,并与组织战略方向一致;
b) 确保将信息安全管理体系要求整合到组织过程中;
c) 确保信息安全管理体系所需资源可用;
d) 传达有效的信息安全管理及符合信息安全管理体系要求的重要性;
e) 确保信息安全管理体系达到预期结果;
f) 指导并支持相关人员为信息安全管理体系有效性做出贡献;
g) 促进持续改进;
h) 支持其他相关管理者角色,在其职责范围内展现领导力。
5.2 方针
最高管理者应建立信息安全方针,方针应:
a) 与组织意图相适宜;
b) 包括信息安全目标(见6.2)或为信息安全目标的设定提供框架;
c) 包括对满足适用的信息安全要求的承诺;
d) 包括持续改进信息安全管理体系的承诺。
信息安全方针应:
e) 形成文件化信息并可用;
f) 在组织内得到沟通;
g) 适当时,对相关方可用。
5.3 组织的角色,职责和权限
最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。
最高管理者应分配职责和权限,以:
a) 确保信息安全管理体系符合本标准的要求;
b) 向最高管理者报告信息安全管理体系绩效。
注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。