a) 建立信息安全方針;
b) 確保信息安全目標和計劃得以制定;
c) 建立信息安全的角色和職責;
d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進
的重要性;
e) 提供充分的資源,以建立、實施、運作、監視、評審、保持并改進ISMS;
f) 決定接受風險的準則和風險的可接受等級;
g) 確保內部ISMS審核得以實施;
h) 實施ISMS管理評審。
