BS 7799第2部分：信息安全管理系統

BS 7799的第2部分提供了循環的過程：計劃一實施一檢查。改進的實施細節，并且簡潔地示于圖6-2。

計劃：

①定義ISMS的范圍

②定義ISMS策略

③定義風險評估方法

④識別風險

⑤評估風險

⑥確定并評價處理風險的各種選擇

⑦選擇控制目標并且控制它

⑧準備一個適用性陳述(SOA)

實施：

設計危機處理計劃

實施危機處理計劃

實施控制

實施培訓和意識提升項目

管理操作

管理資源

實施程序來檢測安全事故并對其做出響應

檢查：

執行監控程序

對ISMS的有效性進行常規檢查⑩檢查可接受風險的等級

實施內部ISMS審計

對ISMS進行常規管理檢查

記錄影響ISMS的活動和事件

改進：

實施已確定的改進

采取改正或者預防措施

運用學到的教訓

和利益集團就結果進行交流

保證進行的改進能達到目的

雖然第2部分最近才被修正過，并且提供了一些關于實施的信息，但是它僅僅指明了必須做什么——而不是怎樣去做。如同Gamma安全系統提到的那樣， “該標準有一個附錄，給出了該標準的使用指南，尤其詳述了計劃一實施一檢查一改進的概念。認識到這一點非常重要：在每一個ISMS（信息安全管理系統）中將會有很多的計劃。實施一檢查一改進循環，它們以不同的速度進行異步操作。”