2.实施和运行ISMS
组织应为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即:制定风险处置计划;实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配;实施选择的控制措施,以满足控制目标;确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用这些测量措施来评估控制措施的有效性,以产生可比较的和可再现的结果;实施培训和意识教育计划;管理ISMS的运行;管理ISMS的资源;实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施。