หมวดที่ ๑ การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ 

ส่วนที่ ๑. การควบคุมการเข้าถึงสารสนเทศ

ส่วนที่ ๒. การบริหารจัดการการเข้าถึงของผู้ใช้ 

ส่วนที่ ๓. การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน

ส่วนที่ ๔. การบริหารจัดการสินทรัพย์ 

ส่วนที่ ๕. การควบคุมการเข้าถึงเครือข่าย 

ส่วนที่ ๖. การควบคุมการเข้าถึงระบบปฏิบัติการ 

ส่วนที่ ๗. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ ๑๕ ส่วนที่ ๘. การบริหารจัดการซอฟต์แวร์และลิขสิทธิ์ และการป้องกันโปรแกรมไม่ประสงค์ดี 

ส่วนที่ ๙. การปฏิบัติงานจากภายนอกสำนักงาน

ส่วนที่ ๑๐. การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย(Wireless LAN Access Control)

ส่วนที่ ๑๑. การควบคุมการใช้งานอุปกรณ์ป้องกันเครือข่าย

ส่วนที่ ๑๒. การควบคุมการใช้จดหมายอิเล็กทรอนิกส์ 

ส่วนที่ ๑๓. การควบคุมการใช้อินเตอร์เน็ต (Internet) 

ส่วนที่ ๑๔. การใช้งานเครื่องคอมพิวเตอร์ส่วนบุคคล (PC) 

ส่วนที่ ๑๕. การใช้งานเครื่องคอมพิวเตอร์แบบพกพา (Notebook) 

ส่วนที่ ๑๖. การตรวจจับการบุกรุก 

ส่วนที่ ๑๗. การติดตั้งและกำหนดค่าของระบบ 

ส่วนที่ ๑๘. การจัดเก็บข้อมูลจราจรคอมพิวเตอร์ 

หมวดที่ ๒ การรักษาความปลอดภัยฐานข้อมูลและสำรองข้อมูล 

ส่วนที่ ๑. การรักษาความปลอดภัยฐานข้อมูล

ส่วนที่ ๒. การสำรองข้อมูล 

หมวดที่ ๓ การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ

ส่วนที่ ๑. การตรวจสอบและประเมินความเสี่ยง 

ส่วนที่ ๒. ความเสี่ยงที่อาจเป็นอันตรายต่อระบบเทคโนโลยีสารสนเทศ 

หมวดที่ ๔ การรักษาความปลอดภัยด้านกายภาพ สถานที่และสภาพแวดล้อม 

หมวดที่ ๕ การดำเนินการตอบสนองเหตุการณ์ความมั่นคงปลอดภัยทางระบบสารสนเทศ 

หมวดที่ ๖ การสร้างความตระหนักในเรื่องการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ

หมวดที่ ๗ หน้าที่และความรับผิดชอบ