A.5 安全方针

A.5.1信息安全方针

A.6 信息安全组织

A.6.1 内部组织 
A.6.2 移动设备和远程工作

A.7 人力资源安全

A.7.1 雇佣前 
A.7.2 雇佣期间 
A.7.3 雇佣终止或变更

A.8 资产管理

A.8.1 资产责任 
A.8.2 信息分类 
A.8.3 介质处置

A.9 访问控制

A.9.1 安全区域 
A.9.2 用户访问管理 
A.9.3 用户职责 
A.9.4系统和应用访问控制

A.10 密码学

A.10.1 密码控制

A.11 物理和环境安全

A.11.1安全区域 
A.11.2 设备

A.12 操作安全

A.12.1 操作规程和职责 
A.12.2 恶意软件防护 
A.12.3 备份 
A.12.4 日志和监视 
A.12.5 运行软件控制 
A.12.6 技术脆弱性管理 
A.12.7 信息系统审计考虑

A.13 通信安全

A.13.1 网络安全管理 
A.13.2 信息交换

A.14 系统获取、开发和维护

A.14.1 信息系统的安全需求 
A.14.2 开发和支持过程中的安全 
A.14.3 测试数据

A.15 供应商关系

A.15.1 供应商关系的信息安全 
A.15.2 供应商服务交付管理

A.16 信息安全事件管理

A.16.1 信息安全事件和改进的管理

A.17 业务连续性管理的信息安全方面

A.17.1 信息安全连续性 
A.17.2 冗余

A.18.1 符合法律和合同要求 
A.18.2 信息安全评审