1. 利益相关方识别

2. 适用的法律法规的标准的清单

3. 法律法规符合性评价

4. 适用性声明删减是否合理

5. 资产清单

6. 资产识别与风险评估

7. 风险处理计划

8. 风险处置报告

9. 电脑权限管理

10. 访问口令管理

11. 布线安全、断电安全检查

12. 所有设备时间是同步的、设备维护保养记录

13. 风险与机遇管理

14. 内部审核资料

15. 管理评审资料

16. 目标统计资料（新制订的目标与达成情况）

17. 业务连续性计划

18. 业务连续性报告

19. 培训记录（年度培训计划，培训记录）

20. 员工保密协议

21. 招聘员工背景调查

22. 入职、离职的管理（移交）

23. 信息的分类标记

24. 保密区域标识，如禁止拍照，未公司员工禁止入内

25. 网络拓扑图，重要区域标识与隔离

26. 数据备份记录

27. 日志检查、评审

28. 杀毒记录

29. 机房检查记录

30. 移动介质的管理（U盘）

31. 应急预案

32. 手册和程序/作业指导书/表单

33. 文件清单/记录清单/文件发放记录

34. 合格供应商名录，包括服务供应商，如网络维护

35. 供应商合同

36. 供应商保密协议

37. 供应商考评资料

38. 采购订单

39. 客户满意度调查资料

40. 业务合同（确定是否有信息安全的要求）

41. 合同评审资料

42. 项目方案

43. 项目从设计到交付整套资料（包含信息安全评估）

44. 定期运维资料

45. 检验或验证资料