1、安全策略(SecurityPolicy):为信息安全提供管理方向和支持. 2、信息安全组织(OrganizationofInformationSecurity):内部管理信息安全;信息资产的安全. 3、资产管理(AssetManagement):确保信息资产得到适当水平的保护. 4、人力资源安全(HumanResourcesSecurity):减少人为风险;了解信息安全威胁;确保相应的培训. 5、物理和环境安全(PhysicandEnvironmentSecurity):保护信息系统基础设施、设备、媒体免受非法的实物访问、自然灾害和环境危害. 6、通信和运行管理(CommunicationandOperationsManagement):确保信息处理设备安全的操作;降低系统失效的风险;保护软件和信息的完整性;维护信息处理和通讯的完整性和可用性;确保网络信息的安全措施和支持基础结构的保护. 7、访问控制(AccessControl):通过对各种访问的权限和能力进行限制,确保系统安全. 8、系统开发和维护(ISs.Acquisition,DevelopmentMaintenance):确保信息安全保护深入到操作系统中;保证用户数据安全;保证IT项目工程及其支持活动的安全性;维护应用程序软件和数据的安全. 9、信息安全事件管理(InformationSecurityIncidentManagement):确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施. 10、业务持续性管理(BusinessContinuityManagement):防止商业活动的中断与防止关键商业过程免受重大失误或灾难的影响. 11、符合性(Compliance):符合法(刑法、民法或契约责任);符合安全方针和标准.