BS 7799第2部分：信息安全管理系統(tǒng)

BS 7799的第2部分提供了循環(huán)的過程：計(jì)劃一實(shí)施一檢查。改進(jìn)的實(shí)施細(xì)節(jié)，并且簡(jiǎn)潔地示于圖6-2。

計(jì)劃：

①定義ISMS的范圍

②定義ISMS策略

③定義風(fēng)險(xiǎn)評(píng)估方法

④識(shí)別風(fēng)險(xiǎn)

⑤評(píng)估風(fēng)險(xiǎn)

⑥確定并評(píng)價(jià)處理風(fēng)險(xiǎn)的各種選擇

⑦選擇控制目標(biāo)并且控制它

⑧準(zhǔn)備一個(gè)適用性陳述(SOA)

實(shí)施：

設(shè)計(jì)危機(jī)處理計(jì)劃

實(shí)施危機(jī)處理計(jì)劃

實(shí)施控制

實(shí)施培訓(xùn)和意識(shí)提升項(xiàng)目

管理操作

管理資源

實(shí)施程序來檢測(cè)安全事故并對(duì)其做出響應(yīng)

檢查：

執(zhí)行監(jiān)控程序

對(duì)ISMS的有效性進(jìn)行常規(guī)檢查⑩檢查可接受風(fēng)險(xiǎn)的等級(jí)

實(shí)施內(nèi)部ISMS審計(jì)

對(duì)ISMS進(jìn)行常規(guī)管理檢查

記錄影響ISMS的活動(dòng)和事件

改進(jìn)：

實(shí)施已確定的改進(jìn)

采取改正或者預(yù)防措施

運(yùn)用學(xué)到的教訓(xùn)

和利益集團(tuán)就結(jié)果進(jìn)行交流

保證進(jìn)行的改進(jìn)能達(dá)到目的

雖然第2部分最近才被修正過，并且提供了一些關(guān)于實(shí)施的信息，但是它僅僅指明了必須做什么——而不是怎樣去做。如同Gamma安全系統(tǒng)提到的那樣， “該標(biāo)準(zhǔn)有一個(gè)附錄，給出了該標(biāo)準(zhǔn)的使用指南，尤其詳述了計(jì)劃一實(shí)施一檢查一改進(jìn)的概念。認(rèn)識(shí)到這一點(diǎn)非常重要：在每一個(gè)ISMS（信息安全管理系統(tǒng)）中將會(huì)有很多的計(jì)劃。實(shí)施一檢查一改進(jìn)循環(huán)，它們以不同的速度進(jìn)行異步操作。”