ISO27001信息安全管理体系标准介绍之五

5.2 方针

Zui高管理者应建立信息安全方针，方针应：

a) 与组织意图相适宜；

b) 包括信息安全目标（见6.2）或为信息安全目标的设定提供框架；

c) 包括对满足适用的信息安全要求的承诺；

d) 包括持续改进信息安全管理体系的承诺。

信息安全方针应：

e) 形成文件化信息并可用；

f) 在组织内得到沟通；

g) 适当时，对相关方可用。

5.3 组织的角色，职责和权限

Zui高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。

Zui高管理者应分配职责和权限，以：

a) 确保信息安全管理体系符合本文件的要求；

b) 向Zui高管理者报告信息安全管理体系绩效。

注：Zui高管理者也可为组织内报告信息安全管理体系绩效，分配职责和权限。