目的：明確信息安全方針和目標，為信息安全管理體系提供導向。

　　內容：根據業務要求及組織實際情況，制定安全方針和目標。 六、建立管理組織機構

　　目的：建立完善的內控組織架構，為整合體系提供支持。

　　內容：良好的組織架構是確保各項管理活動落實的根本。七、信息安全風險評估

　　目的：實施風險評估，識別不可接受風險，明確管理目標。

　　內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法。八、ISMS體系文件編寫

　　目的：建立文件化的信息安全管理體系。