捌、 第八章 執行
這個章節是要按照第六章計畫的處理措施去執行，執行時仍應配合前面所有的條文，可以考量下列事項：
• 第六章所決定之風險處理措施可以結合組織日常或通用流程進行程序化，不要疊床架屋、造成執行上的困擾以及負擔，例如：風險評估後決定新進人員必須填寫保密切結書以及進行系統帳號申請作業，此時可以結合原有人事部門新進人員報到的程序，在人員繳交基本人事資料時填寫保密切結書即可進行帳號申請的事項，不必等人員報到後再由資訊安全管理人員另外找時間去請新進人員填寫資料及進行申請流程。資訊安全管理系統不是一個獨立的系統，他必須與日常作業及管理結合，這樣才能正確發揮管理系統應有的效能。
• 從日常作業流程中去找到資訊安全應該如何執行，在識別風險時以業務流程進行，所以在執行時也要從日常作業中去做，例如：我們從流程中發現當人員離開座位時，未將電腦登出時會有資料外洩的風險，那麼我們應該設定螢幕保護或是要求人員離開時登出。
• 面對各種情況時（例如人員轉換職務時），對進行之活動有明確定義和溝通相關資訊安全風險事項(例如帳號權限轉移)。
• 依照5.3條組織角色、責任與職權，分配每項活動應有的權責，例如：機房進出管制應由誰來管制、誰來核准、誰進行檢查、誰來報告等。在前面敘述條文的時候還沒有將風險納入考量，現在考量風險後採取控制措施，相對應的權責應該可以更加清楚地分配，也需要相對應的人能夠了解自己的職責。
• 充分分配資源，以確保相關活動可以在需要時進行。執行控制措施需要資源，一定要事先確認資源是否充足、有沒有需要再補充或重新考量的問題，以確保執行能順利。
• 對每項過程的資訊安全風險控制措施進行有效性的評估，藉以達到持續改善並且符合組織的目標。