Organisaation johto vastaa, että:
a) organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan,
b) turvallisuusperiaatteet ovat turvallisuusluokiteltujen tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset,
c) turvallisuusperiaatteet ohjaavat tietoturvallisuustoimenpiteitä, ja
d) organisaatiossa on järjestetty riittävä valvonta turvallisuusluokiteltujen tietojen tiedonhallintaan liittyvien velvoitteiden ja ohjeiden noudattamisesta.
The organization has an information security policy developed and approved by top management. The policy shall include at least the following:
In addition, the task owner shall ensure that:
Top management of the organization is responsible for:
The organization's top management must demonstrate a commitment to cyber security work and the management system. Management commits to:
Top management also decides the scope of the information security management system and records the decision in the description of the system. This means, for example, whether some parts of the organisation's activities or information are excluded from the scope of the management system, or whether it applies to all information / activities of the organization.