PDCA过程模式在信息安全管理体系的应用科飞管理咨询有限公司吴昌伦王毅刚BS7799是国际上具有代表性的信息安全管理体系标准，其第二部分《信息安全管理体系规范》，是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本（BS7799-2:2002）是2002年9月5日修订的，引入了PDCA（Plan-Do-Check-Action）过程模式，作为建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。依据BS7799-2:2002建立信息安全管理体系时，过程方法鼓励其用户强调下列内容的重要性：1、理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；2、在管理组织整体业务风险背景下实施和运行控制；3、监控并评审信息安全管理体系的业绩和有效性；4、在目标测量的基础上持续改进。BS7799-2:2002的PDCA过程模式BS7799-2:2002所采用的过程模式如图1所示，“计划-实施-检查-措施”四个步骤可以应用于所有过程。PDCA过程模式可简单描述如下：图1PDCA过程模式◆策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。◆实施：实施和运作方针（过程和程序）。◆检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。◆措施：采取纠正和预防措施进一步提高过程业绩。四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。应用PDCA建立、保持信息安全管理体系P（策划）—建立信息安全管理体系环境（context）&风险评估要启动PDCA循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。1．确定范围和方针信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：a.确立信息安全管理体系范围和体系环境所需的过程；b.战略性和组织化的信息安全管理环境；c.组织的信息安全风险管理方法；d.信息安全风险评价标准以及所要求的保证程度；e.信息资产识别的范围。信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：◆下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动；◆下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。2、定义风险评估的系统性方法确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；b.威胁及薄弱点的识别；c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；d.以风险评估结果为基础的风险计算，以及剩余风险的识别。3、识别风险识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。4、评估风险根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。5、识别并评价风险处理的方法对于所识别的信息安全风险，组织需要加以分析，区别对待。