一、引言
引言部分包含了三個條款,即0.1總則、0.2過程方法、0.3與其他管理體系的兼容性。
0.1 總則
【內容解析】
建立、實施、運行、監視、評審、保持和改進ISO27001信息安全管理體系,應該是一個組織整體經營戰略的一部分,是從信息安全方面實現組織經營宗旨的有效途徑之一。也就是說,通過ISO27001信息安全管理體系的有效運行來支持組織經營戰略的實現,是建立、實施、運行、監視、評審、保持和改進ISO27001信息安全管理體系的根本目的,因此,脫離了組織的經營宗旨和經營環境談信息安全是沒有意義的。
而本ISO27001標準則給出了信息安全管理體系的基本要求,為信息安全管理體系的建立、實施、運行、監視、評審、保持和改進提供了一個有用的模型。
從 組織經營風險的角度考慮,絕對安全的完美制度既無必要,也不可實現。系統地管理信息安全,并不意味著建立一套絕對安全的完美制度,而應將信息安全管理體系 的建立、實施、運行、監視、評審、、保持和改進作為一個管理方法論,應用于組織信息安全的系統性管理,設計一套適合于組織特點和具體需求的信息安全管理解 決方案。
本標準提出的信息安全管理要求框架,可以作為組織內部和外部信息安全管理一致性評估的依據,為組織發現改進其信息安全管理績效的機會。也就是說GB/T22080-2008(ISO27001)可作為第一方審核、第二方審核和第三方審核的依據。
內部和外部信息安全管理體系一致性評估的實例包括:
1)組織基于改進其信息安全管理績效的需要,由組織自己或其代表實施的內部信息安全管理體系審核;
2)組織的顧客基于招標或評價其合作伙伴信息安全管理績效的需要,由顧客或其代表對組織信息安全管理體系實施的審核;
3)第三方機構基于認證的目的,對組織信息安全管理體系實施的審核。
0.2 過程方法
【內容解析】
GB/T22080-2008鼓勵組織采用過程方法,建立、實施、運行、監視、評審、保持和改進組織的ISMS。
組織在采用過程方法時,需要系統識別所應用的過程,需要識別這些過程和過程之間的相互作用,并對其進行管理。過程方法的優點是對諸過程組成的系統中單個過程之間的聯系以及過程和進程相互作用進行連續的控制。
PDCA循環是由休哈特于20世紀20年代首次提出的,后來通過戴明博士在管理學領域得到了廣泛的應用,因此,人們常常將其稱為“戴明環”。
PDCA模式適用于所有的過程,也可以說PDCA模式適用于任何一項工作。
P———策劃(Plan):根據顧客的要求和組織的方針,為提供的結果建立必要的目標和過程,例如:
1)組織需要建立信息安全管理體系的范圍是什么?
2)組織及相關方對信息安全的要求是什么?
3)組織存在哪些信息安全風險?
4)組織需要采取哪些處置風險的控制措施?
5)如何制定風險處置計劃?
D———實施(Do):實施過程,例如:如何實施風險處置計劃?
C———檢查(Check):根據方針、目標和信息安全的要求,對過程和信息安全進行監控和測量,并報告結果。例如:
1)如何策劃監視、測量的方法及評價準則?
2)如何實施監視和測量?
3)如何利用監視和測量的數據?
4)是按計劃的要求做的嗎?
5)達到預期的結果了嗎?
A———改進(Act):采取措施,以持續改進過程業績。
例如:
1)是否需要變更信息安全管理方針?
2)是否需要補充或變更信息安全管理目標?
3)是否需要變更信息安全管理策略和規程?
4)需要哪些資源實施改進?
0.3 與其他管理體系的兼容性
【內容解析】
為滿足持續業務運營的要求,組織可能將管理體系方法論用于多個領域的管理,包括以產品和服務質量滿足要求為核心目的的ISO9001質量管理體系、以污染物的產生和排放滿足環境管理要求為核心目的的環境管理體系,以及以信息資產的安全滿足要求為核心目的的信息安全管理體系。
無論哪一種管理體系的運行,客觀上都是和組織的業務過程及相關支持過程伴生的,這就為多種管理體系的相互融合和兼容提供了現實可行性。
例如,在某些種類的IC卡制造業,制卡過程的廢品率是質量管理必須考慮的內容,廢品的產生以及處置則是ISO14001環境管理關注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質,只能按照指定的方式和渠道予以處置。一個經過良好設計的管理體系規程,應能夠保證在制造過程控制中質量管理、環境管理和信息安全管理的要求同時得到滿足。
以融合各管理體系要求的方式設計信息安全管理體系的另一個好處,可以使實施和維護管理體系所需的資源得到最有效率的使用,從而在一定程度上可減少因運行不同管理體系造成的機構重疊和管理官僚化,也可減少業務過程中的執行人員不得不分別理解不同管理體系的要求帶來的混亂。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
