Organizace má dle vyhlášky povinnost stanovit bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti. A zároveň vést bezpečnostní politiku a bezpečnostní dokumentaci k relevantním bezpečnostním opatřením. Tato pravidla a postupy stanovené v dokumentaci musí organizace dodržovat. 

Je nezbytné, aby v rámci organizace bylo zajištěno pravidelné přezkoumávání a aktualizace bezpečnostní politiky a bezpečnostní dokumentace, přičemž relevantní oblasti mají být zahrnuty do provozní dokumentace, pravidel a postupů.

Dále musí být určena osoba odpovědná za tento pravidelný přezkum a aktualizaci. Pro efektivní fungování ISMS musí být bezpečnostní politika a dokumentace řízeny tak, aby byly chráněny z hlediska důvěrnosti, integrity a dostupnosti. Informace v nich obsažené musí být úplné, čitelné, snadno identifikovatelné a vyhledatelné a musí být přiměřeně dostupné dotčeným osobám v elektronické nebo listinné podobě.

Zásadními body pro řízení bezpečnostní politiky a bezpečnostní dokumentace.

• Dokumentace musí být úplná, logicky uspořádaná a odpovídat prostředí organizace.
• Dokumentace musí být schválená a platná pro její uplatnění a vymáhání.
• Určení odpovědné osoby za pravidelný přezkum a zajištění aktuálnosti dokumentace.
• Přezkum dokumentace má probíhat pravidelně (např. jednou ročně) a při významných změnách.

Problematice řízení bezpečnostní politiky a bezpečnostní dokumentace se blíže podpůrný materiál, který vyjde v nebližší době na Portálu NÚKIB.