最高管理者在信息安全管理体系通过以下活动，对建立、实施、运作、监视、评审、保持和改进ISMS的承诺提供证据：

　　a) 建立信息安全方针；
　　b) 确保信息安全目标和计划得以制定；
　　c) 建立信息安全的角色和职责；
　　d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；
　　e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进ISMS；
　　f) 决定接受风险的准则和风险的可接受等级；
　　g) 确保内部ISMS审核得以实施；
　　h) 实施ISMS管理评审。