ISO27001信息安全管理體系中的PDCA是什么意思?
發(fā)布時間:2025-04-24 點擊:43
隨著社會經(jīng)濟發(fā)展越來越快,有不少的企業(yè)會因為公司發(fā)展的原因,會想要申請ISO27001信息安全管理體系認證,于是就想要知道ISO27001信息安全管理體系中的PDCA是什么意思?,對此,感興趣的話,就跟小編一起去看看吧。
1)P(計劃)
在PDCA戴明環(huán)中,計劃(Plan)是第一個環(huán)節(jié)?所謂計劃就是“規(guī)定你應該做什么并形成文件”?戴明環(huán)的計劃要求是:建立與管理風險和改進信息安全有關(guān)的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結(jié)果?
組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰(zhàn)略層面的思考,要和組織的業(yè)務戰(zhàn)略這個最高層面的戰(zhàn)略方針?目標相匹配?
PDCA計劃環(huán)節(jié)的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權(quán)實施?運行ISMS和適用性聲明?
2)D(實施)
在PDCA戴明環(huán)中,實施(Do)就是做文件規(guī)定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:
a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結(jié)束后要制定安全解決方案等?
b.實施風險控制計劃?例如進行風險評估?根據(jù)安全解決方案進行系統(tǒng)加固?改造?升級等等?
c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?
d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?
e.安全事件響應?根據(jù)ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發(fā)安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?
f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?
g.管理ISMS的資源?管理者應當通過對ISMS資源的優(yōu)化管理,來體現(xiàn)一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構(gòu)沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?
3)審核(Check)
在PDCA戴明環(huán)中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經(jīng)驗,評估ISMS執(zhí)行過程的具體情況,并將結(jié)果報告管理者以供評審?
檢查內(nèi)容包括:
a.ISMS的執(zhí)行程序及其其它控制措施是否得以認真貫徹;
b.ISMS有效性的定期評審;
c.度量控制措施的有效性以驗證安全要求是否被滿足;
d.按照計劃的時間間隔進行風險評估的評審等等?
4)改進(Action)
在PDCA戴明環(huán)中,改進就是采取糾正和預防措施,持續(xù)改進?基于ISMS的檢查結(jié)果或者其他相關(guān)信息,采取糾正和預防措施,以持續(xù)改進ISMS?
在這一階段,一個組織應經(jīng)常:
a.對已發(fā)現(xiàn)的ISMS需要改進的地方采取措施?例如在風險評估中發(fā)現(xiàn)的脆弱性應該盡快加以封堵等等?
b.從其它組織和組織自身的安全經(jīng)驗中吸取教訓?
c.向所有相關(guān)方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發(fā)現(xiàn)的問題,應該向上級主管部門或安全服務機構(gòu)?設備集成提供商等進行溝通,等等?
以上就是ISMS-PDCA戴明環(huán)的簡要內(nèi)容?需要指出的是,在信息安全領(lǐng)域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質(zhì)上和PDCA戴明環(huán)有著異曲同工之妙?
PDRR等模型的優(yōu)點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環(huán),這一點與戴明環(huán)的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質(zhì)量管理體系”這個高度來認識,因此本文將以ISMS為主要依據(jù)?
除了國際標準化組織對ISMS的建設進行了系統(tǒng)研究并頒布了相關(guān)標準之外,國內(nèi)外學者也對ISMS極其相關(guān)領(lǐng)域進行了諸多探索,如文獻?等?其中文獻利用軟件工程中的能力成熟度模型(CapabilityMutualModel,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進行詳細研究?文獻對信息系統(tǒng)的等級劃分進行了研究,但該文并非根據(jù)TCSEC標準或其他國際相關(guān)標準來進行安全等級劃分?中國信息安全產(chǎn)品測評認證中心(現(xiàn)更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環(huán)和“主體-訪問-客體”過程,引入了小循環(huán)?大循環(huán)的方法對邏輯控制環(huán)節(jié)進行了研究?這種對PDCA循環(huán)進行細分的思想對本文也有所啟迪?
ISO45001職業(yè)健康安全體系認證對世界有什么影響?
歐盟emark認證
合格評定服務認證是什么
在哪可以代辦ISO9001質(zhì)量管理體系認證要多久
韓國商標注冊介紹
ISO26000社會責任管理體系認證證書辦理流程
到哪代辦ISO9001質(zhì)量管理體系費用一般是多少
ISO 45001:2018標準的理解和實施重點
1)P(計劃)
在PDCA戴明環(huán)中,計劃(Plan)是第一個環(huán)節(jié)?所謂計劃就是“規(guī)定你應該做什么并形成文件”?戴明環(huán)的計劃要求是:建立與管理風險和改進信息安全有關(guān)的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結(jié)果?
組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰(zhàn)略層面的思考,要和組織的業(yè)務戰(zhàn)略這個最高層面的戰(zhàn)略方針?目標相匹配?
PDCA計劃環(huán)節(jié)的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權(quán)實施?運行ISMS和適用性聲明?
2)D(實施)
在PDCA戴明環(huán)中,實施(Do)就是做文件規(guī)定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:
a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結(jié)束后要制定安全解決方案等?
b.實施風險控制計劃?例如進行風險評估?根據(jù)安全解決方案進行系統(tǒng)加固?改造?升級等等?
c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?
d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?
e.安全事件響應?根據(jù)ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發(fā)安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?
f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?
g.管理ISMS的資源?管理者應當通過對ISMS資源的優(yōu)化管理,來體現(xiàn)一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構(gòu)沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?
3)審核(Check)
在PDCA戴明環(huán)中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經(jīng)驗,評估ISMS執(zhí)行過程的具體情況,并將結(jié)果報告管理者以供評審?
檢查內(nèi)容包括:
a.ISMS的執(zhí)行程序及其其它控制措施是否得以認真貫徹;
b.ISMS有效性的定期評審;
c.度量控制措施的有效性以驗證安全要求是否被滿足;
d.按照計劃的時間間隔進行風險評估的評審等等?
4)改進(Action)
在PDCA戴明環(huán)中,改進就是采取糾正和預防措施,持續(xù)改進?基于ISMS的檢查結(jié)果或者其他相關(guān)信息,采取糾正和預防措施,以持續(xù)改進ISMS?
在這一階段,一個組織應經(jīng)常:
a.對已發(fā)現(xiàn)的ISMS需要改進的地方采取措施?例如在風險評估中發(fā)現(xiàn)的脆弱性應該盡快加以封堵等等?
b.從其它組織和組織自身的安全經(jīng)驗中吸取教訓?
c.向所有相關(guān)方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發(fā)現(xiàn)的問題,應該向上級主管部門或安全服務機構(gòu)?設備集成提供商等進行溝通,等等?
以上就是ISMS-PDCA戴明環(huán)的簡要內(nèi)容?需要指出的是,在信息安全領(lǐng)域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質(zhì)上和PDCA戴明環(huán)有著異曲同工之妙?
PDRR等模型的優(yōu)點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環(huán),這一點與戴明環(huán)的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質(zhì)量管理體系”這個高度來認識,因此本文將以ISMS為主要依據(jù)?
除了國際標準化組織對ISMS的建設進行了系統(tǒng)研究并頒布了相關(guān)標準之外,國內(nèi)外學者也對ISMS極其相關(guān)領(lǐng)域進行了諸多探索,如文獻?等?其中文獻利用軟件工程中的能力成熟度模型(CapabilityMutualModel,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進行詳細研究?文獻對信息系統(tǒng)的等級劃分進行了研究,但該文并非根據(jù)TCSEC標準或其他國際相關(guān)標準來進行安全等級劃分?中國信息安全產(chǎn)品測評認證中心(現(xiàn)更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環(huán)和“主體-訪問-客體”過程,引入了小循環(huán)?大循環(huán)的方法對邏輯控制環(huán)節(jié)進行了研究?這種對PDCA循環(huán)進行細分的思想對本文也有所啟迪?
ISO45001職業(yè)健康安全體系認證對世界有什么影響?
歐盟emark認證
合格評定服務認證是什么
在哪可以代辦ISO9001質(zhì)量管理體系認證要多久
韓國商標注冊介紹
ISO26000社會責任管理體系認證證書辦理流程
到哪代辦ISO9001質(zhì)量管理體系費用一般是多少
ISO 45001:2018標準的理解和實施重點
上一篇:生活垃圾分類服務認證的審查辦法