7、訪問控制。制定訪問控制策略，避免信息系統的非授權訪問，并讓用戶了解其職責和義務，包括網絡訪問控制，操作系統訪問控制，應用系統和信息訪問控制，監視系統訪問和使用，定期檢測未授權的活動;當使用移動辦公和遠程控制時，也要確保信息安全。

　　8、系統采集、開發和維護。標示系統的安全要求，確保安全成為信息系統的內置部分，控制應用系統的安全，防止應用系統中用戶數據的丟失，被修改或誤用;通過加密手段保護信息的保密性，真實性和完整性;控制對系統文件的訪問，確保系統文檔，源程序代碼的安全;嚴格控制開發和支持過程，維護應用系統軟件和信息安全。

　　9、信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，確保使用持續有效的方法管理信息安全事故，并確保及時修復。

　　10、業務連續性管理。目的是為減少業務活動的中斷，是關鍵業務過程免收主要故障或天災的影響，并確保及時恢復。

　　11、符合性。信息系統的設計，操作，使用過程和管理要符合法律法規的要求，符合組織安全方針和標準，還要控制系統審計，使信息審核過程的效力最大化，干擾最小化。

　　申請企業應當具備的條件：

　　1、取得國家、地方市場監督管理部門或有關機構注冊登記的法人資格(或其組成部分);

　　2、已取得相關法規規定的行政許可(適用時);

　　3、未列入嚴重違法失信名單;

　　4、提供的產品或提供的服務符合相關法律、法規、標準和規范的要求;

　　5、按照《信息安全、網絡安全和隱私保護 信息安全管理體系 要求》標準，建立和實施信息安全管理體系，且有效運行3個月以上;

　　6、至少完成一次內部審核，并進行了管理評審;

　　7、近一年內未受到主管部門的行政處罰。

　　認證的模式：

　　現場審核：初次審核+2次監督審核。

　　初次審核：分為第一、二階段實施審核。

　　通過ISO2700認證對企業的意義：

　　1、提高企業信息安全管理能力

　　預防信息安全事故，保證組織業務的連續性，使組織的重要信息資產受到與其價值相符的保護。

　　2、節省費用

　　避免安全事故從而節省費用，同時能幫助組織合理籌劃信息安全費用支出，包括：依據信息資產的風險級別，安排安全控制措施的投資優先級;對于可接受的信息資產的風險，不投資或減少投資。

　　3、提高企業形象和聲譽

　　保持組織良好的競爭力和成功運作的狀態，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業機會。增強客戶、合作伙伴等相關方的信任和信心。