1.信息安全政策-管理層應明確信息安全目標，制定可操作的安全管理策略，為信息安全提供管理指導和支持。

2.信息安全組織——在組織內建立信息安全組織。管理與第三方有關。以及外包管理安全問題。

3.資產管理-對與信息技術相關的資產進行分類，加強與信息技術相關的資產分類管理，對這些資產的價值和重要性進行分類和識別，并采取不同的安全措施保護這些資產。

4.人力資源安全——明確招聘、就業、辭退過程中涉及的信息保密等安全問題，加強員工信息安全培訓教育，提高員工安全意識，降低人為錯誤、盜竊、欺詐或濫用信息和處理設施的風險。

5.物理和環境安全-分析安全威脅源，劃分物理安全區域，加強后臺計算機服務器和用戶桌面計算機的保護，防止水、火、盜竊、雷電、電力供應、化學腐蝕等因素造成的安全威脅，制定計算機設備引進、日常運行、銷毀處理程序和方法。

6.通信與操作管理-覆蓋應用系統的日常操作和維護程序、服務水平管理、網絡管理、存儲介質管理、惡意軟件攻擊保護、系統和數據備份與恢復管理、信息交換管理等。，以確保信息處理設施的正確和安全運行。

7.訪問控制-定義用戶訪問控制策略，管理用戶訪問過程，包括網絡訪問控制、操作系統、應用系統、移動設備和遠程工作設備。

8.系統的獲取、開發和維護——明確應用系統的安全要求，包括輸入數據驗證、輸出數據驗證、業務處理過程驗證、傳輸數據驗證等。；確定加密控制方法，包括加密。數字簽名。不可否認的服務。密鑰管理和其他控制方法；確定系統文件的安全保護方法和開發和支持過程的安全管理方法。確保將安全納入信息系統的整個生命周期。

9.信息安全事件管理-確保安全事件發生后有正確的處理流程和報告方法。

10.業務可持續性管理-定義業務可持續性管理過程、業務可持續性和影響過程分析、制定和實施可行的業務可持續性計劃、定期測試、維護、演練和重新評估業務可持續性計劃。防止業務活動中斷，保護關鍵業務流程免受重大故障或災難的影響。

11.符合性——識別現有適用的法律法規，保護個人信息隱私；使用合法的。正版系統軟件和應用軟件；加強計算機安全審計，確保技術和安全策略的合規性。避免違反任何刑法和民法。法律法規或合同義務以及任何安全要求。