董事会的角色和职责

治理结构 (Three Lines of Defense)

信息技术风险治理政策 (IT Risk Management Policy, IT Security Policy)

项目风险评估和优先排序

信息技术项目管理的框架

信息技术项目的监理

安全政策

信息安全组织

人力资源保障

资产管理

访问控制

密码术

物理和环境安全

第一和第二防线 (风险负责人和风险职能)

IT 风险管理框架、流程、标准

风险评估（识别、分析、评估）

风险处理、风险监测与审查、风险报告

第二道防线

监督遵守与信息技术相关的法律法规 (IT合规)

第三道防线

角色、职责、计划、审计范围

信息技术审计实务

外包 检查报告

跟进审计结果并报告关键问题

网络安全框架

识别、保护、检测、响应、恢复

网络风险评估

评估网络威胁行动的状态

根据网络法, 警惕网络威胁

公司重要信息技术遭受网络威胁攻击或威胁时，公司必须向公司最高管理层报告的问题或事件。