Wszystkie etapy wdrażania SZBI zostały opisane w rozdziale 4.2 normy PN-ISO/IEC 27001:2007 pod tytułem „Wdrożenie i eksploatacja SZBI”. Rozdział ten przedstawia działania, które organizacja musi podjąć wdrażając i eksploatując SZBI, zgodny z wymaganiami normy.

Norma ISO/IEC 27001:2007 powstała dla zobrazowania modelu oraz ustanawiania, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI). W normie tej, podobnie jak w innych normach z rodziny ISO, zastosowano podejście procesowe. W procesie wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji używany jest model PDCA (tłumacząc z angielskiego - planuj, wykonuj, sprawdzaj, działaj).

Planowanie obrazuje ustanowienie polityki SZBI, celów oraz procesów związanych z wdrażanym systemem, a więc powoływaniem do życia SZBI. Wykonywanie odnosi się do zastosowania i eksploatacji systemu zarządzania bezpieczeństwem informacji, czyli wdrożeniem procedur, procesów, polityki oraz zabezpieczeń. Sprawdzanie odzwierciedla wszelkie działania związane z monitorowaniem oraz przeglądem systemu zarządzania i bezpieczeństwa informacji, sporządzaniem raportów dla kierownictwa, testowaniem procesów, ich wydajności w porównaniu z ustaloną polityką oraz celami. Ostatnim elementem modelu PDCA jest działanie, polegające na ciągłym rozwijaniu i doskonaleniu systemu, podejmowaniu działań korygujących i zapobiegawczych.

Właśnie takie procesowe podejście charakteryzuje się łatwą integracją systemu zarządzania bezpieczeństwem informacji z już istniejącymi lub równolegle wdrażanymi systemami zarządzania z rodziny ISO.