一、策劃階段，組織要:
定義ISMS的范圍和政策；
系統(tǒng)的風(fēng)險評估方法的定義；
識別風(fēng)險；
應(yīng)用組織確定的系統(tǒng)方法評估風(fēng)險；
識別和評估可選的風(fēng)險處理方法；
選擇控制目標(biāo)和控制方法；
當(dāng)你決定接受剩余風(fēng)險時，你應(yīng)該得到管理者的同意，并得到管理者的授權(quán)，開始運行信息安全管理系統(tǒng)。

二，在實施階段，組織應(yīng)對選擇進(jìn)行控制，包括：
實施特定的管理程序；
實施所選控制；
運營管理；
實施程序和其他可以促進(jìn)安全事件檢測和響應(yīng)的控制。

三，檢查階段，組織應(yīng)當(dāng)：
執(zhí)行程序，檢測錯誤和違反政策的行為；
ISMS的有效性定期評估；
評估剩余風(fēng)險和可接受風(fēng)險等級；
執(zhí)行管理程序，確定規(guī)定的安全程序是否合適，是否符合標(biāo)準(zhǔn)，是否按預(yù)期目的工作；
定期對ISMS進(jìn)行正式評估，以確保范圍的充分性并實施ISMS過程的持續(xù)改進(jìn)；
記錄和報告所有活動和事件。

四、改進(jìn)措施階段，組織應(yīng)當(dāng):
測量ISMS績效；
識別ISMS的改進(jìn)措施并有效實施；
采取適當(dāng)?shù)募m正和預(yù)防措施；
與所有相關(guān)方協(xié)商、溝通結(jié)果及措施；
必要時修改ISMS，以確保修改達(dá)到既定目標(biāo)。