1.1业务规划和控制

组织应通过以下方式计划，实施和控制满足要求所需的过程。

一为这些过程制定标准。

一根据标准实施对流程的控制。

应在必要的范围内提供有记录的信息，以使人们相信这些过程已按计划进行。

组织应控制计划中的变更，并审查非预期变更的后果，必要时采取行动以减轻任何不利影响。组织应确保与信息安全管理体系相关的外部提供的流程，产品或服务得到控制。

1.2信息安全风险评估

组织应按计划的时间间隔或在提出或发生重大变化时进行信息安全风险评估，同时考虑到确定的标准。

组织应保留信息安全风险评估结果的文件信息。

1.3信息安全风险处理

该组织应实施信息安全风险处理计划。

组织应保留信息安全风险处理结果的文件资料。