本标准包括14个控制领域,35个控制目标和144个控制措施。在实施的过程中,组织可以根据企业的实际情况,法律法规合约等因素选择适用的控制措施,也可增加额外的控制措施。
A5)信息安全策略(体现企业对信息安全管理体系的支持与承诺)
A6)信息安全组织(建立信息安全管理架构,用于公司内部信息安全的管理和控制)
A7)人力资源安全(制订所有人员的安全职责与角色)
A8)资产管理(确保对组织各项资产的安全进行有效保护)
A9)访问控制(管理信息资产的访问行为)
A10)密码术
A11)物理和环境安全(对组织的运营场所做出安全要求)
A12)操作安全
A13)通信安全
A14)信息系统获取、开发和维护(确保公司的IT项目和相关的支持活动已实施安全控制 业务连续性管理)
A15)供应商关系
A16)信息安全事故管理(通报信息安全事故并采取纠正措施,确保实施有效的信息安全事故管理办法 )
A17) 业务连续性管理(制订企业持续运营计划,保护企业核心业务免受重大灾难的中断与影响)
A18) 符合性(符合法律法规合约的要求)