PDCA过程模式在信息安全管理体系的应用.docx

《PDCA过程模式在信息安全管理体系的应用.docx》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、PDCA过程模式在信息安全管理体系的应用12020年5月29日22020年5月29日文档仅供参考PDCA过程模式在信息安全管理体系的应用科飞管理咨询有限公司吴昌伦王毅刚BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分<信息安全管理体系规范>,是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本(BS7799-2:)是9月5日修订的,引入了PDCA(Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA过程模式被ISO9001、ISO14001等

2、国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。依据BS7799-2:建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;2、在管理组织整体业务风险背景下实施和运行控制;32020年5月29日文档仅供参考3、监控并评审信息安全管理体系的业绩和有效性;4、在目标测量的基础上持续改进。BS7799-2:的PDCA过程模式BS7799-2:所采用的过程模式如图1所示,”计划-实施-检查-措施”四个步骤能够应用于所有过程。PDCA过程模式可简单描述如

3、下:图1PDCA过程模式◆策划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。42020年5月29日文档仅供参考◆实施:实施和运作方针(过程和程序)。◆检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。◆措施:采取纠正和预防措施进一步提高过程业绩。四个步骤成为一个闭环,经过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(performance)螺旋上升。应用PDCA建立、保持信息安全管理体系P(策划)—建立信息安全管理体系环境(context)&

4、风险评估要启动PDCA循环,必须有”启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划。策划阶段52020年5月29日