一、策劃階段，組織要:
定義ISMS的范圍和政策；
系統的風(fēng)險評估方法的定義；
識別風(fēng)險；
應用組織確定的系統方法評估風(fēng)險；
識別和評估可選的風(fēng)險處理方法；
選擇控制目標和控制方法；
當你決定接受剩余風(fēng)險時(shí)，你應該得到管理者的同意，并得到管理者的授權，開(kāi)始運行信息安全管理系統。

二，在實(shí)施階段，組織應對選擇進(jìn)行控制，包括：
實(shí)施特定的管理程序；
實(shí)施所選控制；
運營(yíng)管理；
實(shí)施程序和其他可以促進(jìn)安全事件檢測和響應的控制。

三，檢查階段，組織應當：
執行程序，檢測錯誤和違反政策的行為；
ISMS的有效性定期評估；
評估剩余風(fēng)險和可接受風(fēng)險等級；
執行管理程序，確定規定的安全程序是否合適，是否符合標準，是否按預期目的工作；
定期對ISMS進(jìn)行正式評估，以確保范圍的充分性并實(shí)施ISMS過(guò)程的持續改進(jìn)；
記錄和報告所有活動(dòng)和事件。

四、改進(jìn)措施階段，組織應當:
測量ISMS績(jì)效；
識別ISMS的改進(jìn)措施并有效實(shí)施；
采取適當的糾正和預防措施；
與所有相關(guān)方協(xié)商、溝通結果及措施；
必要時(shí)修改ISMS，以確保修改達到既定目標。