欢迎光临百思特认证有限公司官网!
1 5 8 3 8 2 1 4 7 3 7 1 5 8 3 8 2 1 4 7 3 7
您当前的位置: 三体系认证 > 新闻中心 > 认证知识 > ISO27001信息安全管理体系中的PDCA是什么意思?
ISO27001信息安全管理体系中的PDCA是什么意思?
时间:2023年03月15日 09时46分49秒    来源:https://www.baisiterzh.com    阅读次数:    本文作者:百思特认证
[导读]: 1)P(计划)在PDCA戴明环中,计划(Plan)是第一个环节。所谓计划就是“规定你应该做什么并形成文件”。戴明环的计划要求是:建立与管理风险和改进信息安全有关的ISMS方针、ISO27001目标、

随着社会经济发展越来越快,有不少的企业会因为公司发展的原因,会想要申请ISO27001信息安全管理体系认证,于是就想要知道ISO27001信息安全管理体系中的PDCA是什么意思?,对此,感兴趣的话,就跟小编一起去看看吧。
ISO27001信息安全管理体系认证

1)P(计划)

在PDCA戴明环中,计划(Plan)是第一个环节。所谓计划就是“规定你应该做什么并形成文件”。戴明环的计划要求是:建立与管理风险和改进信息安全有关的ISMS方针、ISO27001目标、过程和ISO27001程序,以提供与组织整体ISO27001方针和ISO27001目标相一致的结果。

组织对其所追求的ISO27001信息安全方针、ISO27001目标等安全战略层面的思考,要和组织的业务战略这个最高层面的战略方针、目标相匹配。

PDCA计划环节的首要任务是建立ISMS体系,即它的范围、方针、风险评估和管理、管理者授权实施、运行ISMS和适用性声明。

2)D(实施)

在PDCA戴明环中,实施(Do)就是做文件规定的事情。严格遵照计划阶段制定的ISMS文档,实施和运行ISMS方针、控制措施、过程和程序。实施ISMS的主要工作包括:

a.制定风险控制计划。例如制定风险评估计划以及风险评估工作结束后要制定安全解决方案等。

b.实施风险控制计划。例如进行风险评估、根据安全解决方案进行系统加固、改造、升级等等。

c.度量所选择的控制措施的有效性。例如整改完成之后进行剩余风险的评估,评价其是否满足承受风险的最低限度。

d.实施培训和意识教育计划。例如按照培训计划进行安全意识、安全技能、应急演练等培训。要注意整个过程需要记录在案并评估其有效性。

e.安全事件响应。根据ISMS制定的计划(其中就包括诸如应急响应计划等),对突发安全事件进行处置。同样要注意整个处置过程的记录和事后评估。

f.管理ISMS的运行。例如按照计划阶段确定的要求,组织ISMS定期评审、评审后的改进等等。

g.管理ISMS的资源。管理者应当通过对ISMS资源的优化管理,来体现一个组织决定进行ISMS建设的正确性和有效性。事实上,有一些ISMS不成功的案例并非组织机构没有决心或者没有投入,而是投入的成本效益没有进行科学的分析和有力的展示。

3)审核(Check)

在PDCA戴明环中,审核就是评审你所做的事情的符合性。对照ISMS方针、目标和实践经验,评估ISMS执行过程的具体情况,并将结果报告管理者以供评审。

检查内容包括:

a.ISMS的执行程序及其其它控制措施是否得以认真贯彻;

b.ISMS有效性的定期评审;

c.度量控制措施的有效性以验证安全要求是否被满足;

d.按照计划的时间间隔进行风险评估的评审等等。

4)改进(Action)

在PDCA戴明环中,改进就是采取纠正和预防措施,持续改进。基于ISMS的检查结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。

在这一阶段,一个组织应经常:

a.对已发现的ISMS需要改进的地方采取措施。例如在风险评估中发现的脆弱性应该尽快加以封堵等等。

b.从其它组织和组织自身的安全经验中吸取教训。

c.向所有相关方沟通措施和改进措施。例如一个组织在进行了等级保护测评、风险评估、应急响应演练之后所发现的问题,应该向上级主管部门或安全服务机构、设备集成提供商等进行沟通,等等。

以上就是ISMS-PDCA戴明环的简要内容。需要指出的是,在信息安全领域中常用的模型如PDRR模型,PPDRR模型等,从信息流和信息链传递的视角来看,实质上和PDCA戴明环有着异曲同工之妙。

PDRR等模型的优点是将信息安全中的几大要素整合在一起,形成了一个螺旋上升、不断改进的闭环,这一点与戴明环的思想是一致的。然而,PDRR等模型没有将信息安全提升到“质量管理体系”这个高度来认识,因此本文将以ISMS为主要依据。

除了国际标准化组织对ISMS的建设进行了系统研究并颁布了相关标准之外,国内外学者也对ISMS极其相关领域进行了诸多探索,如文献、等。其中文献利用软件工程中的能力成熟度模型(CapabilityMutualModel,CMM)思想,针对ISMS建设的不同阶段进行了探讨。本文将在文献的基础上进行详细研究。文献对信息系统的等级划分进行了研究,但该文并非根据TCSEC标准或其他国际相关标准来进行安全等级划分。中国信息安全产品测评认证中心(现更名为“中国信息安全测评中心”)的姚轶崭等针对ISMS中的PDCA戴明环和“主体-访问-客体”过程,引入了小循环、大循环的方法对逻辑控制环节进行了研究。这种对PDCA循环进行细分的思想对本文也有所启迪。

免责声明
部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递 更多信息之目的,并不意味着赞同其观点或证实其内容的真实性,如本站文章和转稿涉及版权等问题,请作者在及时联系本站,我们会尽快和您对接处理。
文章标题: ISO27001信息安全管理体系中的PDCA是什么意思? 本文链接:https://www.baisiterzh.com/zhishi/2077.html
官方所有内容、图片如未经过授权,禁止任何形式的采集、镜像,否则后果自负! 资讯标签:ISO27001信息安全管理体系认证PDCA
上一篇:IS09000质量管理体系标准家具行业如何应用?
下一篇:企业办理ISO37301合规管理系统认证有什么好处?