現在事前的準備大致都完成了，由組織高度檢視整個經營環境、匡列要導入ISMS的範圍、檢視相關的風險並完成評鑑、針對無法接受的風險也已經辨識出來、最高管理階層也已表達支持並給予必要的資源了，現在就是要開始進入ISMS最重要的環節：運作 (Operation)。

在主條文8.1中，要求組織運用之前所選定的控制措施進行實作，組織在開始進行之前已經規劃好要由適當的人來進行這件事 (主條文7.2)，被授權針對控制措施規劃與執行制度的人 (以下就稱為負責人吧) 必須要依照控制措施的要求進行制度規劃與設計，由於在附錄A中只會交代控制措施要達到的目的是什麼，可能對理解控制措施要做到什麼樣的程度會有些困難，這時候就需要參考ISO 27002:2022，它會對每一個控制措施都提供了詳細的實作指引，不過由於部份控制措施本身就已經是一個很大的議題 (比如A.5.8專案管理之資訊安全、A.5.9資訊及其他相關聯資產之清冊、A.5.30營運持續之ICT備妥性、A.5.43隱私及PII保護、A.8.25安全開發生命週期等等)，在ISO 27002:2022的指引中也會導引讀者去參考相關的ISO標準，因此有時會很容易摸不到實作的邊界，所以在實際實作控制措施時，建議：

1. 與組織現有的業務與管理流程揉合，以達到控制措施的目的即可。
2. 制定新制度或揉合現有制度時，盡量不要衍生太多的不必要過程或程序。
3. 非必要勿過度摻入其他額外的管理制度，但要遵循最低的符合要求。例如營運持續之ICT備妥性雖然與ISO 22301 (營運持續管理系統) 相關，但只要實作到營運持續的幾個必備的活動就足夠，不必把整套ISO 22301都拉進來，這樣反而會失焦。
4. 若過程中有使用到來自組織外部的任何資源 (無論是過程、產品或服務) 都應該要有確認的措施，以防止這些資源對制度本身或控制措施產生負面效應。

主條文8.1要求組織在針對控制措施實作時，要符合這兩個原則：

1. 建立過程的準則：亦即過程中必須包含判斷的條件，來確認這個過程是有效的。
2. 依準則實作過程之控制措施：亦即實作一整套過程，並將準則納進過程中，以確定過程在符合準則要求的情況下會是有效的。

若控制措施的實作能達成前面這兩個原則，並在過程中留下足夠的記錄，那麼基本上就已能符合主條文中「其程度須具足以達成其過程已依規劃執行之信心」。

當控制措施的制度建立之後，若要對其進行變更時，要依照主條文7.5的過程進行，也必須要對這類變更進行規劃 (主條文6.3)，避免或減輕變更所帶來的負面效果 (比如反而使要控制的風險升高，或是增加額外的風險)。

另外，在制度規劃或運行的過程中，若因為某些因素 (如組織業務異動、流程變更、資源調動等) 而使制度需要進行重大變更時，必須進行風險評鑑，評鑑所用的風險準則可依之前組織所定義的風險準則為依據，同樣若是產生組織無法接受的風險時，要進行風險處理，以確保風險都已經在控制之中。

主條文8.1要求應將依控制措施要求所規劃之過程以及運作產生的結果形成文件化資訊；主條文8.2及8.3應將過程中發生風險的評鑑結果及處理結果形成文件化資訊。