1、安全方针:制定信息安全方针,给信息安全管理指导与支持
2、组织安全:构建信息安全基础设施,来管控组织内的信息安全,维护由第三方访问的组织的信息处理设施与资产安全,及当信息处理外包出去时,维护信息的安全
3、资产的分类与控制:核查一切信息资产,来使组织资产的合适保护,并做好信息分类,保证信息资产被适当保护
4、人员安全:关注工作职责定义与人力资源中的安全,来降低人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,保证他知道信息安全威胁与事务,并做好在它正常工作中支撑组织的安全政策的准备;制订对安全事故和故障的响应流程,使安全事故与故障的损失降至最低,并监视其从中学习