资产识别

阶段T.1：识别处于风险中的资产。对于ISMS背景和范围中的每项资产，资产的安全要求——表现为对保持它的私密性、完整性和可用性的需要——都要被分析。每项资产都要被指定一个主人，该项资产的信息安全属于这名主人的职责。组织应该建立并维护一个资产清单或者登记簿，其中记载有资产的主人、价值、信息安全要求(表现为私密性、完整性和可用性)和位置，应该对保护该项资产的全部过程做出定义，其中包括该项资产的哪些使用可以被接受。

风险评估

风险评估的目标是，按照在信息安全政策中记载的组织对风险的思维依据所识别资产的实际情况，对风险进行识别、量化并确定其优先级别。

阶段T.2：风险分析。确定信息资产所面临的潜在威胁应该有一种系统的做法。一个威胁是破坏信息资产的信息安全要求的机会，它未必会实现，但的确存在。

阶段T.3：弱点分析。弱点为威胁转变成对资产的一次成功攻击充当了媒介。弱点是在资产的防卫方面存在的薄弱环节，它应当通过控制的手段得到修补。

阶段T.4：评估其影响。如果资产的信息安全要求被一次成功的攻击所破坏，资产就会受到损害。对每一项资产的信息安全要求，破坏造成的影响都应当被确定。

阶段T.5：风险评估。如果资产的信息安全要求被一次成功的攻击所破坏，资产就会受到损害。这可以从两个方面描述：

影响：破坏让组织付出的代价，以前一阶段中确定的破坏对资产的影响为依据。

可能性：攻击取得成功的机率。

对组织的风险等于可能性与影响的乘积。

阶段T.6：识别并评价处理风险的选项。从信息安全政策中记载的对风险明确的态度，可以确定出哪些可接受的对信息资产的风险。同时，对那些无法接受的风险，处理风险的选项就要被评估。这些选项是：

避免或者转移风险：例如，通过处置面临风险的资产或者对资产投保，显然，处置资产并非总是可能的。

控制风险：就是通过采取措施减少资产的弱点来降低资产的风险。在这种情况下，要为风险赋予一个处理的优先级别。

风险评估任务形成的文件应该提供所有真实风险都经过了评估的证据，同时，也要对每项资产的评估结果——接受、避免、转移或者控制——的合理性做出说明。

风险处理

阶段T.7：选择控制目标与控制对策。在风险处理中，对于每一种经过优先级别评估需要降低的风险，要为其选择一个控制目标，该控制目标对如何修补同风险有关的弱点做出了说明。

每项控制目标都要通过选择一种控制(对策)来实现。在ISO 27001:2005中有39项控制目标和超过150种控制可以选择。控制可以从ISO 27001:2005的控制集中选取，也可以从其他地方选取。风险应该按照优先级别来处理。

作为控制选择的一部分，应该确定一个检查和维护的计划和评价控制效果的标准。管理层应该正式同意资产识别、风险评估和风险处理阶段的结果，还必须特别注意对残余风险的评估。组织应该争取管理层对实施和运营ISMS的授权。

适用性声明

适用性声明正式地记载：

就选择什么控制目标和控制对策所做的决定，以及为什么这样选择的说明。

目前，哪些控制已经被实施，并且在发挥作用。

标准中的哪些控制没有被实施，每个决定的理由是什么。

对每种控制，适用性声明的措辞都应该是一种对控制要求的描述，该标准必须足够详细以至于能够使第三方审核员理解组织决定做什么以及为什么这样做。有时候，将论证材料和/或背景材料包括进来也是合理的，包含了论证或者背景的支持文件也应该被提及。