ISMS(ISO27001)信息安全管理體系中的PDCA簡介

ISO27001-2005提供建立?實施?運作?監(jiān)控?評審?維護和改進信息安全管理體系(ISMS)的模型,是分析提出ISMS的需求和對組織安全水平的評估標準,是實現(xiàn)組織ISO27001安全體系的重要指南?采用ISMS應是一個組織的戰(zhàn)略決定?

因此,如果讓我們用一句話來總結信息安全領域對管理的重要性的認識,那就是從抓好“信息安全管理”(如BS7799-1)到建立“信息安全管理體系”,(如ISO27001)是人們在信息安全認識論上一個質(zhì)的飛躍?下面我們對戴明環(huán)中的各個環(huán)節(jié)進行一個簡介:

1)P(計劃)

在PDCA戴明環(huán)中,計劃(Plan)是第一個環(huán)節(jié)?所謂計劃就是“規(guī)定你應該做什么并形成文件”?戴明環(huán)的計劃要求是:建立與管理風險和改進信息安全有關的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結果?

組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰(zhàn)略層面的思考,要和組織的業(yè)務戰(zhàn)略這個最高層面的戰(zhàn)略方針?目標相匹配?

PDCA計劃環(huán)節(jié)的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權實施?運行ISMS和適用性聲明?

2)D(實施)

在PDCA戴明環(huán)中,實施(Do)就是做文件規(guī)定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:

a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結束后要制定安全解決方案等?

b.實施風險控制計劃?例如進行風險評估?根據(jù)安全解決方案進行系統(tǒng)加固?改造?升級等等?

c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?

d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?

e.安全事件響應?根據(jù)ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發(fā)安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?

f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?

g.管理ISMS的資源?管理者應當通過對ISMS資源的優(yōu)化管理,來體現(xiàn)一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?

3)審核(Check)

在PDCA戴明環(huán)中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經(jīng)驗,評估ISMS執(zhí)行過程的具體情況,并將結果報告管理者以供評審?

檢查內(nèi)容包括:

a.ISMS的執(zhí)行程序及其其它控制措施是否得以認真貫徹;

b.ISMS有效性的定期評審;

c.度量控制措施的有效性以驗證安全要求是否被滿足;

d.按照計劃的時間間隔進行風險評估的評審等等?

4)改進(Action)

在PDCA戴明環(huán)中,改進就是采取糾正和預防措施,持續(xù)改進?基于ISMS的檢查結果或者其他相關信息,采取糾正和預防措施,以持續(xù)改進ISMS?

在這一階段,一個組織應經(jīng)常:

a.對已發(fā)現(xiàn)的ISMS需要改進的地方采取措施?例如在風險評估中發(fā)現(xiàn)的脆弱性應該盡快加以封堵等等?

b.從其它組織和組織自身的安全經(jīng)驗中吸取教訓?

c.向所有相關方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發(fā)現(xiàn)的問題,應該向上級主管部門或安全服務機構?設備集成提供商等進行溝通,等等?

以上就是ISMS-PDCA戴明環(huán)的簡要內(nèi)容?需要指出的是,在信息安全領域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質(zhì)上和PDCA戴明環(huán)有著異曲同工之妙?

PDRR等模型的優(yōu)點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環(huán),這一點與戴明環(huán)的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質(zhì)量管理體系”這個高度來認識,因此本文將以ISMS為主要依據(jù)?

除了國際標準化組織對ISMS的建設進行了系統(tǒng)研究并頒布了相關標準之外,國內(nèi)外學者也對ISMS極其相關領域進行了諸多探索,如文獻?等?其中文獻利用軟 件工程中的能力成熟度模型(Capability Mutual Model,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進 行詳細研究?文獻對信息系統(tǒng)的等級劃分進行了研究,但該文并非根據(jù)TCSEC標準或其他國際相關標準來進行安全等級劃分?中國信息安全產(chǎn)品測評認證中心 (現(xiàn)更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環(huán)和“主體-訪問-客體”過程,引入了小循環(huán)?大循環(huán)的方法對邏輯控制環(huán)節(jié) 進行了研究?這種對PDCA循環(huán)進行細分的思想對本文也有所啟迪?

綜上所述,本文的研究思路受文的啟發(fā),并結合了國內(nèi)外有關學者的研究成果,根據(jù)ISMS-PDCA戴明環(huán)和軟件工程中能力成熟度模型和信息安全風險評估的基本思想,提出了ISMS-CMM成熟度模型,并對其各個階段的具體內(nèi)容進行了詳細研究?

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27656.html