执行阶段

此时，就可以进入PDCA循环的执行阶段了。离开这一阶段时，组织将拥有一个已获实施的ISMS在降低关键信息资产的风险了。在适用性声明中详细论述的理论在这里得到了实践。

为了做到这点，组织要拟订并实施一个风险处理计划，该计划将识别恰当的管理信息安全风险的管理行动、资源、职责和优先级别，并通过实施服务导向架构(SOA)中选择的控制来达到控制目标。

组织将需要定义如何监测风险处理的有效性。这会为PDCA循环的检查阶段提供输入。组织还将需要在所有控制实施会影响到的领域，实施培训和宣传计划。组织将实施能够支持对安全事件进行即时检测并对其做出反应的程序和其他控制(见5.4.3)。

5.4.3 检查阶段

在检查阶段结束时，一份关于所运营的ISMS(由执行阶段得到)的绩效结果和对目的的适用性的报告将会被提交给管理层以便对体系的有效性做出评价。体系过程的绩效将根据ISMS政策、目标得到评价和测量，并且在经过PDCA循环后，也根据对体系运转情况的实际经验来评价和测量。

5.4.4 采取行动阶段

在管理层检查之后，根据对ISMS内部审核和管理层检查的结果以及其他相关信息，组织将会采取纠正和预防措施来实现ISMS的持续改进(改编自ISO 27001，第vi页)。

5.5 与IT管理的关联

ISO 27001系列标准对任何组织的IT管理都是一个关键因素。通过这一标准，一个组织使用的信息的价值就会被认知。对组织有价值的很多信息资产被存放在IT设备上，而这些设备是很多会威胁到信息资产价值的弱点存在的原因。的确，很多被选来管理风险的控制都会影响到IT管理。

但是，信息安全管理不仅仅是IT管理的问题，那样理解会是一个错误，因为组织面临的很多信息安全上的弱点并非源自IT基础设施，而是源自组织的社会-技术体系的社会方面。因此，资产识别和风险评价阶段应该在整个组织中进行。

在风险的控制方面，标准中的很多控制会影响到IT管理，控制的检查和维护——ISMS的一个必要组成——也很自然地来自这个职能部门。