1.1
Har virksomheten en dokumentert informasjonssikkerhetspolicy?
En informasjonssikkerhetspolicy er et overordnet dokument som beskriver virksomhetens prinsipper og mål for informasjonssikkerhet. Den behøver ikke være lang, men bør være godkjent av ledelsen og kommunisert til ansatte. Uten dette mangler organisasjonen en felles retning for sikkerhetsarbeidet.