Ten punkt normy ISO 27001 jest prostym wymogiem, który można łatwo spełnić, jeśli wszystko inne robisz dobrze. Dotyczy sposobu, w jaki organizacja wdraża, utrzymuje i stale ulepsza system zarządzania bezpieczeństwem informacji.
Utrzymanie systemu zarządzania bezpieczeństwem informacji
Jednym z kluczy do utrzymania systemu zarządzania bezpieczeństwem informacji w celu spełnienia punktu 4.4 jest zaangażowanie w bezpieczeństwo informacji ze strony kierownictwa wyższego szczebla, przy jednoczesnym posiadaniu technologii, która znacznie ułatwia administrację i zarządzanie wszystkim zaangażowanym, w tym specjalistom ds. bezpieczeństwa informacji, kierownictwu wyższego szczebla, pracownikom, dostawcom i samym audytorom. Dla audytorów zewnętrznych korzystne byłoby pokazanie istoty ISO 27001. Można to osiągnąć, zaczynając od kierownictwa wyższego szczebla i jego zaangażowania w technologię wykorzystywaną do koordynacji, kontroli i wykazania, że wszystko inne działa zgodnie z oczekiwaniami.