ISO 27001在第0.2章節認可了這種模式,並且描述瞭如何將其應用於信息安全環境中。ISO 27001的附件B交叉引用了經合組織關於PDCA模型的準則。ISO 27001採用了PDCA的過程模型,並將其應用於架構所有ISMS的過程。
這意味着,PDCA循環模型有兩個層面上的應用:在戰略層面上,對ISMS自身的整體開發;在戰術層面上,對每一個ISMS的過程的開發。
標準的簡介中描述了在戰略層面上,將PDCA循環應用到ISMS的開發。PDCA循環和標準中確定了的ISMS的開發階段之間的對應關係如下:
* 定義ISMS的範圍和信息安全方針;
* 定義風險評估的系統性方 法;
* 識別風險;
* 應用組織確定的系統性方法評估風險;
* 識別並評估可選的風險處理方式;
* 選擇控制目標與控制方式;
* 準備適用性申明SOA。
* 實施特定的管理程序;
* 實施所選擇的控制,執行風險應對計劃;
* 爲受影響的員工提供必要的培訓和提升安全意識
* 運作管理;
* 實施能夠促進安全事件檢測和響應的程序和其他控制。
* 執行程序,檢測錯誤和違背方針的行爲;
* 定期評審ISMS的有效性;
* 評審剩餘風險和可接受風險的等級;
* 執行管理程序以確定規定的安全程序是否適當,是否符合標準,以及是否按照預期的目的進行工作;
* 定期對ISMS進行正式評審,以確保範圍保持充分性,以及ISMS過程的持續改進得到識別並實施;
* 記錄並報告所有活動和事件。
* 測量ISMS績效;
* 識別ISMS的改進措施,並有效實施;
* 採取適當的糾正和預防措施;
* 必要時修改ISMS,確保修改達到既定的目標;
* 持續檢查、測試和改進的“持續改進”過程。