Standardowy przebieg wdrożenia systemu zarządzania bezpieczeństwem zgodnym z normą ISO 27001:2005:
- Powołanie projektu (przydzielenie osoby odpowiedzialnej i innych zasobów)
- Określenie zakresu wdrożenia ( może obejmować, procesy, jednostki organizacyjne, lokalizacje)
- Określenie metodyki szacowania ryzyka - która będzie częścią polityki zarządzania bezpieczeństwem informacji
- Przeprowadzenie analizy ryzyka w tym
- inwentaryzacja zasobów (może być przeprowadzona za pomocą ankiety na www systemu HDFE, lub o za pomocą ankiet w MS WORD (patrz przykład) lub Excel), wraz z wskazaniem zasobów informacyjnych użytkownicy określają ich wagę w zakresie dostępności, poufności, podatności)
- Określenia zagrożeń obejmujących środku na których informacje są przechowywane lub przetwarzane - wraz z systemem HDFE dostarczana jest standardowa kategoryzacja zagrożeń.)
- Określenie zasięgu i siły zagrożeń na poszczególne zasoby i ich podatności (np komputery, pomieszczenia)
- Określenie zabezpieczeń i ich wpływu na bezpieczeństwo zasobów
- Kalkulacja ryzyka i wydzielenie ryzyk o szczególnie dużej wadze (patrz metodyka)
- Przygotowanie dokumentacji w tym Polityki Zarządzania Bezpieczeństwem Informacji
- Określenie planu wprowadzania zabezpieczeń mających na celu obniżenie ryzyk (uwaga niektóre zabezpieczenia mogą obniżać ryzyko w jednym aspekcie podwyższając je w drugim)
- Kalkulacja ryzyka szczątkowego - pozostałego po wprowadzeniu planowanych zabezpieczeń
- Akceptacja ryzyk szczątkowych przez zarząd
- Aktualizacja dokumentacji (w tym procedur) i wprowadzenie zabezpieczeń
- Szkolenia
- Audit wewnętrzny
- Przygotowanie do auditu certyfikującego