陸、 第五章 領導統御
成功的ISMS是由上而下實行的，透過考慮利害關係者的要求及採取有效控制措施將營運業務流程的風險降低到可接受的水平，從而在營運目標與資訊安全之間建立聯繫，因此必須了解營運目標和要求，並且必須建立適當的組織（例如組織中風險管理流程的實施/適應），高階管理人員的核准和支持是必要的，以確保強制性和接受導入的管理系統流程。但可惜的是，在資訊安全管理系統這一個領域，不論國內還是國外，除非高階管理者本身具備資訊的知識，否則通常對於資訊安全，普遍都還是認為是資訊部門的事情，給予必要的支援即可，並不太需要過於重視，畢竟做好資訊安全這件事，並無法帶來立即而明顯績效(尤其對於營運層面)；一直到某大公司因為機台中毒事件造成重大損失後，才又逐漸獲得重視，但平心而論做好資訊安全管理沒有績效，做不好反而會損失，這樣的情況對於各階層管理人員都是一種重大的挑戰。
在第五章主要敘述的內容是領導統御、政策以及組織角色與職掌，以往的管理學通常強調領導者的重要性，期待組織有一個能力優秀的管理者，他/她萬事亨通，沒有難得倒他/她的事情。在之前所敘述從A到A+的書中，特別有強調組織的領導者區分五個等級，組織如果有第五級領導者帶領，一定能從好到卓越；但隨著時代演變，各個組織演變至今，已經不能期待有甚麼事情都會的領導者。之前的ISO標準強調管理系統要有管理代表，而且希望管理代表要有一定的等級，現在ISO標準已經沒有強調管理代表這件事，而是以高階管理者作為取代。試想如果一個公司同時推行品質管理系統、勞工安全衛生管理系統及資訊安全管理系統時，如何期待公司有一個高階人員對於這三項管理都能夠精通？或許有，但並非所有組織都是相同的情況，所以新的ISO標準強調，「高階管理者」其定義為一個人或一組人(組織的高層中)能夠在組織內管理及控制ISMS，主要是這個高階管理者能夠分配資源、監控ISMS，並且必須參加管理審查、促進持續改善。

一、 領導統御
條文5.1領導力與承諾中已經規範了高階管理者應該要做的事情，在此就不重複敘述，但是需要特別說明的事項如下：
• 高階管理者專注於組織的策略性目標、資訊安全政策與組織策略方向的一致性，資訊安全目標也是為了達成組織目標而訂定。
• 確保資訊安全的各項控制措施能夠融入組織日常的流程中，不會被孤立或忽視。
• 依照第四章全景分析的結果適當分配資源(資金、人員、設備及場地)。
• 確保ISMS的溝通能順利進行(上下及內外的溝通)。
• 藉由既定的內部報告機制(主管會議等)瞭解ISMS運作之情況及效能。
• 參加管理審查。
• 讓各階層管理資訊安全的人在對應的位置上發揮功能，找對的人去做正確的事情。
領導統御不是獨攬大權，任何事情都要插手，尤其資訊安全管理所涉及的專業性及複雜度比一般管理要困難，如何讓高階管理者與實際負責資訊安全的人有一致性的看法，去獲得適當的支持，是非常重要的，導入ISMS之前建議能向高階管理者做一個完整的介紹及說明，因為需要執行ISMS的組織大多是因為法令或合約要求進行，而高階管理者其實對於資訊安全並沒有完整且清晰的概念。之前本人曾經協助過多個承辦單位向高階人員進行簡報及說明，其效果甚佳；另外，在稽核過程中也會安排高階管理者的訪談，以了解參與ISMS的程度，也可以從下列問題中知道高階管理者究竟在資訊安全領域中負擔哪些責任：

1. 組織主要營運範圍為何？
2. 根據營運項目，組織資安政策為何？
3. 組織去年迄今有關組織背景的變化如何(全景分析、組織背景內外部議題的變動及利害關係者的需求與期望變動的情形)？
4. 根據上述的變化，組織所採取的措施有哪些？
5. 根據資安政策所訂定的資安目標從設立迄今是否達成？新的目標需要設定嗎？
6. 組織目前資訊安全的組織架構為何？
7. 對於資安組織架構內的人員，組織提供何種資源使其能夠勝任目前的工作？
8. 組織年度投入維護資訊安全的資源有多少？