BS 7799第2部分：信息安全管理系统

BS 7799第2部分：信息安全管理系统

BS 7799的第2部分提供了循环的过程：计划一实施一检查。改进的实施细节，并且简洁地示于图6-2。

计划：

①定义ISMS的范围

②定义ISMS策略

③定义风险评估方法

④识别风险

⑤评估风险

⑥确定并评价处理风险的各种选择

⑦选择控制目标并且控制它

⑧准备一个适用性陈述(SOA)

实施：

设计危机处理计划

实施危机处理计划

实施控制

实施培训和意识提升项目

管理操作

管理资源

实施程序来检测安全事故并对其做出响应

检查：

执行监控程序

对ISMS的有效性进行常规检查⑩检查可接受风险的等级

实施内部ISMS审计

对ISMS进行常规管理检查

记录影响ISMS的活动和事件

改进：

实施已确定的改进

采取改正或者预防措施

运用学到的教训

和利益集团就结果进行交流

保证进行的改进能达到目的

虽然第2部分最近才被修正过，并且提供了一些关于实施的信息，但是它仅仅指明了必须做什么——而不是怎样去做。如同Gamma安全系统提到的那样， “该标准有一个附录，给出了该标准的使用指南，尤其详述了计划一实施一检查一改进的概念。认识到这一点非常重要：在每一个ISMS（信息安全管理系统）中将会有很多的计划。实施一检查一改进循环，它们以不同的速度进行异步操作。”