1. プロジェクト・オープン(事務局のみ)
2. キックオフ(狙い、推進体制、全体スケジュール)
3. 構築フェーズ教育(キーマン、事務局、部門推進員、内部監査員)
4. 適用範囲定義(フレーム概略)
5. ISMS方針書(フレーム概略)
6. ISMSマニュアル骨子策定(フレーム概略のみ)
7. リスクアセスメント体系・方式の確認
8. 資産台帳作成(現場部門)
9. リスクアセスメント実施(現場部門:現状リスク)
10. 追加の管理策の洗い出しと要件定義
11. リスクアセスメント更新(現場部門:予測リスク)
12. 適用宣言書の承認
13. 残留リスク承認(リスクアセスメント結果報告書の承認)
14. 既存の管理策を含め、管理策実施手順書策定(事前に手順書があるかどうかを調査しても無駄。問題意識を持たない段階では調査に漏れが出る。またリスクに呼応するものを策定することが必要なのでどの道やり直しになる)
15. ISMSマニュアル及び関連手順書等の完成
16. リスク対応計画ドラフト:追加の管理策が実行/定常運用可能状態にない場合は実行/定常運用可能とするためプロジェクト=リスク対応計画を策定する。追加の管理策とプロジェクト=リスク対応計画とは1:1対応の必要は無いが、資産・リスクとの関連付けは必要。
17. 構築フェーズレビュー:ドキュメント総合レビュー、残留リスクの再承認(前項の検討の結果、リスクに変化が生じた場合)、運用開始日の決定。
18. 運用フェーズ教育(全員網羅:運用開始前に全員のミニマムの教育は終了させる)
19. 運用開始(Xデー)
20. 運用開始後第1回月度委員会(運用開始から1ヶ月以内)
21. 事業継続計画訓練実施(訓練計画の承認は事前に得ておくこと)
22. 運用開始後第2回月度委員会(運用開始から2ヶ月以内)
23. 内部監査実施(監査計画の承認は事前に得ておくこと)
24. 内部監査結果報告
25. マネジメントレビュー
26. プロジェクト・クローズ(事務局のみ)