ISMSを構築していく上で、必要になってくる作業を、 その内容や性格によって大きく4つにわけることができる。 その4つを順番通り繰り返していくうちに、 日々変化する現状に対応し、より完璧なISMSをめざす。
つまり、4つの段階を「回して」育てるのだ。

最初から完成度の高いものを無理な努力で構築しようとするのではなく、
現状できる範囲をたとえ少し不格好でもいいから形にし、できなかったところは4つの作業を繰り返すうちに直していく、というのが基本的な考え方だ。
その4つの呼び名は英語でつけてあり、その内容は次の通り。

1.「PLAN」

「ISMSの確立」 PLANといえども、計画だけで終わるのではなく、確立することを目指す。 必要な文書を作成したり、ISMSで守る範囲を決めたりして、一通りISMSの形を作るために必要な作業を終わらせる。 　

2．「DO」

「ISMSの導入・運用」 PLANで確立したISMSを一回やってみる。 　

3．「CHECK」

　「ISMSの監視」 運用しているその状態を内部監査や、ISMSの認証機関によってチェックしてもらう。

4．「ACT」

　 チェックしてもらった結果、自分たちだけでは気付かなかった問題や、未対応のリスクなどに対して再調査を行い、本当にそれが問題なのか、 対応が必要なのか、また、対応せずに受け入れることを決めていたのなら、なぜ受け入れることにしていたのかなどを、はっきりさせ、監査員や審査員に回答する。
　また、指摘された問題に対して改善が本当に必要な場合は、その改善内容を文書として残す。 すぐに対応できないものについては、対応計画を練る。
そして次年度のPLANへ戻る。