• Le pilotage par les risques : seule démarche permettant de justifier le choix des mesures de sécurité,
  

• L'approche processus des processus de sécurité (voir les processus ci-dessous) : toutes les activités liées au SMSI doivent être conçues et formalisées sous forme de processus (entrées, sorties, responsabilités, étapes, contrôles nécessaires, indicateurs générés, preuves vis à vis d'un audit interne ou externe)
  

• L'implication du management : C'est un programme d'entreprise et non un projet ponctuel,

• L'amélioration continue (le modèle Plan Do Check Act ) : On a pas trouvé mieux depuis l'invention de la roue... de Deming,
  

• Le pilotage du système de management de la sécurité de l'information (SMSI) : processus transverse de management du SMSI (périmètre, organisation, rôles et responsabilités, objectifs, revues, indicateurs, preuve, audit interne et externe)
  

• L'analyse des risques : lister et classifier les actifs, évaluer les enjeux, évaluer les vulnérabilités, en déduire les scénarios de risque les plus critiques,
  

• La gestion et le traitement des risques : choisir les mesures de sécurité (SOA basé sur tout ou partie des 133 mesures de sécurité de l'annexe A) susceptibles de réduire les risques critiques à un niveau acceptable, évaluer les risques résiduels... basé sur ISO 27005 mais aussi et surtout sur Méhari ou Ebios,

• Le contrôle de l'efficacité du SMSI : en établissant indicateurs, tableaux de bord, contrôles et revues régulières de management,
  

• La gestion des incidents et des vulnérabilités : en mettant en place une gestion efficace des incidents de sécurité tant réactive que préventive,
  

• La formation et la sensibilisation : des acteurs de la sécurité mais aussi des managers et des utilisateurs,
  

• La gestion documentaire et la gestion des preuves : pas de processus sans procédures, pas de contrôle sans procédures écrites et détaillées, pas d'audit sans preuve.