2.實施和運行ISMS

組織應為管理信息安全風險識別適當的管理措施、資源、職責和優先順序，即：制定風險處置計劃；實施風險處置計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配；實施選擇的控制措施，以滿足控制目標；確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性，以產生可比較的和可再現的結果；實施培訓和意識教育計劃；管理ISMS的運行；管理ISMS的資源；實施能夠迅速檢測安全事態和響應安全事件的規程和其他控制措施。