策劃階段，組織應： 

定義ISMS的范圍和方針； 

定義風險評估的系統性方法； 

識別風險； 

應用組織確定的系統性方法評估風險； 

識別并評估可選的風險處理方式； 

選擇控制目標與控制方式； 

當決定接受剩余風險時應獲得管理者同意，并獲得管理者授權開始運行 信息安全管理體系。 

實施階段，組織應該實施選擇的控制，包括： 

實施特定的管理程序； 

實施所選擇的控制； 

運作管理； 

實施能夠促進安全事件檢測和響應的程序和其他控制。 

檢查階段，組織應： 

執行程序，檢測錯誤和違背方針的行為 ； 

定期評審ISMS的有效性； 

評審剩余風險和可接受風險的等級； 

執行管理程序以確定規定的安全程序是否適當，是否符合標準，以及是 否按照預期的目的進行工作； 

定期對ISMS進行正式評審，以確保范圍保持充分性，以及ISMS過程的持續改進得到識別并實施； 

記錄并 報告所有活動和事件。 

改進措施階段，組織應： 

測量ISMS績效； 

識別ISMS的改進措施，并有效實施； 

采取適當的糾正和預防措施； 

與涉及到的所有相關方磋商、溝通結果及其措施； 

必要時修改ISMS，確保修改達到既定的目標。 

ISMS:ISMS（Information Security Management System）是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后，又產生的一個管理體系標準— 信息安全管理體系標準。 

信息安全就是組織應明確需要保護的信息資源，確保信息的機密性、完整性和 可用性，并保持良好的協調狀態。信息安全對企業經營非常重要，為了防止信息安全事故或事件的發生，盡管在技術方面采取了防火 墻和入侵監測系統，但是人為因素造成的信息機密流失仍然占有很高的比率（據說約70%）。因此，建立信息安全管理體系十分必要。 

為了建立、實施和保持信息安全管理體系，首先應策劃信息安全管理體系的方針和目標,識別、分類和 清理信息資源，根據其危險程度、薄弱環節和發生頻次，實施風險控制，包括回避、轉移、控制和消除風險。按PDCA循環模式，建立信息安全管理體系。建立信息安全管理體系共有8個階段。包括確定ISMS適用范圍、策劃ISMS方針目標、策劃風險控制的過程、識別和評估風險、對風險控制現狀分析、選擇和制訂管理方案、識別存在的遺留風險和正式實施ISMS。