项目管理

·           确定信息安全管理项目的整体战略和计划

·           确保项目符合组织最关键业务的需要

·           与反欺诈、e-Discovery、物理安全、产品安全和/或保护隐私等相关任务相协调

安全策略和标准

·           制定并记录规定组织保护信息方法的总体方向和规则

·           制定一套完整的管理、技术和物理信息安全控制措施（即控制措施框架）供组织使用，包括访问控制、加密、身份识别和认证、配置管理、监控、审计日志、应用程序安全性和意识培训（面对员工和客户）。

·           兼顾各种法律和法规（如 SOX、HIPAA 和 PCI）的要求

·           确保控制措施灵活敏捷并可以跟踪业务和威胁形势中的变化

控制措施实施

·           根据策略、标准和内外部环境因素，实施控制措施

控制措施运行

·           根据策略、标准和内外部环境因素，运行控制措施

控制措施设计

（安全体系结构）

·           根据业务、IT 和威胁形势的变化，开发新的控制措施或实施方法

·           新控制措施或实施方法包括应用程序开发技术，指定、部署、定制和/或开发新的安全技术，和新的终端用户协议及程序

控制措施监管/保证

·           评估所有控制措施，确保其符合政策和标准

·           核实所有控制措施均已落实到位，并如预期执行

·           确保所有控制措施均受到持续监控并业经证明

事件响应/恢复能力

·           协调和管理组织对安全事件的响应，包括保障业务连续性/灾难恢复

信息风险评估

·           根据信息价值、数据资产、相关威胁和漏洞、发生安全危害的可能性、对组织的影响（如信誉、收入、违反相关监管规定）和估算损失，对计划、流程、项目、举措或系统的风险进行评估

信息风险管理/

业务风险对比报酬分析

·           确定风险承担人的风险偏好和授权的风险接受程度

·           根据对特定计划、流程、项目、举措或系统的风险评估，制定风险缓解和补救策略

·           采用一套统一的流程，来根据业务报酬衡量信息安全风险大小

·           确定所需的控制措施，以将风险降低到可接受的水平

·           将信息风险整合入企业风险管理框架/计划中

资产清查和估值

·           对组织所使用的业务流程、敏感数据和信息系统进行清查并完整编目

·           建立全面的业务流程文件汇编和数据流描绘图，以深入了解需要保护的流程和数据，并制定保护策略

·           确定整个企业范围内可访问关键系统的特权用户

·           确定资产价值，以排定保护策略的优先顺序

第三方风险管理/

IT供应链完整性

·           确保在组织与第三方建立合作关系前，先进行风险评估

·           建立尽职调查流程，对供应商和合作伙伴进行评估

·           持续评估同供应商和合作伙伴开展业务合作中涉及的风险

·           了解 IT 供应链，并对企业 IT 环境中使用的硬件和软件进行安全性评估

·           通过共享评估结果和持续监控控制措施，来提高效率

网络风险情报和威胁分析

·           了解对于企业资产（形象、能力、动机、目标）的威胁形势

·           收集组织所面临的威胁的相关情报数据

·           管理情报数据来源，解读数据，开展分析，并生成威胁情报报告和警报

·           将威胁模型和情报整合到整个安全管理流程和生命周期中

安全数据分析

·           使用高级分析技术和数据科学，分析情报数据带来的更丰富的安全数据

·           开发查询、算法和数据模型，用于检测或预测恶意活动

安全数据管理和数据仓库存储

·           制定数据管理战略，建立基础架构，对多个来源（安全系统、数据库、应用程序、威胁源）的安全数据进行汇总和分析，供多种不同用途（如威胁检测、企业风险管理和法规遵从性、持续控制措施监控）

·           为安全数据构建数据仓库

安全流程优化

·           持续跟踪和衡量安全流程的效率，并利用正规化的质量管理、项目管理和服务提供方法实施改进

长远规划

·           关注业务、科技和法规的未来发展趋势，以制定积极主动的安全战略。例如，“物联网”和可穿戴式电脑设备等科技发展都正在带来全新的安全挑战