1.規劃和準備信息安全管理系統

計劃規劃和提前準備主要是建立信息安全管理體系的各種項目的早期階段。內容包括培訓學習、計劃制定、安全工作發展趨勢調查、相關資源的系統配置和管理方法。

2.明確信息安全管理系統的可用范圍

信息安全管理體系的區域是必須的關鍵安全領域。組織必須根據自己的具體情況，可以在所有組織范圍內，也可以在一些關鍵單位或行業實施。 在本環節的工作中，組織應劃分為不同的信息安全操作行業，以便于組織對不同需求的行業進行適當的信息安全管理方法。在定義應用領域時，應主要考慮組織 自然環境、可用人員、當前信息系統軟件、當前信息財產及其內部聯系等。

3.現狀調查和風險評估

根據相關信息安全技術和控制規范，調查和評價信息系統軟件的安全保密性、一致性和可靠性，以及信息財產的危害及其安全事故的可能性，并整合安全事故涉及的信息財產使用價值，區分安全事故對組織造成的危害。

4.建立信息安全管理方法架構

建立信息安全管理體系，要統籌規劃，建立科學合理的信息安全管理方法架構，從整體和全局的角度，從信息系統軟件的各個方面進行整體安全基礎建設，從信息系統軟件本身出發 根據業務流程、組織、信息財產和新技術標準的特點，建立信息財產細節，進行風險評估、需求分析和安全管理選擇，提前準備適用范圍申報等流程，建立安全性體 系統并明確提出安全解決方案 。

5.撰寫信息安全管理數據管理系統

建立和維護信息安全管理和維護是ISO/IEC27001:2005規范的總體規定是建立信息安全管理體系 在基本工作中，也是組織風險管理、評論和信息安全管理體系完善、持續改進的基礎。建立信息安全管理體系的數據應包括：安全方針文件 文檔、應用領域文檔、風險評估文檔、執行和操縱文檔、適用范圍申報文檔。

6.信息安全管理體系的運行和改進

信息安全管理系統文件編制完成后，組織應當按照文件操作規定進行審核、批準和公布。到目前為止，信息安全管理系統將進入運行環節。組織應在此期間進行 加強運行范圍，充分利用管理體系本身的各種作用，及時處理管理體系計劃規劃中的不足，找出問題的根本原因，采取糾正措施，根據管理程序變更管理體系 進一步完善信息安全管理體系。

7.信息安全管理體系審查

管理體系審計是為了獲得審計的直接證據，對管理體系進行客觀的評價，從而明確審計規則的實現。管理體系審核包括內部審核和 外部審計(第三方審計)。內部審計一般以組織的名義進行，可作為組織自身標準檢查的基礎；外部審計由外部單獨組織進行，可出具符合規定的(如 ISO/IEC27001)驗證或申請注冊。

信息安全管理體系的建立是整體目標積累的全過程，是在技術自然環境的快速發展和變化中進行的，是信息和閉環控制的風險控制全過程。要想取得高效的效果，必須 從評估、安全保護、監督、響應和維修來看，必須自上而下參與和高度重視，否則只有形式化和整個過程，不能發揮真正合理的安全管理的目的和效果。