一、規(guī)劃階段，組織應(yīng)：
定義ISMS的范圍和方針；
定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法；
識(shí)別風(fēng)險(xiǎn)；
應(yīng)用組織確定的系統(tǒng)方法評(píng)估風(fēng)險(xiǎn)；
識(shí)別和評(píng)估可選的風(fēng)險(xiǎn)處理方法；
選擇控制目標(biāo)和控制方法；
當(dāng)決定接受剩余風(fēng)險(xiǎn)時(shí)，應(yīng)得到管理者的同意，并經(jīng)管理者授權(quán)開始運(yùn)行信息安全管理系統(tǒng)。

在實(shí)施階段，組織應(yīng)實(shí)施選擇控制，包括：
實(shí)施特定的管理程序；
實(shí)施所選控制；
操作管理；
程序和其他控制可以促進(jìn)安全事件的檢測(cè)和響應(yīng)。
檢查階段，組織應(yīng)：
執(zhí)行程序，檢測(cè)錯(cuò)誤和違反政策的行為；
定期評(píng)估ISMS的有效性；
評(píng)估剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)；

執(zhí)行管理程序，確定規(guī)定的安全程序是否合適，是否符合標(biāo)準(zhǔn)，是否按預(yù)期目的工作；
定期對(duì)ISMS進(jìn)行正式評(píng)審，確保范圍保持充分，識(shí)別和實(shí)施ISMS過程的持續(xù)改進(jìn)；
記錄并報(bào)告所有活動(dòng)和事件。

改進(jìn)措施階段，組織應(yīng)：
測(cè)量ISMS績(jī)效；
識(shí)別ISMS的改進(jìn)措施并有效實(shí)施；
采取適當(dāng)?shù)募m正和預(yù)防措施；
與所有相關(guān)方協(xié)商，溝通結(jié)果及其措施；
必要時(shí)修改ISMS，以確保修改達(dá)到既定目標(biāo)。