5.1.3   PDCA過程

“規(guī)劃( Plan)-實(shí)施(Do) -檢查(Check)-處置(Act)”（PDCA過程）又叫質(zhì)量環(huán)，是管理學(xué)中的一個(gè)通用模型，最早由休哈特于1930年構(gòu)想，后來被美國質(zhì)量管理專家戴明博士在1950年再度挖掘出來，并加以廣泛宣傳和運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程。PDCA 循環(huán)就是接照_規(guī)劃、實(shí)施、檢查、處置”的順序進(jìn)行質(zhì)量管理，并且循環(huán)不止地進(jìn)行下去的科學(xué)程序，建立符合國際標(biāo)準(zhǔn)IS09001的質(zhì)量管理體系即是一個(gè)典型的PDCA過程，建立IS014001環(huán)境管理體系、IS020000IT服務(wù)管理體系也是一個(gè)類似的過程。

信息安全管理體系也采用了PDCA模型，該模型可應(yīng)用于所有的ISMS過程。下圖說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動(dòng)和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。

規(guī)劃（建立ISMS）

建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和規(guī)程，以提供與組織總方針和總目標(biāo)相一致的結(jié)果。

實(shí)施（實(shí)施和運(yùn)行ISMS）

實(shí)施和運(yùn)行ISMS方針、控制措施、過程和規(guī)程。 檢查（監(jiān)視和評(píng)審ISIVIS）

對照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)測量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。

處置（保持和改進(jìn)ISMS）

基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。