Odpovědnost vedení

5.1 Závazek vedení

Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,

přezkoumání, udržování a zlepšování ISMS tak, že:

a) ustanoví politiku ISMS;

b) zajistí stanovení cílů ISMS a plánu jejich dosažení;

c) stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací;

d) propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu

s politikou bezpečnosti informací, plnění povinností vyplývajících ze zákona a potřebu

soustavného zlepšování;

e) zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání,

údržbu a zlepšování ISMS (viz 5.2.1);

f) stanoví svým rozhodnutím akceptovatelnou úroveň rizika;

g) zajistí provádění interních auditů ISMS (viz kapitola 6);

h) provede přezkoumání ISMS (viz kapitola 7).

5.2 Řízení zdrojů

5.2.1 Zajištění zdrojů

Organizace musí určit a zajistit zdroje potřebné pro:

a) ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování ISMS;

b) zajištění podpory cílů činností organizace postupy bezpečnosti informací;

c) určení a věnování náležité pozornosti zákonným a regulatorním požadavkům a

smluvním bezpečnostním závazkům;

d) udržování odpovídající úrovně bezpečnosti správnou aplikací všech zavedených

opatření;

e) provedení přezkoumání podle potřeby a zajištění odpovídajících reakcí na jejich

výsledky;

f) zlepšení efektivnosti ISMS podle potřeby.

5.2.2 Školení, vědomí závažnosti a odborná způsobilost

Organizace musí zajistit, aby zaměstnanci, kterých se týkají povinnosti určené v ISMS, byli

kompetentní k výkonu požadovaných úkolů. Zajišťuje to pomocí:

a) určení nezbytných kompetencí personálu vykonávajícího práci ovlivňující ISMS;

b) zajištění odpovídajícího školení nebo podniknutí jiných kroků (např. zaměstnání

kvalifikovaného personálu);

c) vyhodnocení efektivnosti zajištěného školení a provedených činností;

d) udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních

předpokladech (viz 4.3.3).

Organizace musí také zajistit, aby si byl veškerý příslušný personál vědom závažnosti

a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS.