企業實施ISO27001認證，最高管理者應該通過以下活動，對建立、實施、運作、監視、評審、保持和改進IS27001認證的承諾提供證據：

a) 建立信息安全方針；

b) 確保信息安全目標和計劃得以制定；

c) 建立信息安全的角色和職責；

d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性；

e) 提供充分的資源，以建立、實施、運作、監視、評審、保持并改進ISMS；

f) 決定接受風險的準則和風險的可接受等級；

g) 確保內部ISO27001認證審核得以實施；