A.在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求。
B.組織的管理層應(yīng)確保ISMS目標和相應(yīng)的計劃得以制定，信息安全管理目標應(yīng)明確，可度量，風(fēng)險管理計劃應(yīng)具體，具備可行性
C.組織的信息安全目標，信息安全方針和要求應(yīng)傳達到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達到客戶，合作伙伴和供應(yīng)商等外部各方
D.組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準則，并確認接受相關(guān)殘余風(fēng)險