在信息安全管理體系（ISMS）構建與運行方面，企業要指定一名管理者代表，并建立一個信息安全組織機構（如信息安全委員會或小組），明確各部門在信息安全中的具體職責；按照標準要求，系統地識別信息資產、評估威脅和脆弱性，計算出信息安全風險，并制定風險處置計劃；按照 ISO27001 附錄 A 的要求，至少建立并保留標準的強制性文件和記錄，如信息安全方針、控制目標和程序文件（如訪問控制程序、加密策略、備份與恢復程序等），并且有記錄來證明這些程序得到了執行（如培訓記錄、內部審核記錄、事件處置記錄） ；在正式認證審核前，企業必須至少完成一次完整的內部審核和管理評審。