信息安全管理之PDCA过程

5.1.3   PDCA过程

“规划( Plan)-实施(Do) -检查(Check)-处置(Act)”（PDCA过程）又叫质量环，是管理学中的一个通用模型，最早由休哈特于1930年构想，后来被美国质量管理专家戴明博士在1950年再度挖掘出来，并加以广泛宣传和运用于持续改善产品质量的过程。PDCA 循环就是接照_规划、实施、检查、处置”的顺序进行质量管理，并且循环不止地进行下去的科学程序，建立符合国际标准IS09001的质量管理体系即是一个典型的PDCA过程，建立IS014001环境管理体系、IS020000IT服务管理体系也是一个类似的过程。

信息安全管理体系也采用了PDCA模型，该模型可应用于所有的ISMS过程。下图说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。

规划（建立ISMS）

建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程，以提供与组织总方针和总目标相一致的结果。

实施（实施和运行ISMS）

实施和运行ISMS方针、控制措施、过程和规程。 检查（监视和评审ISIVIS）

对照ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审。

处置（保持和改进ISMS）

基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。