5.2 Kebijakan
5.2 Kebijakan
Manajemen puncak harus menetapkan kebijakan sistem manajemen keamanan informasi (SMKI). Kebijakan SMKI harus memenuhi ketentuan sebagai berikut :
a) sesuai dengan tujuan organisasi.
b) memuat landasan sasaran SMKI.
c) memuat komitmen mematuhi peraturan keamanan informasi yang berlaku (misalya peraturan perudangan terkait keamanan data, dll)
d) memuat perbaikan SMKI yang berkesinambungan.
e) terdokumentasi.
f) dikomunikasikan ke jajaran organisasi.
g) tersedia bagi pihak-pihak yang berkepentingan.
Kebijakan SMKI harus didokumentasikan. Media dokumen ditentukan organisasi sesuai dengan kebijakan yang berlaku
Kebijakan SMKI boleh dibuat tersendiri atau diintegrasikan dengan misalnya kebijakan mutu atau kebijakan K3 atau kebijakan lingkungan atau yang lainnya.