目的：明确信息安全方针和目标，为信息安全管理体系提供导向。

　　内容：根据业务要求及组织实际情况，制定安全方针和目标。 六、建立管理组织机构

　　目的：建立完善的内控组织架构，为整合体系提供支持。

　　内容：良好的组织架构是确保各项管理活动落实的根本。七、信息安全风险评估

　　目的：实施风险评估，识别不可接受风险，明确管理目标。

　　内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法。八、ISMS体系文件编写

　　目的：建立文件化的信息安全管理体系。