Sở dĩ bảo mật phải được tổ chức và thực hiện theo chu trình là để đảm bảo tính chặt chẽ và hiệu quả. Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn công luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện pháp tinh vi hơn. Để phòng ngừa và đối phó được thì những người xây dựng các chiến lược bảo mật cũng phải luôn luôn vạch ra các chiến lược mới và sử dụng công nghệ tiên tiến hơn.
Hình 1.12 . Quy trình bảo mật
Như hình vẽ ta thấy chu trình bảo mật quy định 4 quá trình rất rõ ràng để phát triển một hệ thống an ninh nói chung. Các quá trình đều được xây dựng và phát triển dựa nên một nguyên tắc chung đó là chính sách bảo mật của doanh nghiệp (Corporate Security Policy). Tùy từng tổ chức, doanh nghiệp mà các chính sách được ban hành khác nhau, nhưng nói chung đó là các quy tắc bảo mật hoàn chỉnh được ban hành cho toàn bộ nhân sự trong tổ chức nhằm đạt được mục tiêu CIA tối ưu.
Đảm bảo an ninh (Secure): sau khi nghiên cứu toàn bộ chính sách bảo mật của doanh nghiệp, công việc tiếp theo là phải thực hiện các hành động bảo mật cụ thể bằng các biện pháp thích hợp. Chi tiết các biện pháp và các công nghệ bảo mật tôi sẽ trình bày trong chương sau.
Giám sát (Monitoring): trong khi các biện pháp bảo mật được tiến hành cần có sự giám sát chặt chẽ để đánh giá được chất lượng hoạt động đồng thời có thể tìm các biện pháp thay thế, cải tiến nếu chưa đáp ứng được yêu cầu an ninh đặt ra.
Kiểm thử (Test): đây là giai đoạn kiểm tra hệ thống bao gồm toàn bộ hệ thống thông tin dữ liệu, kiểm tra các kĩ thuật và quy trình sử dụng để đánh giá độ tin cậy, cũng như mức độ tổn thất, để từ đó có chiến lược thay thế phù hợp. Việc kiểm thử cần được diễn ra định kì đều đặn.
Nâng cấp (Improve): đó là các kế hoạch nâng cấp cải tạo các công nghệ bảo mật mới để đáp ứng được nhu cầu thay đổi, thay thế các kế hoạch bảo mật mới, việc này cần tiến hành nhanh chóng kịp thời cho toàn bộ hệ thống thông tin của doanh
nghiệp.Các bước trên không những được tiến hành lần lượt chặt chẽ mà còn phải tiến hành song song đồng thời bởi tấn công có thể diễn ra trong 1 thời gian đáng kể trước khi ta có thể nhận biết được chúng. Và điều quan trọng nhất là các quá trình đều phải xuất phát từ chính sách chung, và cũng từ các quy trình thực hiện mà xây dựng hoàn thiện chính sách bảo mật cho tổ chức.