Ten punkt jest bardzo łatwy do udowodnienia, jeśli organizacja już „pokazała, jak to działa”. Rozwijanie SZBI w celu spełnienia wymagań 6.1, 6.2, a zwłaszcza 7.5, gdzie cały SZBI jest dobrze zorganizowany i udokumentowany, spełni również wymagania 8.1.
Co obejmuje punkt 8.1?
Chodzi o planowanie, wdrażanie i kontrolowanie w celu zapewnienia osiągnięcia wyników systemu zarządzania bezpieczeństwem informacji.
Doświadczone organizacje, które planują i wcześnie wdrażają system zarządzania bezpieczeństwem informacji z myślą o certyfikacji ISO 27001, przeprowadzają również przeglądy zarządzania zgodnie z punktem 9.3. Zalecamy, aby te przeglądy zarządzania bezpieczeństwem informacji były przeprowadzane co tydzień na wczesnych etapach, aby utrzymać tempo i budować nawyk, a następnie ustabilizować się na rzadsze okresy po audycie Etapu 1.
Chociaż nie wszystkie punkty porządku obrad w punkcie 9.3 można wykazać podczas wdrażania, administratorzy mogą rejestrować, co zostało osiągnięte i co jest planowane w przyszłości. Da to niezależnym audytorom pewność, że organizacja dobrze planuje, biorąc pod uwagę ducha standardu i praktykując przegląd zarządzania.