Rechercher des politiques, des procédures et des processus (pour gérer et surveiller les exigences réglementaires, juridiques, de risque, environnementales et opérationnelles de l'organisation) qui définissent une politique de sécurité de l'information organisationnelle établie, applicable (par exemple: statut valide de la définition, de l'approbation, de la révision et de la publication), et communiquée (par exemple sans problème de réception par celles-ci) aux parties prenantes pour informer de la gestion du risque cybersécurité.
Ref: REQ_FUNC_GOV-2
Identifier les politiques de sécurité manquantes (par exemple: rédigées uniquement) ou partielles (par exemple: publications partielles; procédures non révisées; limites manquantes des politiques d'actifs requises) qui sont requises par l'organisation avec (par exemple: incident de transmission; confirmation de la mission de réception/lecture par les parties; problème identifié concernant la disponibilité d'accès à la politique) ou sans problème lors de leur communication aux parties.
Ref: REQ_FUNC_GOV-1