ISO 27001要求在計劃階段的第二步定義信息安全策略。
標準的章節4.2.1.b要求組織制定信息安全政策。這項規定也包含在附錄A的控制編號5.1.1中,它也是ISO 27001衆多章節的最前面一章,並且受到ISO 27002最佳實踐指南的支持。ISO 27002章節5.1.1條文擴充了ISO 27001附錄A中同樣編號的要求,並且符合ISO 27001第4.2.1.b的規範。它解釋說,將政策文件做爲控制目標的一項的原因是,它提供“爲信息安全對業務需求和有關法律法規的依從提供管理指導和 支持。”
政策和業務目標
條文5.1.1接着指出,政策文件應設置爲“符合經營目標的明確的政策方向”。該標準的觀點是,一個成功的和有益的ISMS將不會破壞或阻止商業活動。實施阻礙業務活動的系統來應對風險,這並不與商業目標相一致,這樣的話業務內部的人們將會忽略或繞過ISMS的控制。
信息安全政策是重要的,必須制定到使每個字都是清楚的、明確的和有意義的(即提供一個“明確的方向”)。最後的政策確定是根據該項目範圍的完成而定。範圍的劃定,即成功實施ISO 27001的九大關鍵要素之一,對政策的定義有着舉足輕重的貢獻。
信息安全政策必須由董事會簽署通過,並通過恰當的方式發佈給那些需要用到它的人們。
信息安全治理和信息安全管理體系
關於信息治理,ICT治理委員會繪製了一幅架構圖,它展示了管理層如何響應來自業務和其他方面的直接壓力來指導、評估和監測ISMS的有效性。
管理層將評價新的或變更了的業務和IT流程,並考慮當時的風險和業務需要,通過信息安全政策,提供組織以風險控制爲基礎的指導,將控制措施作爲其作業流程的一部分,然後監測和評估這些控制的有效性。
