一、規劃階段，組織應：
定義ISMS的范圍和方針；
定義風險評估的系統方法；
識別風險；
應用組織確定的系統方法評估風險；
識別和評估可選的風險處理方法；
選擇控制目標和控制方法；
當決定接受剩余風險時，應得到管理者的同意，并經管理者授權開始運行信息安全管理系統。

在實施階段，組織應實施選擇控制，包括：
實施特定的管理程序；
實施所選控制；
操作管理；
程序和其他控制可以促進安全事件的檢測和響應。
檢查階段，組織應：
執行程序，檢測錯誤和違反政策的行為；
定期評估ISMS的有效性；
評估剩余風險和可接受風險的等級；

執行管理程序，確定規定的安全程序是否合適，是否符合標準，是否按預期目的工作；
定期對ISMS進行正式評審，確保范圍保持充分，識別和實施ISMS過程的持續改進；
記錄并報告所有活動和事件。

改進措施階段，組織應：
測量ISMS績效；
識別ISMS的改進措施并有效實施；
采取適當的糾正和預防措施；
與所有相關方協商，溝通結果及其措施；
必要時修改ISMS，以確保修改達到既定目標。