最高管理者在信息安全管理體系通過以下活動(dòng),對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的承諾提供證據(jù):
a) 建立信息安全方針;
b) 確保信息安全目標(biāo)和計(jì)劃得以制定;
c) 建立信息安全的角色和職責(zé);
d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性;
e) 提供充分的資源,以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)ISMS;
f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí);
g) 確保內(nèi)部ISMS審核得以實(shí)施;
h) 實(shí)施ISMS管理評(píng)審。