最高管理者應(yīng)該通過以下活動(dòng)，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS的承諾提供證據(jù)：

　　a) 建立信息安全方針；

　　b) 確保信息安全目標(biāo)和計(jì)劃得以制定；

　　c) 建立信息安全的角色和職責(zé)；

　　d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；

　　e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)ISMS；

　　f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級；

　　g) 確保內(nèi)部ISMS審核得以實(shí)施；

　　h) 實(shí)施ISMS管理評審。