1、安全方針：制定信息安全方針，給信息安全管理指導與支持。2、組織安全：構建信息安全基礎設施，來管控組織內的信息安全，維護由第三方訪問的組織的信息處理設施與資產安全，及當信息處理外包出去時，維護信息的安全。3、資產的分類與控制：核查一切信息資產，來使組織資產的合適保護，并做好信息分類，保證信息資產被適當保護。4、人員安全：關注工作職責定義與人力資源中的安全，來降低人為差錯、盜竊、欺詐或誤用設施的風險；做好用戶培訓，保證他知道信息安全威脅與事務，并做好在它正常工作中支撐組織的安全政策的準備；制訂對安全事故和故障的響應流程，使安全事故與故障的損失降至最低，并監視其從中學習。