Procedura przygotowania i wdrożenia systemu zarządzania bezpieczeństwem informacji została opisana w punktach 4.2 i 4.3 normy ISO 27001:2005. Składa się ona z następujących kroków:

• określenie zakresu i granic SZBI,
• określenie polityki SZBI,
• określenie podejścia do szacowania ryzyka,
• określenie ryzyka,
• analiza i ocena ryzyka,
• identyfikacja i ocena wariantów postępowania z ryzykiem,
• wybranie zabezpieczeń,
• akceptacja ryzyka szczątkowego,
• uzyskanie autoryzacji dla wdrożenia systemu,
• opracowanie deklaracji stosowania,
• opracowanie planu postępowania z ryzykiem,
• wdrożenie planu postępowania z ryzykiem,
• wdrożenie zabezpieczeń,
• określenie sposobów mierzenia skuteczności zabezpieczeń,
• szkolenie pracowników i współpracowników.

Zakres systemu zarządzania bezpieczeństwem informacji nie może być dowolnie określony, bowiem musi uwzględniać charakter działalności organizacji. Błędem jest podmiotowe lub przedmiotowe ograniczanie systemu, które może spowodować jego niepełną sprawność. Przykładowo wprowadzenie systemu wyłącznie w biurze obsługi klienta lub tylko w zakresie systemu informatycznego z pewnością nie przyniesie oczekiwanych efektów.

W przypadku gdy organizacja wdrożyła już system zarządzania jakością, dobrym rozwiązaniem jest jego integracja z SZBI. Działanie takie przyczynia się do skrócenia czasu wdrożenia, a jednocześnie do obniżenia kosztów funkcjonowania. Pomiędzy wspomnianymi systemami występuje wiele podobieństw, jak choćby struktura dokumentacji, na której szczycie znajduje się polityka SZBI. Jej zadaniem jest określenie głównych kierunków i zasad działania w zakresie zapewnienia bezpieczeństwa informacji. Z punktu widzenia zarządzania strategicznego, polityka może być traktowana jako element strategii dotyczący prawidłowego funkcjonowania systemu informacyjnego. Takie spojrzenie pozwala w przypadku zintegrowanego systemu zarządzania na łatwiejsze zarządzanie wieloma politykami występującymi w firmie.