Plan (planejar) (estabelecer o SGSI) - Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Do (executar/fazer) (implementar e operar o SGSI) - Implementar e operar a política, controles, processos e procedimentos do SGSI.
Check (verificar/checar) (monitorar e analisar criticamente o SGSI) - Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.
Act (agir) (manter e melhorar o SGSI) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
Fonte: https://qualidadenapratica.files.wordpress.com/2011/05/iso_iec-27001.pdf