Om te komen tot de invoering van I&AM heeft VKA vier stappen ontwikkelt.

De eerste stap is het bepalen waar de belangrijke informatie in uw organisatie zit. Bijvoorbeeld welke afdelingen en systemen. Stap 2 bestaat uit het vaststellen wie toegang tot die informatie kan krijgen. Bijvoorbeeld de functies en rollen. Stap 3 is het bepalen hoe personen kunnen bewijzen wie ze zijn bijvoorbeeld door middel van een password. En de laatste stap, is het vaststellen wie wat mag doen met welke informatie. Dus welke autorisaties medewerkers krijgen.

Na de invoering van I&AM moet het I&AM proces beheerst worden. De beheersing kan door middel van de volgende stappen:

• Autoriseren: een medewerker toestemming geven voor toegang tot een systeem of gebouw.
• Invoeren: de toegang technisch inregelen.
• Controleren: periodiek controleren of de toegangsrechten nog correct zijn.
•  Corrigeren: waar van toepassing correcties aanbrengen op de toegangsrechten.

Deze stappen zijn een terugkerend proces om I&AM te beheersen.