策劃階段，組織應：
        定義ISMS的范圍和方針；
        定義風險評估的系統性方法；
        識別風險；
        應用組織確定的系統性方法評估風險；
        識別并評估可選的風險處理方式；
        選擇控制目標與控制方式；
        當決定接受剩余風險時應獲得管理者同意，并獲得管理者授權開始運行信息安全管理體系。
實施階段，組織應該實施選擇的控制，包括：
        實施特定的管理程序；
        實施所選擇的控制；
        運作管理；
        實施能夠促進安全事件檢測和響應的程序和其他控制。
檢查階段，組織應：
          執行程序，檢測錯誤和違背方針的行為；
          定期評審ISMS的有效性；
          評審剩余風險和可接受風險的等級；
          執行管理程序以確定規定的安全程序是否適當，是否符合標準，以及是否按照預期的目的進行工作；
          定期對ISMS進行正式評審，以確保范圍保持充分性，以及ISMS過程的持續改進得到識別并實施；
          記錄并報告所有活動和事件。改進措施階段，組織應：