GB/T22080 即ISO27001信息安全管理體系標(biāo)準(zhǔn)解析二?前言

一?引言

引言部分包含了三個(gè)條款,即0.1總則?0.2過程方法?0.3與其他管理體系的兼容性?

0.1 總則

【內(nèi)容解析】

建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)ISO27001信息安全管理體系,應(yīng)該是一個(gè)組織整體經(jīng)營(yíng)戰(zhàn)略的一部分,是從信息安全方面實(shí)現(xiàn)組織經(jīng)營(yíng)宗旨的有效途徑之一?也就是說,通過ISO27001信息安全管理體系的有效運(yùn)行來支持組織經(jīng)營(yíng)戰(zhàn)略的實(shí)現(xiàn),是建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)ISO27001信息安全管理體系的根本目的,因此,脫離了組織的經(jīng)營(yíng)宗旨和經(jīng)營(yíng)環(huán)境談信息安全是沒有意義的?

而本ISO27001標(biāo)準(zhǔn)則給出了信息安全管理體系的基本要求,為ISO27001信息安全管理體系的建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)提供了一個(gè)有用的模型?

從組織經(jīng)營(yíng)風(fēng)險(xiǎn)的角度考慮,絕對(duì)安全的完美制度既無必要,也不可實(shí)現(xiàn)?系統(tǒng)地管理信息安全,并不意味著建立一套絕對(duì)安全的完美制度,而應(yīng)將ISO27001信息安全管理體系 的建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審??保持和改進(jìn)作為一個(gè)管理方法論,應(yīng)用于組織信息安全的系統(tǒng)性管理,設(shè)計(jì)一套適合于組織特點(diǎn)和具體需求的信息安全管理解 決方案?

ISO27001標(biāo)準(zhǔn)提出的信息安全管理要求框架,可以作為組織內(nèi)部和外部ISO27001信息安全管理一致性評(píng)估的依據(jù),為組織發(fā)現(xiàn)改進(jìn)其信息安全管理績(jī)效的機(jī)會(huì)?也就是說GB/T22080-2008(ISO27001)可作為第一方審核?第二方審核和第三方審核的依據(jù)?

內(nèi)部和外部ISO27001信息安全管理體系一致性評(píng)估的實(shí)例包括:

1)組織基于改進(jìn)其信息安全管理績(jī)效的需要,由組織自己或其代表實(shí)施的內(nèi)部ISO27001信息安全管理體系審核;

2)組織的顧客基于招標(biāo)或評(píng)價(jià)其合作伙伴信息安全管理績(jī)效的需要,由顧客或其代表對(duì)組織ISO27001信息安全管理體系實(shí)施的審核;

3)第三方機(jī)構(gòu)基于ISO27001認(rèn)證的目的,對(duì)組織ISO27001信息安全管理體系實(shí)施的審核?

0.2 過程方法

【內(nèi)容解析】

GB/T22080-2008鼓勵(lì)組織采用過程方法,建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)組織的ISMS?

組織在采用過程方法時(shí),需要系統(tǒng)識(shí)別所應(yīng)用的過程,需要識(shí)別這些過程和過程之間的相互作用,并對(duì)其進(jìn)行管理?過程方法的優(yōu)點(diǎn)是對(duì)諸過程組成的系統(tǒng)中單個(gè)過程之間的聯(lián)系以及過程和進(jìn)程相互作用進(jìn)行連續(xù)的控制?

PDCA循環(huán)是由休哈特于20世紀(jì)20年代首次提出的,后來通過戴明博士在管理學(xué)領(lǐng)域得到了廣泛的應(yīng)用,因此,人們常常將其稱為“戴明環(huán)”?

PDCA模式適用于所有的過程,也可以說PDCA模式適用于任何一項(xiàng)工作?

P———策劃(Plan):根據(jù)顧客的要求和組織的方針,為提供的結(jié)果建立必要的目標(biāo)和過程,例如:

1)組織需要建立ISO27001信息安全管理體系的范圍是什么?

2)組織及相關(guān)方對(duì)信息安全的要求是什么?

3)組織存在哪些信息安全風(fēng)險(xiǎn)?

4)組織需要采取哪些處置風(fēng)險(xiǎn)的控制措施?

5)如何制定風(fēng)險(xiǎn)處置計(jì)劃?

D———實(shí)施(Do):實(shí)施過程,例如:如何實(shí)施風(fēng)險(xiǎn)處置計(jì)劃?

C———檢查(Check):根據(jù)方針?目標(biāo)和信息安全的要求,對(duì)過程和信息安全進(jìn)行監(jiān)控和測(cè)量,并報(bào)告結(jié)果?例如:

1)如何策劃監(jiān)視?測(cè)量的方法及評(píng)價(jià)準(zhǔn)則?

2)如何實(shí)施監(jiān)視和測(cè)量?

3)如何利用監(jiān)視和測(cè)量的數(shù)據(jù)?

4)是按計(jì)劃的要求做的嗎?

5)達(dá)到預(yù)期的結(jié)果了嗎?

A———改進(jìn)(Act):采取措施,以持續(xù)改進(jìn)過程業(yè)績(jī)?

例如:

1)是否需要變更信息安全管理方針?

2)是否需要補(bǔ)充或變更信息安全管理目標(biāo)?

3)是否需要變更信息安全管理策略和規(guī)程?

4)需要哪些資源實(shí)施改進(jìn)?

0.3 與其他管理體系的兼容性

【內(nèi)容解析】

為滿足持續(xù)業(yè)務(wù)運(yùn)營(yíng)的要求,組織可能將管理體系方法論用于多個(gè)領(lǐng)域的管理,包括以產(chǎn)品和服務(wù)質(zhì)量滿足要求為核心目的的ISO9001質(zhì)量管理體系?以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的ISO14001環(huán)境管理體系,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系?

無論哪一種管理體系的運(yùn)行,客觀上都是和組織的業(yè)務(wù)過程及相關(guān)支持過程伴生的,這就為多種管理體系的相互融合和兼容提供了現(xiàn)實(shí)可行性?

例如,在某些種類的IC卡制造業(yè),制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,廢品的產(chǎn)生以及處置則是ISO14001環(huán)境管理關(guān)注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),只能按照指定的方式和渠道予以處置?一個(gè)經(jīng)過良好設(shè)計(jì)的管理體系規(guī)程,應(yīng)能夠保證在制造過程控制中質(zhì)量管理?環(huán)境管理和信息安全管理的要求同時(shí)得到滿足?

以融合各管理體系要求的方式設(shè)計(jì)信息安全管理體系的另一個(gè)好處,可以使實(shí)施和維護(hù)管理體系所需的資源得到最有效率的使用,從而在一定程度上可減少因運(yùn)行不同管理體系造成的機(jī)構(gòu)重疊和管理官僚化,也可減少業(yè)務(wù)過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂?

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27661.html