信息安全管理体系持续改进，使信息安全绩效螺旋上升

    信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

    IS0国际标准化组织对于信息安全给出了精确的定义，信息安全是数据处理系统建立和采用的技术和管理安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏，更改和泄露。

    信息安全的定义清晰地回答了我们所关心的信息安全的主要问题，包括三方面含义：

1、信息安全的保护对象

    信息安全保护对象是信息资产，信息资产包括数据、软件、硬件、服务、文档、设备、人员等。

2、信息安全的目标

    信息安全的目标就是保证信息资产的三个基本安全属性，即：保密性、完整性、可用性。信息资产被泄露意味着保密性受到影响，被更改意味着完整性受到影响，被破坏意味着可用性受到影响。

3、实现信息安全目标的途径

    实现信息安全目标的途径借助两个方面的措施，技术措施和管理措施。技术、管理并重，重技术轻管理，或者重管理轻技术，都不够科学且有一定的局限性。

    信息安全管理体系是按照IS0/IEC27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC27001标准是由BS7799-2标准发展而来。运用PDCA的过程模式的实施：策划-实施-检查-措施四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。