信息安全管理標準控制措施被分成以下方面,它是組織進行信息安全管理的實用指南。

1.安全方針:制定信息安全方針,給信息安全管理指導與支持。

2.組織安全:構建信息安全基礎設施,來管控組織內的信息安全,維護由第三方訪問的組織的信息處理設施與資產安全,及當信息處理外包出去時,維護信息的安全。

3.資產的分類與控制:核查一切信息資產,來使組織資產的合適保護,並实行信息分類,保證信息資產被適當保護。

4.人員安全:關注工作職責定義與人力資源中的安全,來降低人為差錯、盜竊、欺詐或誤用設施的風險;实行用戶培訓,保證他知道信息安全威脅與事務,並实行在它正常工作中支撐組織的安全政策的準備;制訂對安全事故和故障的響應流程,使安全事故與故障的損失降至最低,並監視其從中學習。

5.物理和環境的安全:定義安全區域,以避免對業務辦公場所和信息的未授權訪問、損壞和干擾；維護設備的安全,避免信息資產的丟失、損壞或泄露與業務的中斷時也得把一般控制实行,來防止信息及信息處理設施的泄密或盜竊。

6.通信和操作管理:制定操作標準與職責,保證信息處理設施操作正確與安全;建立系統規劃與驗收標準,把系統故障的風險降到最小;防範惡意軟件,保護軟件與信息的完整性;建立內務規則,來使信息操作與通信服務的完整性與可用性;確保信息在網絡中的安全,及保護其支持基礎設施;建立媒體設置與安全的規則,，避免資產損壞與業務的中斷;避免信息與軟件在組織間交換時丟失、修改或誤用。

7.訪問控制:制定訪問控制的業務需求,來控制訪問信息;建立全方位的用戶訪問管理,防止信息系統的沒有授權訪問;讓用戶分析維護有效訪問控制的責任,避免沒有授權用戶的訪問;對網絡訪問加以控制,保護網絡服務;建立操作系統級的訪問控制,避免對計算機的沒有授權訪問;建立應用訪問控制,避免沒有授權用戶訪問保存於信息系統中的信息;監視系統訪問與使用,檢測沒有授權的活動;當用移動計算與遠程工作時,也要保證信息安全。

8.系統開發和維護:標明系統的安全要求,保證安全被構建於信息系統內;管控應用系統的安全,避免用戶數據丟失、被改或誤用;使用密碼控制,保護信息的保密性、真實性或完整性;控制訪問系統文件,確保由安全方式實施IT項目與支持活動；嚴格管控開發與支持過程,維護軟件與信息的安全。

9.業務持續性管理:為的是減少業務的中斷,讓關鍵業務不被重點故障或天災的影響。

10.符合性:信息系統的設計、操作、使用與管理得符合法律要求;定期審查安全政策與技術是否符合,確保符合組織政策與標準;控制系統的審核,使得其過程的效果最大,干擾最小。