本公司应：a确定员工在ISMS管控下工作的必备能力，这会影响到本公司的信息安全绩效b确保这些人在适当的教育，培训或取得经验后是能胜任的c）在适当情况下，采取行动以获得必要的能力，并评估所采取行动的有效性d）保留适当的文档化信息作为证据。注：适用的行动可能包括，例如：提供培训，指导，或重新分配现有雇员、主管人员的聘用或承包。
73意识
为本公司工作的人员应了解：a信息安全方针b他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益c）不符合信息安全管理体系要求所带来的影响，。
74沟通
本公司应确定信息安全管理体系中内部和外部相关的沟通需求：a沟通什么b何时沟通c）和谁沟通d）谁应该沟通e）怎样的沟通过程是有效的。
75文档化信息
751总则
本公司的信息安全管理体系应包括：
8
f信息安全管理体系手册
a本国际标准所需要的文档化信息b记录信息安全管理体系有效性必要的文档化信息。注意：不同本公司的信息安全管理体系文档化信息的多少与详略程度取决于：1）本公司的规模、活动的类型，过程，产品和服务2）过程及其相互作用的复杂性3）人员的能力。
752创建和更新
当创建和更新文档化信息时，本公司应确保适当的：a识别和描述（如标题，日期，作者，或参考号码）b格式（如语言，软件版本，图形）和媒体（如纸张，电子）c）适当和足够的审查和批准。
753文档化信息的控制
信息安全管理体系与本国际标准要求的文档化信息应被管理，以确保：a当文档化信息被需要时是可用且适用的b得到充分的保护（例如保密性丧失，使用不当，完整性丧失）。对于文档化信息的控制，本公司应制定以下活动（如适用）：c）分配，访问，检索和使用d）存储和保存，包括易读性的保存e）变更管理（例如版本控制）f）保留和处置。本公司信息安全管理体系的规划和运作必要的外来文档化信息，应被适当识别和管理。注：访问表示有权查看文档化信息，或获得授权以查看和更改文档化信息等。
9
f信息安全管理体系手册
8运行
81运行计划及控制
本公司应策划，实施和控制过程需求以满足信息安全要求，并实施在61中确定措施。本公司还应当实施计划，以实现信息安全在62中确定的目标。本公司应保存相关的文档化信息，以保证过程已按照计划实施。本公司应控制计划r