§4 Contexte de l'organisme : compréhension de l'organisme, des parties intéressées, du périmètre du SMSI.

§5 Leadership : engagement de la direction, politique de sécurité, rôles et responsabilités.

§6 Planification : appréciation des risques, traitement des risques, objectifs de sécurité.

§7 Support : ressources, compétences, sensibilisation, communication, informations documentées.

§8 Réalisation : planification et maîtrise opérationnelles, appréciation et traitement des risques.

§9 Évaluation des performances : surveillance, audit interne, revue de direction.

§10 Amélioration : non-conformités, actions correctives, amélioration continue.

A.5 Mesures organisationnelles : politiques, rôles, inventaire, contrôle d'accès, relations fournisseurs.

A.6 Mesures liées aux personnes : sélection, conditions d'emploi, sensibilisation, télétravail.

A.7 Mesures physiques : périmètres de sécurité, contrôle d'accès physique, protection des équipements.

A.8 Mesures technologiques : terminaux, accès privilégiés, restriction d'accès, code source, réseaux, cryptographie.

Revue documentaire : vérification des documents et preuves attendus.

Planning de l'audit : répartition des domaines sur les créneaux.

Journal d'audit : historique chronologique des actions.

Points de sauvegarde et historique des modifications.