Высшее руководство организации должно установить политику информационной безопасности, которая:
a) соответствует целям деятельности организации;
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления;
c) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности;
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
Политика информационной безопасности должна быть:
e) доступна в виде документированной информации;
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам.