Kuruluş, dokümante edilmiş bir BGYS’ ni, kuruluşun tüm ticari faaliyetleri ve karşılaştığı riskleri bağlamında kurmalı, gerçekleştirmeli, işletmeli, izlemeli, gözden geçirmeli, sürdürmeli ve iyileştir melidir. Bu standardın bir gereği olarak, Planla-Uygula-Kontrol Et-Ölç (PUKÖ) modeli Bilgi Güvenliği Yönetim Sisteminin 4 temel prensibini oluşturur:
•BGYS’nin kurulması ve yönetilmesi
•BGYS’nin gerçekleştirilmesi ve işletilmesi
•BGYS’nin izlenmesi ve gözden geçirilmesi
•BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi
