一、規(guī)劃階段，組織應(yīng)：
定義ISMS的范圍和方針；
定義風(fēng)險評估的系統(tǒng)方法；
識別風(fēng)險；
應(yīng)用組織確定的系統(tǒng)方法評估風(fēng)險；
識別和評估可選的風(fēng)險處理方法；
選擇控制目標(biāo)和控制方法；
當(dāng)決定接受剩余風(fēng)險時，應(yīng)得到管理者的同意，并經(jīng)管理者授權(quán)開始運行信息安全管理系統(tǒng)。

在實施階段，組織應(yīng)實施選擇控制，包括：
實施特定的管理程序；
實施所選控制；
操作管理；
程序和其他控制可以促進安全事件的檢測和響應(yīng)。
檢查階段，組織應(yīng)：
執(zhí)行程序，檢測錯誤和違反政策的行為；
定期評估ISMS的有效性；
評估剩余風(fēng)險和可接受風(fēng)險的等級；

執(zhí)行管理程序，確定規(guī)定的安全程序是否合適，是否符合標(biāo)準(zhǔn)，是否按預(yù)期目的工作；
定期對ISMS進行正式評審，確保范圍保持充分，識別和實施ISMS過程的持續(xù)改進；
記錄并報告所有活動和事件。

改進措施階段，組織應(yīng)：
測量ISMS績效；
識別ISMS的改進措施并有效實施；
采取適當(dāng)?shù)募m正和預(yù)防措施；
與所有相關(guān)方協(xié)商，溝通結(jié)果及其措施；
必要時修改ISMS，以確保修改達到既定目標(biāo)。