体系文件编写完成后，进入实际运行阶段，且必须持续运行 3 个月以上，以充分验证体系的有效性和稳定性。在运行过程中，严格按照文件要求执行各项控制措施，如在用户权限审批方面，严格遵循权限审批流程，根据员工的工作职责和业务需求，准确分配最小化的访问权限，并及时更新权限；定期进行漏洞扫描，及时发现并修复系统中的安全漏洞；对安全事件进行及时、准确的处理，按照事件响应程序，迅速采取措施遏制事件影响，调查事件原因，总结经验教训并进行改进 。