ISMS(ISO27001)信息安全管理體系中的PDCA簡(jiǎn)介

ISO27001-2005提供建立?實(shí)施?運(yùn)作?監(jiān)控?評(píng)審?維護(hù)和改進(jìn)信息安全管理體系(ISMS)的模型,是分析提出ISMS的需求和對(duì)組織安全水平的評(píng)估標(biāo)準(zhǔn),是實(shí)現(xiàn)組織ISO27001安全體系的重要指南?采用ISMS應(yīng)是一個(gè)組織的戰(zhàn)略決定?

因此,如果讓我們用一句話來(lái)總結(jié)信息安全領(lǐng)域?qū)芾淼闹匾缘恼J(rèn)識(shí),那就是從抓好“信息安全管理”(如BS7799-1)到建立“信息安全管理體系”,(如ISO27001)是人們?cè)谛畔踩J(rèn)識(shí)論上一個(gè)質(zhì)的飛躍?下面我們對(duì)戴明環(huán)中的各個(gè)環(huán)節(jié)進(jìn)行一個(gè)簡(jiǎn)介:

1)P(計(jì)劃)

在PDCA戴明環(huán)中,計(jì)劃(Plan)是第一個(gè)環(huán)節(jié)?所謂計(jì)劃就是“規(guī)定你應(yīng)該做什么并形成文件”?戴明環(huán)的計(jì)劃要求是:建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針?ISO27001目標(biāo)?過(guò)程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標(biāo)相一致的結(jié)果?

組織對(duì)其所追求的ISO27001信息安全方針?ISO27001目標(biāo)等安全戰(zhàn)略層面的思考,要和組織的業(yè)務(wù)戰(zhàn)略這個(gè)最高層面的戰(zhàn)略方針?目標(biāo)相匹配?

PDCA計(jì)劃環(huán)節(jié)的首要任務(wù)是建立ISMS體系,即它的范圍?方針?風(fēng)險(xiǎn)評(píng)估和管理?管理者授權(quán)實(shí)施?運(yùn)行ISMS和適用性聲明?

2)D(實(shí)施)

在PDCA戴明環(huán)中,實(shí)施(Do)就是做文件規(guī)定的事情?嚴(yán)格遵照計(jì)劃階段制定的ISMS文檔,實(shí)施和運(yùn)行ISMS方針?控制措施?過(guò)程和程序?實(shí)施ISMS的主要工作包括:

a.制定風(fēng)險(xiǎn)控制計(jì)劃?例如制定風(fēng)險(xiǎn)評(píng)估計(jì)劃以及風(fēng)險(xiǎn)評(píng)估工作結(jié)束后要制定安全解決方案等?

b.實(shí)施風(fēng)險(xiǎn)控制計(jì)劃?例如進(jìn)行風(fēng)險(xiǎn)評(píng)估?根據(jù)安全解決方案進(jìn)行系統(tǒng)加固?改造?升級(jí)等等?

c.度量所選擇的控制措施的有效性?例如整改完成之后進(jìn)行剩余風(fēng)險(xiǎn)的評(píng)估,評(píng)價(jià)其是否滿足承受風(fēng)險(xiǎn)的最低限度?

d.實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃?例如按照培訓(xùn)計(jì)劃進(jìn)行安全意識(shí)?安全技能?應(yīng)急演練等培訓(xùn)?要注意整個(gè)過(guò)程需要記錄在案并評(píng)估其有效性?

e.安全事件響應(yīng)?根據(jù)ISMS制定的計(jì)劃(其中就包括諸如應(yīng)急響應(yīng)計(jì)劃等),對(duì)突發(fā)安全事件進(jìn)行處置?同樣要注意整個(gè)處置過(guò)程的記錄和事后評(píng)估?

f.管理ISMS的運(yùn)行?例如按照計(jì)劃階段確定的要求,組織ISMS定期評(píng)審?評(píng)審后的改進(jìn)等等?

g.管理ISMS的資源?管理者應(yīng)當(dāng)通過(guò)對(duì)ISMS資源的優(yōu)化管理,來(lái)體現(xiàn)一個(gè)組織決定進(jìn)行ISMS建設(shè)的正確性和有效性?事實(shí)上,有一些ISMS不成功的案例并非組織機(jī)構(gòu)沒(méi)有決心或者沒(méi)有投入,而是投入的成本效益沒(méi)有進(jìn)行科學(xué)的分析和有力的展示?

3)審核(Check)

在PDCA戴明環(huán)中,審核就是評(píng)審你所做的事情的符合性?對(duì)照ISMS方針?目標(biāo)和實(shí)踐經(jīng)驗(yàn),評(píng)估ISMS執(zhí)行過(guò)程的具體情況,并將結(jié)果報(bào)告管理者以供評(píng)審?

檢查內(nèi)容包括:

a.ISMS的執(zhí)行程序及其其它控制措施是否得以認(rèn)真貫徹;

b.ISMS有效性的定期評(píng)審;

c.度量控制措施的有效性以驗(yàn)證安全要求是否被滿足;

d.按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審等等?

4)改進(jìn)(Action)

在PDCA戴明環(huán)中,改進(jìn)就是采取糾正和預(yù)防措施,持續(xù)改進(jìn)?基于ISMS的檢查結(jié)果或者其他相關(guān)信息,采取糾正和預(yù)防措施,以持續(xù)改進(jìn)ISMS?

在這一階段,一個(gè)組織應(yīng)經(jīng)常:

a.對(duì)已發(fā)現(xiàn)的ISMS需要改進(jìn)的地方采取措施?例如在風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的脆弱性應(yīng)該盡快加以封堵等等?

b.從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)?

c.向所有相關(guān)方溝通措施和改進(jìn)措施?例如一個(gè)組織在進(jìn)行了等級(jí)保護(hù)測(cè)評(píng)?風(fēng)險(xiǎn)評(píng)估?應(yīng)急響應(yīng)演練之后所發(fā)現(xiàn)的問(wèn)題,應(yīng)該向上級(jí)主管部門或安全服務(wù)機(jī)構(gòu)?設(shè)備集成提供商等進(jìn)行溝通,等等?

以上就是ISMS-PDCA戴明環(huán)的簡(jiǎn)要內(nèi)容?需要指出的是,在信息安全領(lǐng)域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來(lái)看,實(shí)質(zhì)上和PDCA戴明環(huán)有著異曲同工之妙?

PDRR等模型的優(yōu)點(diǎn)是將信息安全中的幾大要素整合在一起,形成了一個(gè)螺旋上升?不斷改進(jìn)的閉環(huán),這一點(diǎn)與戴明環(huán)的思想是一致的?然而,PDRR等模型沒(méi)有將信息安全提升到“質(zhì)量管理體系”這個(gè)高度來(lái)認(rèn)識(shí),因此本文將以ISMS為主要依據(jù)?

除了國(guó)際標(biāo)準(zhǔn)化組織對(duì)ISMS的建設(shè)進(jìn)行了系統(tǒng)研究并頒布了相關(guān)標(biāo)準(zhǔn)之外,國(guó)內(nèi)外學(xué)者也對(duì)ISMS極其相關(guān)領(lǐng)域進(jìn)行了諸多探索,如文獻(xiàn)?等?其中文獻(xiàn)利用軟 件工程中的能力成熟度模型(Capability Mutual Model,CMM)思想,針對(duì)ISMS建設(shè)的不同階段進(jìn)行了探討?本文將在文獻(xiàn)的基礎(chǔ)上進(jìn) 行詳細(xì)研究?文獻(xiàn)對(duì)信息系統(tǒng)的等級(jí)劃分進(jìn)行了研究,但該文并非根據(jù)TCSEC標(biāo)準(zhǔn)或其他國(guó)際相關(guān)標(biāo)準(zhǔn)來(lái)進(jìn)行安全等級(jí)劃分?中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心 (現(xiàn)更名為“中國(guó)信息安全測(cè)評(píng)中心”)的姚軼嶄等針對(duì)ISMS中的PDCA戴明環(huán)和“主體-訪問(wèn)-客體”過(guò)程,引入了小循環(huán)?大循環(huán)的方法對(duì)邏輯控制環(huán)節(jié) 進(jìn)行了研究?這種對(duì)PDCA循環(huán)進(jìn)行細(xì)分的思想對(duì)本文也有所啟迪?

綜上所述,本文的研究思路受文的啟發(fā),并結(jié)合了國(guó)內(nèi)外有關(guān)學(xué)者的研究成果,根據(jù)ISMS-PDCA戴明環(huán)和軟件工程中能力成熟度模型和信息安全風(fēng)險(xiǎn)評(píng)估的基本思想,提出了ISMS-CMM成熟度模型,并對(duì)其各個(gè)階段的具體內(nèi)容進(jìn)行了詳細(xì)研究?

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202109/ccaa_27656.html