1、安全方針:制定信息安全方針,給信息安全管理指導與支持。
2、組織安全:構建信息安全基礎設施,來管控組織內的信息安全,維護由第三方訪問的組織的信息處理設施與資產安全,及當信息處理外包出去時,維護信息的安全。
3、資產的分類與控制:覈查一切信息資產,來使組織資產的合適保護,並做好信息分類,保證信息資產被適當保護。
4、人員安全:關注工作職責定義與人力資源中的安全,來降低人爲差錯、盜竊、欺詐或誤用設施的風險;做好用戶培訓,保證他知道信息安全威脅與事務,並做好在它正常工作中支撐組織的安全政策的準備;制訂對安全事故和故障的響應流程,使安全事故與故障的損失降至最低,並監視其從中學習。
