Odpovědnost vedení
5.1 Závazek vedení
Vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování,
přezkoumání, udržování a zlepšování ISMS tak, že:
a) ustanoví politiku ISMS;
b) zajistí stanovení cílů ISMS a plánu jejich dosažení;
c) stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací;
d) propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu
s politikou bezpečnosti informací, plnění povinností vyplývajících ze zákona a potřebu
soustavného zlepšování;
e) zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání,
údržbu a zlepšování ISMS (viz 5.2.1);
f) stanoví svým rozhodnutím akceptovatelnou úroveň rizika;
g) zajistí provádění interních auditů ISMS (viz kapitola 6);
h) provede přezkoumání ISMS (viz kapitola 7).
5.2 Řízení zdrojů
5.2.1 Zajištění zdrojů
Organizace musí určit a zajistit zdroje potřebné pro:
a) ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování ISMS;
b) zajištění podpory cílů činností organizace postupy bezpečnosti informací;
c) určení a věnování náležité pozornosti zákonným a regulatorním požadavkům a
smluvním bezpečnostním závazkům;
d) udržování odpovídající úrovně bezpečnosti správnou aplikací všech zavedených
opatření;
e) provedení přezkoumání podle potřeby a zajištění odpovídajících reakcí na jejich
výsledky;
f) zlepšení efektivnosti ISMS podle potřeby.
5.2.2 Školení, vědomí závažnosti a odborná způsobilost
Organizace musí zajistit, aby zaměstnanci, kterých se týkají povinnosti určené v ISMS, byli
kompetentní k výkonu požadovaných úkolů. Zajišťuje to pomocí:
a) určení nezbytných kompetencí personálu vykonávajícího práci ovlivňující ISMS;
b) zajištění odpovídajícího školení nebo podniknutí jiných kroků (např. zaměstnání
kvalifikovaného personálu);
c) vyhodnocení efektivnosti zajištěného školení a provedených činností;
d) udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních
předpokladech (viz 4.3.3).
Organizace musí také zajistit, aby si byl veškerý příslušný personál vědom závažnosti
a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS.