ขั้นตอนที่ 1 ประเมิน (Assess) :

วิเคราะห์ความต้องการ และวัตถุประสงค์ขององค์กร และพัฒนาโปรแกรมการสร้างความตระหนักด้านไซเบอร์ รวมถึงกำหนดตัวชี้วัดที่สามารถประเมินผลลัพธ์ได้

ขั้นตอนที่ 2: วางแผน (Plan)

วางแผนโปรแกรมการสร้างความตระหนักด้านไซเบอร์ เพื่อบริหารจัดการ ดำเนินการ และติดตาม ให้สอดคล้องกับโปรแกรม รวมถึงการบริหารจัดการผู้บริหารองค์กร พนักงาน และผู้มีส่วนได้ส่วนเสียในองค์กร

ขั้นตอนที่ 3: ดำเนินการ (Implement)

ดำเนินการตามแผนโปรแกรมการสร้างความตระหนักด้านไซเบอร์  ทดสอบก่อน-หลัง การฝึกอบรม เตรียมสถานการณ์จำลองการทดสอบความตระหนักด้านไซเบอร์

ขั้นตอนที่ 4: วัด และประเมินผล (Measure)

ดำเนินการประเมินผล วัดประสิทธิภาพของโปรแกรมการสร้างความตระหนักด้านไซเบอร์ขององค์กรเทียบกับวัตถุประสงค์ และรายงานความคืบหน้าต่อผู้บริหารองค์กร

ขั้นตอนที่ 5: ปรับแต่ง (Optimize)

เพิ่มประสิทธิภาพโปรแกรมการสร้างความตระหนักด้านไซเบอร์ พร้อมทั้งรวบรวมการถอดบทเรียน (Lesson Learn) พร้อมทั้งกรณีศึกษา (case study) และรวมข้อมูลเชิงลึกใหม่ เพื่อเป็นข้อมูลสำหรับการวางแผนให้เหมาะสมสำหรับปีถัดไป