1.建立ISMS

組織應根據業務、組織、位置、資產和技術等方面的特性，確定ISMS的范圍和邊界， 包括對范圍任何冊0減的詳細說明和正當性理由。一般lSMs的范圍可以包括全組織或組織中若干個部門或分支，特殊情況下也可以針對組織的某些具體業務流程（女噸子商務、電子政務、智能制造等）確定ISMS的范圍邊界。一旦確定后必須以正式文件形式加以記錄和發布。

組織應根據業務、組織、位置、資產和技術等方面的特性，確定ISMS方針。ISMS方針應：1）包括設定目標的框架和建立信息安全工作的總方向和原則；2）考慮業務和法律法規的要求，及合同中的安全義務；3）在組織的戰略性風險管理環境下，建立和保持ISMS;4)建立風險評價的準則；5）獲得管理者批準。ISMS方針也被認為是信息安全方針的一個擴展集。這些方針應該在一個正式文件（信息安全方針或信息安全管理體系手冊）中進行描述。

組織應確定組織的風險評估方法：包括識別適合ISMS、已識別的業務信息安全和法律法規要求的風險評估方法；制定接受風險的準則和風險評估方法（定性化風險評估、定量化風險評估、半定量風險評估等），由管理者代表確定可接受的風險級別。選擇的風險評估方法應確保風險評估產生可比較的和可再現的結果。