Persze, mikor készült igen és meg is tették valószínű. Nem "bárkit" kérdeznek meg róla, de volt olyan informatikus, akit igen. Az lehet hogy nem a legjobbat, de ez van. :-)
A "policy" nem tudom hogy jött ide, ez jóval magasabb szintem ki van mondva, mint követelmény.
Ebből magadnak írhatsz policy-t (és alábontva procedure-t, process-t és work instructions-t) felelőségi körökkel,...de ezt, mint "alap" besorolású EIR-ekre vonatkozó követelmény nem szedheted ki belőle. (NIS2-ről beszélünk)
Ez az egyik nagy különbsége az ISO 27001-től.