1.规划和准备信息安全管理系统

计划规划和提前准备主要是建立信息安全管理体系的各种项目的早期阶段。内容包括培训学习、计划制定、安全工作发展趋势调查、相关资源的系统配置和管理方法。

2.明确信息安全管理系统的可用范围

信息安全管理体系的区域是必须的关键安全领域。组织必须根据自己的具体情况，可以在所有组织范围内，也可以在一些关键单位或行业实施。 在本环节的工作中，组织应划分为不同的信息安全操作行业，以便于组织对不同需求的行业进行适当的信息安全管理方法。在定义应用领域时，应主要考虑组织 自然环境、可用人员、当前信息系统软件、当前信息财产及其内部联系等。

3.现状调查和风险评估

根据相关信息安全技术和控制规范，调查和评价信息系统软件的安全保密性、一致性和可靠性，以及信息财产的危害及其安全事故的可能性，并整合安全事故涉及的信息财产使用价值，区分安全事故对组织造成的危害。

4.建立信息安全管理方法架构

建立信息安全管理体系，要统筹规划，建立科学合理的信息安全管理方法架构，从整体和全局的角度，从信息系统软件的各个方面进行整体安全基础建设，从信息系统软件本身出发 根据业务流程、组织、信息财产和新技术标准的特点，建立信息财产细节，进行风险评估、需求分析和安全管理选择，提前准备适用范围申报等流程，建立安全性体 系统并明确提出安全解决方案 。

5.撰写信息安全管理数据管理系统

建立和维护信息安全管理和维护是ISO/IEC27001:2005规范的总体规定是建立信息安全管理体系 在基本工作中，也是组织风险管理、评论和信息安全管理体系完善、持续改进的基础。建立信息安全管理体系的数据应包括：安全方针文件 文档、应用领域文档、风险评估文档、执行和操纵文档、适用范围申报文档。

6.信息安全管理体系的运行和改进

信息安全管理系统文件编制完成后，组织应当按照文件操作规定进行审核、批准和公布。到目前为止，信息安全管理系统将进入运行环节。组织应在此期间进行 加强运行范围，充分利用管理体系本身的各种作用，及时处理管理体系计划规划中的不足，找出问题的根本原因，采取纠正措施，根据管理程序变更管理体系 进一步完善信息安全管理体系。

7.信息安全管理体系审查

管理体系审计是为了获得审计的直接证据，对管理体系进行客观的评价，从而明确审计规则的实现。管理体系审核包括内部审核和 外部审计(第三方审计)。内部审计一般以组织的名义进行，可作为组织自身标准检查的基础；外部审计由外部单独组织进行，可出具符合规定的(如 ISO/IEC27001)验证或申请注册。

信息安全管理体系的建立是整体目标积累的全过程，是在技术自然环境的快速发展和变化中进行的，是信息和闭环控制的风险控制全过程。要想取得高效的效果，必须 从评估、安全保护、监督、响应和维修来看，必须自上而下参与和高度重视，否则只有形式化和整个过程，不能发挥真正合理的安全管理的目的和效果。