实施 ISO27001认可的 ISMS是影响整个组织的事情。范围和政策声明的清晰划分是到明确要求了的。对范围内的例外情况需要记录下辩护的理由,而政策应适用于整个组织。
该标准还明确表示,ISMS 的设计应以满足组织的需要,并应以满足并不断满足这些需要的方式进行实施和管理。
管理指导
本标准要求管理层应―必要传达给组织符合信息安全目标与遵守信息安全政策的重要性。这些要求在 ISMS 标准的后续版本越来越得到加强,因为事实越来越清楚地表明:没有这些管理方面的支持和指导,设计并建立 ISMS 是很难的。
ISMS 的战略性质,在标准4.1章节中有明确的规定要求,它声明―组织应建立、实施、运作、监督、审查、维持和改善一个可记录的 ISMS,以应对该组织在整体商业活动环境中所面临的风险。‖组织针对风险处理的总体方针设定应同本标准的风险评估策略相一致。
管理层的责任是非常重要的,第5条全专门设置了详细的规定,要求管理层―应当提供其承诺的建立、实施、运作、监督、审查、维持和改进 ISMS 的证据。