一、規劃階段，組織應：
定義ISMS的范圍和方針；
定義風(fēng)險評估的系統方法；
識別風(fēng)險；
應用組織確定的系統方法評估風(fēng)險；
識別和評估可選的風(fēng)險處理方法；
選擇控制目標和控制方法；
當決定接受剩余風(fēng)險時(shí)，應得到管理者的同意，并經(jīng)管理者授權開(kāi)始運行信息安全管理系統。

在實(shí)施階段，組織應實(shí)施選擇控制，包括：
實(shí)施特定的管理程序；
實(shí)施所選控制；
操作管理；
程序和其他控制可以促進(jìn)安全事件的檢測和響應。
檢查階段，組織應：
執行程序，檢測錯誤和違反政策的行為；
定期評估ISMS的有效性；
評估剩余風(fēng)險和可接受風(fēng)險的等級；

執行管理程序，確定規定的安全程序是否合適，是否符合標準，是否按預期目的工作；
定期對ISMS進(jìn)行正式評審，確保范圍保持充分，識別和實(shí)施ISMS過(guò)程的持續改進(jìn)；
記錄并報告所有活動(dòng)和事件。

改進(jìn)措施階段，組織應：
測量ISMS績(jì)效；
識別ISMS的改進(jìn)措施并有效實(shí)施；
采取適當的糾正和預防措施；
與所有相關(guān)方協(xié)商，溝通結果及其措施；
必要時(shí)修改ISMS，以確保修改達到既定目標。