5 Responsabilidades da direção
5.1 Comprometimento da direção
A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:
a) o estabelecimento da política do SGSI;
b) a garantia de que são estabelecidos os planos e objetivos do SGSI;
c) o estabelecimento de papéis e responsabilidades pela segurança de informação;
d) a comunicação à organização da importância em atender aos objetivos de segurança da informação e a conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a necessidade para melhoria contínua;
e) a provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI (ver 5.2.1);
f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;
g) a garantia de que as auditorias internas do SGSI sejam realizadas (ver seção 6); e
h) a condução de análises críticas do SGSI pela direção (ver seção 7).
FONTE: ISO/IEC 27001