（1）系统规划

系统规划主要是明确信息安全管理的目标、范围和政策，并收集和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责，并且拥有最高管理阶层的支持。

（2）风险评估

ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。风险评估的过程包括：

*资产清查、分类与评价*威胁与脆弱性分析

*对业务需求、法规需求的评估

*评估风险等级

*评估可接受之风险等级

*建议安全控制措施风险评估的总结报告应该呈现给「信息安全委员会」来评估处理风险的策略(移转、避免、降低或接受)，以及决定开始用的工具和办法。

（3）风险管理

公司必须就企业需求和法令规章决定可接受风险之临界等级，并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制，藉由不断的审核、重新规划，加强让公司内的安全等级不断提升。

（4）颁行推广

ISMS 是一套不限于IT技术的管理系统，它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中，需要经营管理阶层的认知与全力支持，以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的，尤其需要定期审核和检查，以确保系统可以持续不断的执行。

相关信息安全主要的认证有四种：

中国信息安全产品测评认证中心的认证（针对企业应用）、国家保密局测评认证中心的认证（针对政府涉密网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可）以及中国人民解放军信息安全测评认证中心（针对军队使用）。