ISO27001信息安全管理體系中的PDCA是什么意思?
發布時間:2025-04-24 點擊:52
隨著社會經濟發展越來越快,有不少的企業會因為公司發展的原因,會想要申請ISO27001信息安全管理體系認證,于是就想要知道ISO27001信息安全管理體系中的PDCA是什么意思?,對此,感興趣的話,就跟小編一起去看看吧。
1)P(計劃)
在PDCA戴明環中,計劃(Plan)是第一個環節?所謂計劃就是“規定你應該做什么并形成文件”?戴明環的計劃要求是:建立與管理風險和改進信息安全有關的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結果?
組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰略層面的思考,要和組織的業務戰略這個最高層面的戰略方針?目標相匹配?
PDCA計劃環節的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權實施?運行ISMS和適用性聲明?
2)D(實施)
在PDCA戴明環中,實施(Do)就是做文件規定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:
a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結束后要制定安全解決方案等?
b.實施風險控制計劃?例如進行風險評估?根據安全解決方案進行系統加固?改造?升級等等?
c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?
d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?
e.安全事件響應?根據ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?
f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?
g.管理ISMS的資源?管理者應當通過對ISMS資源的優化管理,來體現一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?
3)審核(Check)
在PDCA戴明環中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經驗,評估ISMS執行過程的具體情況,并將結果報告管理者以供評審?
檢查內容包括:
a.ISMS的執行程序及其其它控制措施是否得以認真貫徹;
b.ISMS有效性的定期評審;
c.度量控制措施的有效性以驗證安全要求是否被滿足;
d.按照計劃的時間間隔進行風險評估的評審等等?
4)改進(Action)
在PDCA戴明環中,改進就是采取糾正和預防措施,持續改進?基于ISMS的檢查結果或者其他相關信息,采取糾正和預防措施,以持續改進ISMS?
在這一階段,一個組織應經常:
a.對已發現的ISMS需要改進的地方采取措施?例如在風險評估中發現的脆弱性應該盡快加以封堵等等?
b.從其它組織和組織自身的安全經驗中吸取教訓?
c.向所有相關方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發現的問題,應該向上級主管部門或安全服務機構?設備集成提供商等進行溝通,等等?
以上就是ISMS-PDCA戴明環的簡要內容?需要指出的是,在信息安全領域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質上和PDCA戴明環有著異曲同工之妙?
PDRR等模型的優點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環,這一點與戴明環的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質量管理體系”這個高度來認識,因此本文將以ISMS為主要依據?
除了國際標準化組織對ISMS的建設進行了系統研究并頒布了相關標準之外,國內外學者也對ISMS極其相關領域進行了諸多探索,如文獻?等?其中文獻利用軟件工程中的能力成熟度模型(CapabilityMutualModel,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進行詳細研究?文獻對信息系統的等級劃分進行了研究,但該文并非根據TCSEC標準或其他國際相關標準來進行安全等級劃分?中國信息安全產品測評認證中心(現更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環和“主體-訪問-客體”過程,引入了小循環?大循環的方法對邏輯控制環節進行了研究?這種對PDCA循環進行細分的思想對本文也有所啟迪?
ISO45001職業健康安全體系認證對世界有什么影響?
歐盟emark認證
合格評定服務認證是什么
在哪可以代辦ISO9001質量管理體系認證要多久
韓國商標注冊介紹
ISO26000社會責任管理體系認證證書辦理流程
到哪代辦ISO9001質量管理體系費用一般是多少
ISO 45001:2018標準的理解和實施重點
1)P(計劃)
在PDCA戴明環中,計劃(Plan)是第一個環節?所謂計劃就是“規定你應該做什么并形成文件”?戴明環的計劃要求是:建立與管理風險和改進信息安全有關的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結果?
組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰略層面的思考,要和組織的業務戰略這個最高層面的戰略方針?目標相匹配?
PDCA計劃環節的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權實施?運行ISMS和適用性聲明?
2)D(實施)
在PDCA戴明環中,實施(Do)就是做文件規定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:
a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結束后要制定安全解決方案等?
b.實施風險控制計劃?例如進行風險評估?根據安全解決方案進行系統加固?改造?升級等等?
c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?
d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?
e.安全事件響應?根據ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?
f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?
g.管理ISMS的資源?管理者應當通過對ISMS資源的優化管理,來體現一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?
3)審核(Check)
在PDCA戴明環中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經驗,評估ISMS執行過程的具體情況,并將結果報告管理者以供評審?
檢查內容包括:
a.ISMS的執行程序及其其它控制措施是否得以認真貫徹;
b.ISMS有效性的定期評審;
c.度量控制措施的有效性以驗證安全要求是否被滿足;
d.按照計劃的時間間隔進行風險評估的評審等等?
4)改進(Action)
在PDCA戴明環中,改進就是采取糾正和預防措施,持續改進?基于ISMS的檢查結果或者其他相關信息,采取糾正和預防措施,以持續改進ISMS?
在這一階段,一個組織應經常:
a.對已發現的ISMS需要改進的地方采取措施?例如在風險評估中發現的脆弱性應該盡快加以封堵等等?
b.從其它組織和組織自身的安全經驗中吸取教訓?
c.向所有相關方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發現的問題,應該向上級主管部門或安全服務機構?設備集成提供商等進行溝通,等等?
以上就是ISMS-PDCA戴明環的簡要內容?需要指出的是,在信息安全領域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質上和PDCA戴明環有著異曲同工之妙?
PDRR等模型的優點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環,這一點與戴明環的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質量管理體系”這個高度來認識,因此本文將以ISMS為主要依據?
除了國際標準化組織對ISMS的建設進行了系統研究并頒布了相關標準之外,國內外學者也對ISMS極其相關領域進行了諸多探索,如文獻?等?其中文獻利用軟件工程中的能力成熟度模型(CapabilityMutualModel,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進行詳細研究?文獻對信息系統的等級劃分進行了研究,但該文并非根據TCSEC標準或其他國際相關標準來進行安全等級劃分?中國信息安全產品測評認證中心(現更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環和“主體-訪問-客體”過程,引入了小循環?大循環的方法對邏輯控制環節進行了研究?這種對PDCA循環進行細分的思想對本文也有所啟迪?
ISO45001職業健康安全體系認證對世界有什么影響?
歐盟emark認證
合格評定服務認證是什么
在哪可以代辦ISO9001質量管理體系認證要多久
韓國商標注冊介紹
ISO26000社會責任管理體系認證證書辦理流程
到哪代辦ISO9001質量管理體系費用一般是多少
ISO 45001:2018標準的理解和實施重點
上一篇:生活垃圾分類服務認證的審查辦法
下一篇:UCS環通認證公司簡介