•الثقافة التنظيمية
•المتطلبات القانونية والتنظيمية والتعاقدية
•الهياكل التنظيمية والأدوار والمسؤوليات
•تطوير استراتيجية أمن المعلومات
•أطر ومعايير حوكمة المعلومات
•التخطيط الاستراتيجي (على سبيل المثال، الميزانيات والموارد وحالة العمل)
•مشهد المخاطر والتهديدات الناشئة
•تحليل نقاط الضعف ونقص التحكم
•تقييم المخاطر وتحليلها
•علاج المخاطر / خيارات الاستجابة للمخاطر
•ملكية المخاطر والتحكم فيها
•مراقبة المخاطر وإعداد التقارير عنها
•موارد برنامج أمن المعلومات (على سبيل المثال، الأشخاص والأدوات والتقنيات)
•تحديد وتصنيف أصول المعلومات
•معايير وأطر الصناعة لأمن المعلومات
•سياسات وإجراءات وإرشادات أمن المعلومات
•مقاييس برنامج أمن المعلومات
•تصميم واختيار مراقبة أمن المعلومات
•تنفيذ وتكامل مراقبة أمن المعلومات
•اختبار وتقييم مراقبة أمن المعلومات
•التوعية والتدريب على أمن المعلومات
•إدارة الخدمات الخارجية (على سبيل المثال، المزودون والموردون والجهات الخارجية والجهات الرابعة)
•برنامج أمن المعلومات والاتصالات والتقارير
•خطة الاستجابة للحوادث
•تحليل تأثير الأعمال (BIA)
•خطة استمرارية الأعمال (BCP)
•خطة التعافي من الكوارث (DRP)
•تصنيف الحوادث/تصنيفها
•تدريب إدارة الحوادث واختبارها وتقييمها
•أدوات وتقنيات إدارة الحوادث
•التحقيق في الحوادث وتقييمها
•طرق احتواء الحوادث
•اتصالات الاستجابة للحوادث (على سبيل المثال، الإبلاغ والإخطار والتصعيد)
•استئصال الحوادث والتعافي منها
•ممارسات المراجعة بعد الحادث