A négy fázis a PDCA-modellt követi: megtervezni a biztonsági kontrollokat (plan), bevezetni ezeket (do), ellenőrizni őket (check), majd az eredmények ismeretében kijavítani a hiányosságokat (act). A négy fázis összesen kilenc tevékenységre van felosztva. A tervezéshez tartozik a kockázatelemzés, az architekturális modell, valamint a biztonsági és adatvédelmi követelmények kidolgozása. A biztonsági kontrollok kiválasztása és azok implementációja, valamint a felhőszolgáltatás beindítása a bevezetési fázis részeit alkotja. Az ellenőrzéshez tartozik a biztonsági rendszerszabályok betartásának rendszeres monitorozása és az időnkénti auditálás. Végül a javítási fázisban kerül sor a változásmenedzsmentre és exit menedzsmentre.