P1-定義ISMS范圍和邊界
　　P2-制定ISMS方針
　　P3-確定風險評估方法
　　P4-實施風險評估
　　P5-選擇、評價和確定風險處理方式、處理目標和處理措施
　　P6-獲得管理者對建議的殘余風險的批準
　　P7-獲得管理者對實施和運行ISMS的授權
　　P8-編制適用性聲明（SoA）