PDCA循环（plan do check act）：顺序执行、持续改进

ISMS评审

内部评审：ISMS项目小组发起

管理评审：领导层发起

安全控制措施内部结构

14个类别、35个目标、114个控制措施

A.5 信息安全方针（决策层）

A.6 信息安全组织（内部组织、移动设备与远程办公）

A.7 人力资源安全（任用前、中、终止和变化）

A.8 资产管理（资产清单及负责人、信息分类及标记、介质处理及废弃）

A.9 访问控制（防止未授权访问）

A.10 加密技术

A.11 物理和环境安全

A.12 操作安全（审计）

A.13 通信安全（网络隔离、信息交换）

A.14 系统的获取、开发及维护

A.15 供应商关系

A.16 信息安全事件管理（事态报告）

A.17 业务连续性管理中的信息安全

A.18 符合性（法律和合同、信息安全审核）