(1)系统规划
系统规划主要是明订信息安全管理的目标、范围和政策,并收集目前和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责,并且拥有最高管理阶层的支持。
(2)风险评估
ISMS的目标是透过系统的安全风险评估确定安全需求,并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑;透过风险评估可以了解风险的权重和等级,以供建立安全控制机制的参考。
3)风险管理
公司必须就企业需求和法令规章决定可接受风险之临界等级,并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制,藉由不断的审核、重新规划,加强让公司内的安全等级不断提升。
(4)系统颁行和推广
ISMS 是一套不限于IT技术的管理系统,它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中,需要经营管理阶层的认知与全力支持,以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的,尤其需要定期审核和检查,以确保系统可以持续不断的执行。