2.安全管理政策(Security management policy)：规范最高管理者需依公司政策核定整体安全管理政策。

3.风险评估与安全规划(Security risk assessment and planning)：规范如何评估风险、法令规章之需求、安全管理目的(Objectives)考虑、目标(Targets)设定、以及安全计划作成。

4.系统导入与实施(Implementation and operation)：规范安全管理组织架构与权责、员工教育训练与安全认知、建立安全信息沟通管道、建构文件纪录系统、文件信息之管控、系统运作之管控、紧急措施与安全回复。

5.检视与改善措施(Checking and corrective action)：规范安全绩效评量与监控、系统定期查核与改善、安全威胁之矫正预防措施、纪录之管控、安全稽核。