方案/方法

ISO 27001标准下的信息安全管理要通过系统地评价一个组织的信息资产所面临的风险来实现，通过控制用于存储信息的系统、技术和媒体中所存在的弱点来实施。

ISO 27001的基础是计划-执行-检查-采取行动(PDCA)循环，该循环为ISMS周而复始的创建、发展、运营和维护提供了一个结构。PDCA循环包括了4个周而复始的阶段，如图5.1所示。该图还显示了对PDCA循环的输入参量，该参量是相关方面对信息安全的要求和预期。PDCA循环的每次完成都会填补这些要求和预期与所运营的ISMS的绩效间的差距。

图5.1 PDCA循环 (来源: BS ISO/IEC 27001:2005 BS 7799-2:2005， BSI)

按照世界经济合作与发展组织(OECD)的《信息系统和网络安全指南》1，组织应该对安全管理采取一种综合的方案，将其视为包括了预防、事件检测和响应、持续的维护、对系统的检查和审核在内的一个过程，该过程适用于从事信息系统和网络安全治理的所有政策和操作层次。通过PDCA循环，ISO 27001：2005为实施下面的OECD原理提供了一个信息安全管理体系框架：

安全意识。

责任。

响应。

风险评估。

安全设计和实施。

安全管理。

重新评估。