《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》规定，参照ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》、ISO/IEC 20000-5:2018《信息技术-服务管理实施策划示例》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全/信息技术服务管理体系。

5. 领导

5.1领导和承诺

公司管理者应展示关于ISMS/ITSMS 的领导力和承诺：

a)  对信息安全/信息技术服务管理体系的有效性承担责任；

b)  确保信息安全/信息技术服务方针和信息安全/信息技术服务目标被建立，并与组织环境相适应，与战略方向兼容;

c)  确保服务管理计划的创建、实施和维护，以支持服务管理方针，实现服务管理目标和服务的要求；

d)  确保信息安全/信息技术服务管理体系的要求集成到组织的过程中;

e)  确保为组织和客户创造的价值是确定的；

f)  确保对服务生命周期的相关方进行控制；

g)  确保信息安全/信息技术服务管理体系所需要的资源是可用的;

h)  传达有效的信息安全/信息技术服务管理和符合信息安全/信息技术服务管理体系要求的重要性;

i)  确保信息安全/信息技术服务管理体系达到其预期的效果;

j)  促使、指导和支持员工，有助于信息安全/信息技术服务管理体系的效率;

k)  推进持续改进;

l)  支持其他相关管理角色展示他们的领导力，同样适用于他们的职责范围。

5.2方针

5.2.1 制定信息安全/信息技术服务方针

公司最高管理者应建立信息安全/信息技术服务方针：

a)  适合组织的宗旨和环境并支持其战略方向;

b)  包括信息安全/信息技术服务目标（见 6.2），或为建立信息安全/信息技术服务目标提供框架;

c)  包括满足有关信息安全/信息技术服务适当要求的承诺;

d)  包括 ISMS/ITSMS 持续改进的承诺。

5.2.2 沟通信息安全/信息技术服务方针

信息安全/信息技术服务方针应：

a)  是以文件化信息并可用