Das Kapitel 8 „Betrieb“ der ISO/IEC 27001:2022 beschreibt, wie die Organisation geplante Maßnahmen umsetzt, um Informationssicherheitsrisiken zu steuern und die festgelegten Ziele des ISMS zu erreichen. Es geht also um die operative Umsetzung der zuvor geplanten Sicherheitsmaßnahmen.