Mô hình ISCP gồm 3 giai đoạn: (1) tổng hợp kiểm soát, (2) đánh giá kiểm soát, (3) phân tích kiểm soát.

• Giai đoạn 1: xác định 18 kiểm soát kỹ thuật (router, firewall, web app, DNS…), phân loại mối đe dọa thành 7 nhóm (xác thực, ủy quyền, tấn công phía client, thực thi lệnh, rò rỉ thông tin, logic, nội gián), đánh giá tác động kinh doanh theo tiêu chí DREAD và chi phí khắc phục.
• - Giai đoạn 2: thực hiện đánh giá lỗ hổng bằng công cụ như Nessus, Nmap, Acunetix…, phân tích dữ liệu và kiểm tra xâm nhập bằng Metasploit, Paros Proxy, v.v.
• - Giai đoạn 3: áp dụng TOPSIS để chuẩn hóa dữ liệu, tính khoảng cách tới giải pháp lý tưởng và xếp hạng các kiểm soát theo mức độ ưu tiên.
• - Kết quả: Web application là kiểm soát rủi ro cao nhất, tiếp theo là router, web server, VMware ESX server, passive mail server, database, CCTV server, DHCP server.
• - So sánh với phương pháp ISO/IEC 27005 cho thấy ISCP giảm thời gian, chi phí và độ không chắc chắn trong đánh giá rủi ro, đồng thời tăng tính hữu ích.
• - Mô hình ISCP được kiểm nghiệm thực tế tại một công ty an ninh mạng ở Kuala Lumpur, với sự tham gia của nhóm chuyên gia ISMS.