信息安全管理過程方法和PDCA戴明環

2002版的BS7799第2部分在ISMS的設計和部署上第一次促進了“過程方法”的採用。這種方法就是廣爲人知的“Plan-Do- Check-Act(PDCA)，PDCA是英語單詞Plan(計劃)、Do(執行)、Check(檢查)和Act(行動)的第一個字母，譯成中文爲：計 劃、實施、檢查和改進”，對於進行質量和經營管理的人們來講很熟悉。

PDCA循環是由美國統計學家戴明博士在1950年代提出來的，所以也俗稱“戴明環”。它指出，業務流程應該處理一個連續的反饋迴路，使管理人員能 夠識別和改變這一進程中需要改進的部分。這個過程，或者對過程的改進，首先要進行規劃，然後實施，再衡量績效，並將績效同計劃進行比較，以發現偏差或確定 潛在的改進點，並且彙報給管理層以便做出採取實際行動的決定。

PDCA和ISO 27001
ISO 27001在第0.2章節認可了這種模式，並且描述瞭如何將其應用於信息安全環境中。ISO 27001的附件B交叉引用了經合組織關於PDCA模型的準則。ISO 27001採用了PDCA的過程模型，並將其應用於架構所有ISMS的過程。

將PDCA循環應用在過程方法中意味着，按照流程設計的基本準則，流程中應該有輸入和輸出。ISMS的需求作爲其輸入“有興趣的各方對信息安全的需求和期望，通過各種必要的行動和過程，產生滿足這些要求和期望的信息安全結果”。

在戰術層面應用PDCA循環
這意味着，PDCA循環模型有兩個層面上的應用：在戰略層面上，對ISMS自身的整體開發；在戰術層面上，對每一個ISMS的過程的開發。

ISO 27001條文中的PDCA四個循環階段
標準的簡介中描述了在戰略層面上，將PDCA循環應用到ISMS的開發。PDCA循環和標準中確定了的ISMS的開發階段之間的對應關係如下：

計劃階段（建立ISMS，章節4.2.1)：
*   定義ISMS的範圍和信息安全方針；
*   定義風險評估的系統性方 法；
*   識別風險；
*   應用組織確定的系統性方法評估風險；
*   識別並評估可選的風險處理方式；
*   選擇控制目標與控制方式；
*   準備適用性申明SOA。

實施階段(實施和運作ISMS，章節4.2.2)：
*   實施特定的管理程序；
*   實施所選擇的控制，執行風險應對計劃；
*   爲受影響的員工提供必要的培訓和提升安全意識
*   運作管理；
*   實施能夠促進安全事件檢測和響應的程序和其他控制。

檢查階段(監督和審查ISMS，章節4.2.3)：
*   執行程序，檢測錯誤和違背方針的行爲；
*   定期評審ISMS的有效性；
*   評審剩餘風險和可接受風險的等級；
*   執行管理程序以確定規定的安全程序是否適當，是否符合標準，以及是否按照預期的目的進行工作；
*   定期對ISMS進行正式評審，以確保範圍保持充分性，以及ISMS過程的持續改進得到識別並實施；
*   記錄並報告所有活動和事件。

改進階段(維護和改進ISMS，章節4.2.4)：
*   測量ISMS績效；
*   識別ISMS的改進措施，並有效實施；
*   採取適當的糾正和預防措施；
*   必要時修改ISMS，確保修改達到既定的目標；
*   持續檢查、測試和改進的“持續改進”過程。