A、制定政策：形成信息安全方针文档

B、确定范围：形成ISMS文档

C、资产识别：形成信息资产清单

D、风险评估：形成风险评估文档

E、选择控制：形成控制目标和控制措施

F、体系运行：运行计划和运行记录

G、体系审核：审核计划与审核记录

H、管理评审：证实计划与评审记录

I、体系认证：认证申请及认证证书