一、引言

引言部分包含了三個條款，即0.1總則、0.2過程方法、0.3與其他管理體系的兼容性。

0.1　總則

【內(nèi)容解析】

建立、實施、運行、監(jiān)視、評審、保持和改進ISO27001信息安全管理體系，應該是一個組織整體經(jīng)營戰(zhàn)略的一部分，是從信息安全方面實現(xiàn)組織經(jīng)營宗旨的有效途徑之一。也就是說，通過ISO27001信息安全管理體系的有效運行來支持組織經(jīng)營戰(zhàn)略的實現(xiàn)，是建立、實施、運行、監(jiān)視、評審、保持和改進ISO27001信息安全管理體系的根本目的，因此，脫離了組織的經(jīng)營宗旨和經(jīng)營環(huán)境談信息安全是沒有意義的。

而本ISO27001標準則給出了信息安全管理體系的基本要求，為信息安全管理體系的建立、實施、運行、監(jiān)視、評審、保持和改進提供了一個有用的模型。

從 組織經(jīng)營風險的角度考慮，絕對安全的完美制度既無必要，也不可實現(xiàn)。系統(tǒng)地管理信息安全，并不意味著建立一套絕對安全的完美制度，而應將信息安全管理體系 的建立、實施、運行、監(jiān)視、評審、、保持和改進作為一個管理方法論，應用于組織信息安全的系統(tǒng)性管理，設計一套適合于組織特點和具體需求的信息安全管理解 決方案。

本標準提出的信息安全管理要求框架，可以作為組織內(nèi)部和外部信息安全管理一致性評估的依據(jù)，為組織發(fā)現(xiàn)改進其信息安全管理績效的機會。也就是說GB/T22080-2008（ISO27001）可作為第一方審核、第二方審核和第三方審核的依據(jù)。

內(nèi)部和外部信息安全管理體系一致性評估的實例包括：

1）組織基于改進其信息安全管理績效的需要，由組織自己或其代表實施的內(nèi)部信息安全管理體系審核；

2）組織的顧客基于招標或評價其合作伙伴信息安全管理績效的需要，由顧客或其代表對組織信息安全管理體系實施的審核；

3）第三方機構(gòu)基于認證的目的，對組織信息安全管理體系實施的審核。

0.2　過程方法

【內(nèi)容解析】

GB/T22080-2008鼓勵組織采用過程方法，建立、實施、運行、監(jiān)視、評審、保持和改進組織的ISMS。

組織在采用過程方法時，需要系統(tǒng)識別所應用的過程，需要識別這些過程和過程之間的相互作用，并對其進行管理。過程方法的優(yōu)點是對諸過程組成的系統(tǒng)中單個過程之間的聯(lián)系以及過程和進程相互作用進行連續(xù)的控制。

PDCA循環(huán)是由休哈特于20世紀20年代首次提出的，后來通過戴明博士在管理學領(lǐng)域得到了廣泛的應用，因此，人們常常將其稱為“戴明環(huán)”。

PDCA模式適用于所有的過程，也可以說PDCA模式適用于任何一項工作。

P———策劃（Plan）：根據(jù)顧客的要求和組織的方針，為提供的結(jié)果建立必要的目標和過程，例如：

1）組織需要建立信息安全管理體系的范圍是什么？

2）組織及相關(guān)方對信息安全的要求是什么？

3）組織存在哪些信息安全風險？

4）組織需要采取哪些處置風險的控制措施？

5）如何制定風險處置計劃？

D———實施（Do）：實施過程，例如：如何實施風險處置計劃？

C———檢查（Check）：根據(jù)方針、目標和信息安全的要求，對過程和信息安全進行監(jiān)控和測量，并報告結(jié)果。例如：

1）如何策劃監(jiān)視、測量的方法及評價準則？

2）如何實施監(jiān)視和測量？

3）如何利用監(jiān)視和測量的數(shù)據(jù)？

4）是按計劃的要求做的嗎？

5）達到預期的結(jié)果了嗎？

A———改進（Act）：采取措施，以持續(xù)改進過程業(yè)績。

例如：

1）是否需要變更信息安全管理方針？

2）是否需要補充或變更信息安全管理目標？

3）是否需要變更信息安全管理策略和規(guī)程？

4）需要哪些資源實施改進？

0.3　與其他管理體系的兼容性

【內(nèi)容解析】

為滿足持續(xù)業(yè)務運營的要求，組織可能將管理體系方法論用于多個領(lǐng)域的管理，包括以產(chǎn)品和服務質(zhì)量滿足要求為核心目的的ISO9001質(zhì)量管理體系、以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的環(huán)境管理體系，以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系。

無論哪一種管理體系的運行，客觀上都是和組織的業(yè)務過程及相關(guān)支持過程伴生的，這就為多種管理體系的相互融合和兼容提供了現(xiàn)實可行性。

例如，在某些種類的IC卡制造業(yè)，制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容，廢品的產(chǎn)生以及處置則是ISO14001環(huán)境管理關(guān)注的要素，而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì)，只能按照指定的方式和渠道予以處置。一個經(jīng)過良好設計的管理體系規(guī)程，應能夠保證在制造過程控制中質(zhì)量管理、環(huán)境管理和信息安全管理的要求同時得到滿足。

以融合各管理體系要求的方式設計信息安全管理體系的另一個好處，可以使實施和維護管理體系所需的資源得到最有效率的使用，從而在一定程度上可減少因運行不同管理體系造成的機構(gòu)重疊和管理官僚化，也可減少業(yè)務過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5482.html