正确地应用所有实施的控制措施以保持充分的安全；

e)  必要时进行评审，并对评审结果做出适当的响应；

f)  需要时，改善ISMS/ITSMS的有效性。

7.2能力

为有效地实施信息安全/信息技术服务管理，贯彻信息安全/信息技术服务管理方针，实现信息安全/信息技术服务目标，必须对ISMS/ITSMS涉及的所有人员进行培训，以增强其信息安全/信息技术服务意识，保证其胜任所在岗位的工作。

按公司ISMS/ITSMS中的《各级员工任职要求》，行政人事签定相关协议，并根据《人力资源控制程序》中的规定对人员进行适当的培训。以上文件对以下方面做出了规定：

a)  确定人员有效地完成ISMS/ITSMS工作所必需的能力；

b)  提供能力培训，必要时，可聘用有能力的人员以满足需求；

c)  评估培训和所采取行动的效果；

d)  保持员工的教育、培训、技能、经验和资格记录。

注：适当的措施可包括，例如针对在职人员提供培训、辅导或重新分配：或者聘任、外包胜任的人员。

7.3意识

本公司控制措施下工作的人员应意识到：

a)  信息安全/信息技术服务方针及目标;

b)  与工作有关的服务；

c)  他们对ISMS/ITSMS有效性的贡献，包括提高信息安全/信息技术服务绩效的收益;

d)  不符合ISMS/ITSMS 要求所带来的影响。

7.4沟通

本公司应确定有关ISMS/ITSMS内部和外部沟通的需求：

a)  沟通什么;

b)  何时沟通;

c)  和谁沟通;

d)  谁应该沟通;

e)  怎样的沟通过程是有效的。

7.5文件化信息

7.5.1总则

由管理者代表负责，总裁办负责文件管理和控制，建立ISMS/ITSMS文件体系, 确保其适合本公司的规模、活动类型、安全要求的范围和复杂性，对文件的载体本手册不做具体要求，但其内容至少包括以下方面：

a)  文件化的信息安全/信息技术服务方针和控制目标；

b)  ISMS/ITSMS的范围；

c)  支持ISMS/ITSMS的程序和控制措施；

d)  风险评估方法的描述；

e)