一、策劃階段，組織要:
定義ISMS的范圍和政策；
系統的風險評估方法的定義；
識別風險；
應用組織確定的系統方法評估風險；
識別和評估可選的風險處理方法；
選擇控制目標和控制方法；
當你決定接受剩余風險時，你應該得到管理者的同意，并得到管理者的授權，開始運行信息安全管理系統。

二，在實施階段，組織應對選擇進行控制，包括：
實施特定的管理程序；
實施所選控制；
運營管理；
實施程序和其他可以促進安全事件檢測和響應的控制。

三，檢查階段，組織應當：
執行程序，檢測錯誤和違反政策的行為；
ISMS的有效性定期評估；
評估剩余風險和可接受風險等級；
執行管理程序，確定規定的安全程序是否合適，是否符合標準，是否按預期目的工作；
定期對ISMS進行正式評估，以確保范圍的充分性并實施ISMS過程的持續改進；
記錄和報告所有活動和事件。

四、改進措施階段，組織應當:
測量ISMS績效；
識別ISMS的改進措施并有效實施；
采取適當的糾正和預防措施；
與所有相關方協商、溝通結果及措施；
必要時修改ISMS，以確保修改達到既定目標。