信息安全管理体系基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全，它包括哪几部分？( )

A.组织结构

B.方针策略

C.规划活动

D.职责

E.实践、程序、过程和资源