لازم به توضیح است که منظور از طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات ایجاد بستری جهت ایجاد هماهنگی بین کلیه پرسنل حوزۀ پروژه به منظور حرکت در جهت امنیت اطلاعات در سازمان می‌باشد و این امر محقق نمی‌شود مگر با مشارکت و همراهی کلیه کارشناسان و پشتیبانی مدیران ارشد سازمان و لذا تمامی مراحل طراحی و پیاده‌‏سازی هر پروژه توسط مشاوران سیستم و با مشارکت و همراهی کارشناسان و مدیران سازمان امکان‏‌پذیر خواهد بود. به تعبیری ضمانت اثر بخش بودن سیستم وابسته به این درجۀ موفقیت سازمانی در ایجاد و تداوم مثبت این مشارکت می‌باشد. چرا که طبعاً سیستم مدیریت امنیت اطلاعات یک سازمان پس از اتمام پروژه و خروج مشاور از سازمان همچنان با رویکرد بهبود مستمر تداوم خواهد یافت.

لازم به ذکر است که کلیۀ مراحل استقرار سیستم مدیریت امنیت اطلاعات مبتنی بر استاندارد ISO/IEC 27001:2013 بوده و بدین جهت منطبق با چرخۀ دمینگ (PDCA) می‏‌باشد. چرخۀ دمینگ پیشبرد یک فرایند را در چهار فاز طراحی (Plan)، اجرا (Do)، بررسی (Check) و اقدام (Act) تبیین می‏‌کند که با توجه به تعریف این چرخه به طور مداوم در گردش بوده و در واقع رخ دادن مکرر این فازها است که موجب بهبود مستمر سیستم خواهد شد. با این رویکرد می‏‌توان روند استقرار سیستم مدیریت امنیت اطلاعات را در این چهار مرحله تبیین کرد:

الف) شناخت الزامات امنیت اطلاعات و تبیین فرآیندهای این حوزه‏؛

ب) پیاده‏‌سازی و بهره‌‏برداری از فرآیندهای تبیین شده در قلمرو سیستم مدیریت امنیت اطلاعات سازمان‏؛

پ) پایش و بازنگری اجرا و اثربخشی سیستم مدیریت امنیت اطلاعات؛

ت) بهبود مستمر بر اساس اندازه‏‌گیری هدف‏.

می‏توان این طور بیان نمود که گام‏های فوق که همان مراحل اجرای پروژه می‏باشند در واقع مسیر تحقق الزامات استاندارد ISO/IEC 27001:2013 هستند که از دو دستۀ کلی بندهای اصلی و بندهای کنترلی تشکیل می‏شود.

بندهای اصلی:

این بندها در بر دارندۀ الزامات غالباً سیستمی استاندارد می‏باشند که ویژگی مهم آن‏ها این است که برای هیچ سازمانی عدم انطباق با این دسته از الزامات تحت هیچ شرایطی پذیرفته نیست و در واقع بندهای اصلی استاندارد استثناپذیر نیستند. این الزامات شامل ۷ بند کلی می‏باشند که در ساختار استاندارد از شمارۀ ۴ الی ۱۰ شماره‏گذاری شده‏اند.

بندهای کنترلی:

این بندها دارای جزئیات فنی بیشتری بوده و در سه حوزۀ اجرایی، فیزیکی و منطقی ورود می‏کنند. این بندها نیز به مانند بندهای اصلی الزام آور بوده و سازمان‏ها مکلف خواهند بود وضعیت جاری و سازمانی خود را با مضامین مربوطه انطباق دهند. تفاوتی که در اینجا وجود دارد این است که تحت شرایط خاص و وجود توجیهات قابل قبول برخی از بندهای کنترلی می‏توانند برای سازمان به دلیل کاربرد ناپذیر بودن استثنا شوند. به عنوان مثال ممکن است سازمانی در حیطۀ فرایندهای داخلی خود و دامنۀ سیستم ISMS هیچ فعالیتی در زمینۀ تجارت الکترونیک نداشته باشد. در این صورت مسلم است که الزامات مربوط به مبحث تجارت الکترونیک نیز برای این سازمان موضوعیت نداشته و با توجیه کاربرد ناپذیری استثنا می‏گردند. این دسته از الزامات دارای ۱۴ حوزۀ کلی و ۱۱۴ بند کنترلی است که از A5 تا A18 شماره گذاری شده‏اند.