Et ISMS implementerer dermed nødvendige sikkerhetstiltak i virksomheten, som består av blant annet informasjonssikkerhetspolicy, prosedyrer og retningslinjer, inkludert tilknyttede ressurser og aktiviteter. Dette er administrert av virksomheten, som har ansvar for å etablere, implementere, operasjonalisere, monitorere, gjennomgå, opprettholde og kontinuerlig forbedre virksomhetens informasjonssikkerhet for å kunne ivareta virksomhetens forretningsmål.
Styringssystemet kan baseres på flere anerkjente rammeverk og standarder som blant annet:
- ISO27001
- NSM Grunnprinsipper for IKT-sikkerhet
- CIS Controls
- National Institute of Standards and Technology Cybersecurity Framework (NIST CSF).
