确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；b. 威胁及薄弱点的识别；c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

　　3、识别风险

　　识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

　　4、评估风险

　　根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

　　5、识别并评价风险处理的方法

　　对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

　　6、为风险的处理选择控制目标与控制方式

　　选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。BS 7799-2:2002附录A提供了可供选择的控制目标与控制方式。

　　不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。

　　这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。

　　在形式上，组织可以通过设计风险处理计划来完成步骤5和6。

　　风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

　　7、获得最高管理者的授权批准

　　剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

　　D（实施）—实施并运行信息安全管理体系

　　PDCA循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。

　　对于那些被评估认为是可接受的风险，不需要采取进一步的措施。

　　对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

　　在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。

　　本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

　　提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。