For å samsvare med ISO 27001 er en informasjonssikkerhetspolicy og temaspesifikke policyer et krav.
Innvolvering fra toppledelsen i utformingen av informasjonssikkerhetspolicy er viktig, det er de som setter premissene for hvilket nivå av sikkerhet selskapet skal legge seg på, og det er de som er ansvarlig for å sette av nødvendige ressurser for å etterleve policyen.
Videre er det også ledelsens ansvar å sørge for at policyen kommuniseres til relevante interessenter både eksternt og internt.
Ved å etablere de rette tiltakene og fokusere på bevisstgjøring av ansatte vil man etablere god sikkerhetskultur, så enkelt og så vanskelig.
De temaspesifikke policyene etablerer man etter behov, dette vil til en viss grad variere fra selskap til selskap alt ettersom aktiviteten til virksomheten.
Typiske policyer kan være:
- Sluttbrukerenheter
- Priviligerte tilgangsrettigheter
- Innformasjonssikkerhetshendelser
De temaspesifikke policyene skal være med å tydeliggjøre den overordnede informasjonssikkerhetspolicy der selskapet føler de trenger mer utfyllende og detaljerte beskrivelse av et bestemt område.
