5 giai đoạn chính:

     • Preparation: xác định mục tiêu, phạm vi, đặc điểm lĩnh vực, xây dựng bộ tiêu chí kiểm soát bảo mật (technical & non-technical).

     • Check: khảo sát thực trạng triển khai các tiêu chí bảo mật bằng bảng hỏi checklist chi tiết (có mô tả, tài liệu minh chứng, thời gian, ý kiến người trả lời).

     • Classification: phân loại tiêu chí thành 3 mức độ quan trọng:

       → Mandatory: bắt buộc theo luật, gây thiệt hại nghiêm trọng nếu vi phạm.

       → Significant: có hệ số tương quan > 0.7 và p < 0.01.

       → Recommended: ít ảnh hưởng đến tổ chức.

     • Improvement: tính điểm bảo mật theo công thức có trọng số (Mandatory 60%, Significant 30%, Recommended 10%), xác định ưu tiên đầu tư.

     • Review: phân tích hồi quy để xác định mối quan hệ nhân quả giữa các tiêu chí, điều chỉnh sau mỗi chu kỳ.

   - Mô phỏng thực tế:

     • Áp dụng cho 15 nhà máy nhiệt điện tại Hàn Quốc.

     • Bộ tiêu chí gồm 186 mục trong 17 lĩnh vực (theo NIST SP800-53).

     • Phân loại: 78 Mandatory, 34 Significant, 74 Recommended.

     • So sánh điểm trung bình (A.M) và điểm theo phân loại (S.C) → xác định cơ sở cần đầu tư toàn diện (C) và cơ sở cần cải thiện chọn lọc (B, M, N, O).

     • 7 lĩnh vực ưu tiên cải thiện: Access Control, Contingency Planning, Incident Response, Maintenance, Risk Assessment, System Acquisition, Physical Protection.

     • Cải thiện chọn lọc hiệu quả hơn 20% so với cải thiện toàn diện.

   - Ứng dụng:

     • Hỗ trợ ra quyết định đầu tư bảo mật theo đặc thù từng cơ sở.

     • Có thể áp dụng cho hạ tầng quốc gia, tổ chức công và tư nhân.

     • Làm nền tảng xây dựng hệ thống ISMS tùy chỉnh theo từng lĩnh vực.