Punkt 5.2 normy ISO 27001 wymaga od najwyższego kierownictwa ustanowienia polityki bezpieczeństwa informacji. Wymóg udokumentowania polityki jest dość prosty. Jednak to, co znajduje się w polityce i w jaki sposób odnosi się ona do szerszego SZBI, da zainteresowanym stronom pewność, której potrzebują, aby zaufać temu, co kryje się za polityką.
Co obejmuje punkt 5.2?
Kierownictwo wyższego szczebla musi zrobić szereg rzeczy wokół tej polityki, aby była ona odpowiednia dla kontekstu, zakresu i celów biznesowych organizacji.
Do niedawna polityki zawierały ogólne zapisy, które były pięknymi zwrotami na temat zarządzania bezpieczeństwem informacji, zarządzania ryzykiem i zapewnienia informacji, aby spełnić zadanie zaznaczenia pola wyboru przez osobę z działu organizacyjnego lub finansowego. Nie jest to już traktowane jako polityka. Kontrahenci (interesariusze) nie tylko będą chcieli zobaczyć politykę bezpieczeństwa, ale mogą chcieć, aby była ona poparta dowodami jej praktycznego działania – oczywiście z pomocą niezależnej jednostki certyfikującej bezpieczeństwo informacji, i rozsądnego SZBI lub audytu zewnętrznego.
Niektóre z innych rzeczy, które najwyższe kierownictwo musi zrobić w związku z tym punktem, poza ustanowieniem samej polityki, obejmują:
- Upewnienie się, że jest ona odpowiednia do celu organizacji – nie wolno posługiwać się z politykami ściągniętymi z Internetu – chodzi nie tylko o prawa autorskie, ale również o kontekst funkcjonowania podmiotu i celów bezpieczeństwa.
- Wyjaśnienie celów bezpieczeństwa informacji (omówionych szerzej w punkcie 6.2) lub przynajmniej określenie ich warunków – wskazówka: powinno to obejmować istotne i wymierne aspekty ochrony poufności, integralności i dostępności zasobów informacyjnych określonych w punkcie 4.1 i przechowywanych zgodnie z punktem A8.1.
- Zobowiązanie do spełnienia odpowiednich wymagań dotyczących potrzeb organizacji w zakresie bezpieczeństwa informacji (tj. tych objętych podstawowymi wymaganiami ISO 27001 i kontrolami z załącznika A).
- Zapewnienie jego ciągłego doskonalenia – SZBI jest dożywotni, a coroczne audyty nadzorcze będą oczywiste (lub nie).
- Udostępnianie i komunikowanie go organizacji i zainteresowanym stronom w razie potrzeby.
Polityka Bezpieczeństwa Informacji ma być adekwatnym dokumentem dla osiągnięcia przez organizację prawidłowo funkcjonującego SZBI.