建立、实施、保持和持续改进ISO27001信息安全管理体系，应是组织出于业务运营的需要作出的一项战略决策，因此建立、实施、保持和持续改进信息安全管理体系首先需要管理者作出承诺。标准本条款提出了管理者应承诺的职责。

此条文中的“管理者”， 指在确定的ISO27001信息安全管理体系 范围内的信息安全事项具有决策权的执行最高管理者。根据组织的具体管理模式不同，该“管理者”可以是一个人，也可以是一组人。

管理者履行其承诺的方式，主要在于指派和批准信息安全的相关角色及其职责和权限，为相应信息安全管理活动的展开提供资源支持。同时，管理者应承担制定ISMS方针和实施管理评市的具体职责。

为确保有关信息安全的管理决策的合理性，管理者应述立适宣的机制，确保其决策过程能够获得全面、完整、真实的信息输入，特别是在决定接受风险的准则和批准可接受风险时。