Genau wie Kapitel 1 oder Paragraph 1 in SecPo®, wird auch bei ISO 27001 die Verantwortung des Managements für Informationssicherheit noch bewusster eingefordert. Ohne diese Eigenschaft kann Informationssicherheit auf Dauer ihrer Bedeutung nicht gerecht werden. Im internationalen Kontext siegt die Erkenntnis, dass Sicherheit sich nicht von unten nach oben durchsetzen lässt.

Die Ansprüche an Informationssicherheit müssen von der Führung einer Organisation vorgegeben werden; von oben nach unten. Was lapidar klingt, ist immer noch das häufigste Hindernis für ein angemessenes Sicherheitsniveau einer Organisation.