***高管理者应该通过以下活动，对建立、实施、运作、监视、评审、保持和改进I***S的承诺提供证据：a)建立信息安全方针；b)确保信息安全目标和计划得以制定；c)建立信息安全的角色和职责；d)向***传达满足信息安全目标、符合信息安全方针、履行***责任和持续改进的重要性；e)提供充分的资源，以建立、实施、运作、监视、评审、保持并改进I***S；f)决定接受风险的准则和风险的可接受等级；g)确保内部I***S审核得以实施；h)实施I***S管理评审。ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准：ISO27000，ISO27001，ISO27002，ISO27003，ISO27004，ISO27005，ISO27006，ISO27007上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类***可以按照ISO27001的要求建立自己的信息安全管理体系（I***S），并通过认证。目前的有效版本是ISO/IEC27001：2005。注：上述标准以ISO发布的为准。ISO/IEC27000Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems--Overviewandvocabulary信息技术—安全技术—信息安全管理体系—概况与术语该标准目前已完成***会草案，计划2007年11月完成***终标准草案，2008年5月发布。标准介绍：该标准对应用于信息安全管理体系的ISO/IEC27000系列标准的概况、状态和关系提供说明，并规定了与ISO/IEC27000I***S系列标准相关的术语。ISO/IEC27000标准有三个章节，***章是标准的范围说明，第二章对ISO27000系列的各个标准进行了介绍，说明了各个标准之间的关系，包括:ISO27000，ISO27001，ISO27002，ISO27003，ISO27004，ISO27005，ISO27006。第三章给出了与ISO27000系列标准相关的术语和定义，共63个。)