組織的信息安全方針和活動能夠反映組織的業務目標
　　組織實施信息安全的方法和框架與組織的文化相一致
　　管理者能夠給予信息安全實質性的、可見的支持和承諾
　　管理者對信息安全需求、信息安全風險、風險評估及風險管理有深入理解
　　向全員和其他相關方提供有效的信息安全宣傳以提升信息安全意識
　　向全員和其他相關方分發并宣貫信息安全方針、策略和標準
　　管理者為信息安全建設提供足夠的資金
　　向全員提供適當的信息安全培訓和教育
　　建立有效的信息安全事件管理過程
　　建立有效的信息安全測量體系