ISO27001-2013提供建立,、實(shí)施,、運(yùn)作、監(jiān)控,、評審,、維護(hù)和改進(jìn)信息安全管理體系（ISMS）的模型，是分析提出ISMS的需求和對組織安全水平的評估標(biāo)準(zhǔn),，是實(shí)現(xiàn)組織安全體系的重要指南,。采用ISMS應(yīng)是一個組織的戰(zhàn)略決定。

因此,，如果讓我們用一句話來總結(jié)信息安全領(lǐng)域?qū)芾淼闹匾缘恼J(rèn)識,，那就是從抓好“信息安全管理”（如BS7799-1）到建立“信息安全管理體系”，（如ISO27001）是人們在信息安全認(rèn)識論上一個質(zhì)的飛躍,。下面我們對戴明環(huán)中的各個環(huán)節(jié)進(jìn)行一個簡介：`

1）P（計(jì)劃）

在PDCA戴明環(huán)中,，計(jì)劃（Plan）是第一個環(huán)節(jié)。所謂計(jì)劃就是“規(guī)定你應(yīng)該做什么并形成文件”,。戴明環(huán)的計(jì)劃要求是：建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針,、目標(biāo)、過程和程序,，以提供與組織整體方針和目標(biāo)相一致的結(jié)果,。

組織對其所追求的信息安全方針、目標(biāo)等安全戰(zhàn)略層面的思考,，要和組織的業(yè)務(wù)戰(zhàn)略這個最高層面的戰(zhàn)略方針,、目標(biāo)相匹配。

PDCA計(jì)劃環(huán)節(jié)的首要任務(wù)是建立ISMS體系,，即它的范圍,、方針、風(fēng)險評估和管理,、管理者授權(quán)實(shí)施,、運(yùn)行ISMS和適用性聲明。

2）D（實(shí)施） 在PDCA戴明環(huán)中,，實(shí)施（Do）就是做文件規(guī)定的事情,。嚴(yán)格遵照計(jì)劃階段制定的ISMS文檔，實(shí)施和運(yùn)行ISMS方針、控制措施,、過程和程序,。實(shí)施ISMS的主要工作包括：

a. 制定風(fēng)險控制計(jì)劃。例如制定風(fēng)險評估計(jì)劃以及風(fēng)險評估工作結(jié)束后要制定安全解決方案等,。

b. 實(shí)施風(fēng)險控制計(jì)劃,。例如進(jìn)行風(fēng)險評估、根據(jù)安全解決方案進(jìn)行系統(tǒng)加固,、改造,、升級等等。

c. 度量所選擇的控制措施的有效性,。例如整改完成之后進(jìn)行剩余風(fēng)險的評估,，評價其是否滿足承受風(fēng)險的最低限度。

d. 實(shí)施培訓(xùn)和意識教育計(jì)劃,。例如按照培訓(xùn)計(jì)劃進(jìn)行安全意識,、安全技能、應(yīng)急演練等培訓(xùn),。要注意整個過程需要記錄在案并評估其有效性,。

e. 安全事件響應(yīng)。根據(jù)ISMS制定的計(jì)劃（其中就包括諸如應(yīng)急響應(yīng)計(jì)劃等）,，對突發(fā)安全事件進(jìn)行處置,。同樣要注意整個處置過程的記錄和事后評估。

f. 管理ISMS的運(yùn)行,。例如按照計(jì)劃階段確定的要求,，組織ISMS定期評審、評審后的改進(jìn)等等,。

g. 管理ISMS的資源,。管理者應(yīng)當(dāng)通過對ISMS資源的優(yōu)化管理，來體現(xiàn)一個組織決定進(jìn)行ISMS建設(shè)的正確性和有效性,。事實(shí)上,，有一些ISMS不成功的案例并非組織機(jī)構(gòu)沒有決心或者沒有投入，而是投入的成本效益沒有進(jìn)行科學(xué)的分析和有力的展示,。

3）審核（Check）

在PDCA戴明環(huán)中,，審核就是評審你所做的事情的符合性。對照ISMS方針,、目標(biāo)和實(shí)踐經(jīng)驗(yàn),，評估ISMS執(zhí)行過程的具體情況，并將結(jié)果報告管理者以供評審,。

檢查內(nèi)容包括：

a. ISMS的執(zhí)行程序及其它控制措施是否得以認(rèn)真貫徹,；

b. ISMS有效性的定期評審,；

c. 度量控制措施的有效性以驗(yàn)證安全要求是否被滿足,；

d. 按照計(jì)劃的時間間隔進(jìn)行風(fēng)險評估的評審等等,。

4）改進(jìn)（Action）

在PDCA戴明環(huán)中，改進(jìn)就是采取糾正和預(yù)防措施,，持續(xù)改進(jìn),。基于ISMS的檢查結(jié)果或者其他相關(guān)信息,，采取糾正和預(yù)防措施,，以持續(xù)改進(jìn)ISMS。

在這一階段,，一個組織應(yīng)經(jīng)常：

a. 對已發(fā)現(xiàn)的ISMS需要改進(jìn)的地方采取措施,。例如在風(fēng)險評估中發(fā)現(xiàn)的脆弱性應(yīng)該盡快加以封堵等等。

b. 從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn),。

c. 向所有相關(guān)方溝通措施和改進(jìn)措施,。例如一個組織在進(jìn)行了等級保護(hù)測評、風(fēng)險評估,、應(yīng)急響應(yīng)演練之后所發(fā)現(xiàn)的問題,，應(yīng)該向上級主管部門或安全服務(wù)機(jī)構(gòu)、設(shè)備集成提供商等進(jìn)行溝通等等,。

以上就是ISMS-PDCA戴明環(huán)的簡要內(nèi)容,。需要指出的是，在信息安全領(lǐng)域中常用的模型如PDRR模型,， PPDRR模型等,，從信息流和信息鏈傳遞的視角來看，實(shí)質(zhì)上和PDCA戴明環(huán)有著異曲同工之妙,。

PDRR等模型的優(yōu)點(diǎn)是將信息安全中的幾大要素整合在一起,，形成了一個螺旋上升、不斷改進(jìn)的閉環(huán),，這一點(diǎn)與戴明環(huán)的思想是一致的,。然而，PDRR等模型沒有將信息安全提升到“質(zhì)量管理體系”這個高度來認(rèn)識,，因 此本文將以ISMS為主要依據(jù),。

除了國際標(biāo)準(zhǔn)化組織對ISMS的建設(shè)進(jìn)行了系統(tǒng)研究并頒布了相關(guān)標(biāo)準(zhǔn)之外，國內(nèi)外學(xué)者也對ISMS極其相關(guān) 領(lǐng)域進(jìn)行了諸多探索,，如文獻(xiàn)等,。其中文獻(xiàn)利用軟件工程中的能力成熟度模型 （CapabilityMutualModel,CMM）思想，針對ISMS建設(shè)的不同階段進(jìn)行了探討,。本文將在文獻(xiàn)的基礎(chǔ)上進(jìn)行 詳細(xì)研究,。文獻(xiàn)對信息系統(tǒng)的等級劃分進(jìn)行了研究,，但該文并非根據(jù)TCSEC標(biāo)準(zhǔn)或其他國際相關(guān)標(biāo)準(zhǔn)來進(jìn)行安全等級劃分。中國信息安全產(chǎn)品測評認(rèn)證中心 （現(xiàn)更名為“中國信息安全測評中心”）的姚軼嶄等針對ISMS中的PDCA戴明環(huán)和“主體－訪問－客體”過程,，引入了小循環(huán),、大循環(huán)的方法對邏輯控制環(huán)節(jié)進(jìn)行了研究。這種對 PDCA循環(huán)進(jìn)行細(xì)分的思想對本文也有所啟迪,。

綜上所述,，本文的研究思路受文獻(xiàn)的啟發(fā)，并結(jié)合了國內(nèi)外有關(guān)學(xué)者的研究成果,，根據(jù)ISMS-PDCA戴明環(huán)和 軟件工程中能力成熟度模型和信息安全風(fēng)險評估的基本思想,，提出了ISMS-CMM成熟度模型，并對其各個階段的具體內(nèi)容進(jìn)行了詳細(xì)研究,。