1.信息安全政策-管理層應明確信息安全目標，制定可操作的安全管理策略，為信息安全提供管理指導和支持。

2.信息安全組織——在組織內建立信息安全組織。管理與第三方有關(guān)。以及外包管理安全問(wèn)題。

3.資產(chǎn)管理-對與信息技術(shù)相關(guān)的資產(chǎn)進(jìn)行分類(lèi)，加強與信息技術(shù)相關(guān)的資產(chǎn)分類(lèi)管理，對這些資產(chǎn)的價(jià)值和重要性進(jìn)行分類(lèi)和識別，并采取不同的安全措施保護這些資產(chǎn)。

4.人力資源安全——明確招聘、就業(yè)、辭退過(guò)程中涉及的信息保密等安全問(wèn)題，加強員工信息安全培訓教育，提高員工安全意識，降低人為錯誤、盜竊、欺詐或濫用信息和處理設施的風(fēng)險。

5.物理和環(huán)境安全-分析安全威脅源，劃分物理安全區域，加強后臺計算機服務(wù)器和用戶(hù)桌面計算機的保護，防止水、火、盜竊、雷電、電力供應、化學(xué)腐蝕等因素造成的安全威脅，制定計算機設備引進(jìn)、日常運行、銷(xiāo)毀處理程序和方法。

6.通信與操作管理-覆蓋應用系統的日常操作和維護程序、服務(wù)水平管理、網(wǎng)絡(luò )管理、存儲介質(zhì)管理、惡意軟件攻擊保護、系統和數據備份與恢復管理、信息交換管理等。，以確保信息處理設施的正確和安全運行。

7.訪(fǎng)問(wèn)控制-定義用戶(hù)訪(fǎng)問(wèn)控制策略，管理用戶(hù)訪(fǎng)問(wèn)過(guò)程，包括網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、操作系統、應用系統、移動(dòng)設備和遠程工作設備。

8.系統的獲取、開(kāi)發(fā)和維護——明確應用系統的安全要求，包括輸入數據驗證、輸出數據驗證、業(yè)務(wù)處理過(guò)程驗證、傳輸數據驗證等。；確定加密控制方法，包括加密。數字簽名。不可否認的服務(wù)。密鑰管理和其他控制方法；確定系統文件的安全保護方法和開(kāi)發(fā)和支持過(guò)程的安全管理方法。確保將安全納入信息系統的整個(gè)生命周期。

9.信息安全事件管理-確保安全事件發(fā)生后有正確的處理流程和報告方法。

10.業(yè)務(wù)可持續性管理-定義業(yè)務(wù)可持續性管理過(guò)程、業(yè)務(wù)可持續性和影響過(guò)程分析、制定和實(shí)施可行的業(yè)務(wù)可持續性計劃、定期測試、維護、演練和重新評估業(yè)務(wù)可持續性計劃。防止業(yè)務(wù)活動(dòng)中斷，保護關(guān)鍵業(yè)務(wù)流程免受重大故障或災難的影響。

11.符合性——識別現有適用的法律法規，保護個(gè)人信息隱私；使用合法的。正版系統軟件和應用軟件；加強計算機安全審計，確保技術(shù)和安全策略的合規性。避免違反任何刑法和民法。法律法規或合同義務(wù)以及任何安全要求。