ISMS(ISO27001)信息安全管理體系中的PDCA簡介
ISO27001-2005提供建立?實施?運作?監控?評審?維護和改進信息安全管理體系(ISMS)的模型,是分析提出ISMS的需求和對組織安全水平的評估標準,是實現組織ISO27001安全體系的重要指南?采用ISMS應是一個組織的戰略決定?
因此,如果讓我們用一句話來總結信息安全領域對管理的重要性的認識,那就是從抓好“信息安全管理”(如BS7799-1)到建立“信息安全管理體系”,(如ISO27001)是人們在信息安全認識論上一個質的飛躍?下面我們對戴明環中的各個環節進行一個簡介:
1)P(計劃)
在PDCA戴明環中,計劃(Plan)是第一個環節?所謂計劃就是“規定你應該做什么并形成文件”?戴明環的計劃要求是:建立與管理風險和改進信息安全有關的ISMS方針?ISO27001目標?過程和ISO27001程序,以提供與組織整體ISO27001方針和ISO27001目標相一致的結果?
組織對其所追求的ISO27001信息安全方針?ISO27001目標等安全戰略層面的思考,要和組織的業務戰略這個最高層面的戰略方針?目標相匹配?
PDCA計劃環節的首要任務是建立ISMS體系,即它的范圍?方針?風險評估和管理?管理者授權實施?運行ISMS和適用性聲明?
2)D(實施)
在PDCA戴明環中,實施(Do)就是做文件規定的事情?嚴格遵照計劃階段制定的ISMS文檔,實施和運行ISMS方針?控制措施?過程和程序?實施ISMS的主要工作包括:
a.制定風險控制計劃?例如制定風險評估計劃以及風險評估工作結束后要制定安全解決方案等?
b.實施風險控制計劃?例如進行風險評估?根據安全解決方案進行系統加固?改造?升級等等?
c.度量所選擇的控制措施的有效性?例如整改完成之后進行剩余風險的評估,評價其是否滿足承受風險的最低限度?
d.實施培訓和意識教育計劃?例如按照培訓計劃進行安全意識?安全技能?應急演練等培訓?要注意整個過程需要記錄在案并評估其有效性?
e.安全事件響應?根據ISMS制定的計劃(其中就包括諸如應急響應計劃等),對突發安全事件進行處置?同樣要注意整個處置過程的記錄和事后評估?
f.管理ISMS的運行?例如按照計劃階段確定的要求,組織ISMS定期評審?評審后的改進等等?
g.管理ISMS的資源?管理者應當通過對ISMS資源的優化管理,來體現一個組織決定進行ISMS建設的正確性和有效性?事實上,有一些ISMS不成功的案例并非組織機構沒有決心或者沒有投入,而是投入的成本效益沒有進行科學的分析和有力的展示?
3)審核(Check)
在PDCA戴明環中,審核就是評審你所做的事情的符合性?對照ISMS方針?目標和實踐經驗,評估ISMS執行過程的具體情況,并將結果報告管理者以供評審?
檢查內容包括:
a.ISMS的執行程序及其其它控制措施是否得以認真貫徹;
b.ISMS有效性的定期評審;
c.度量控制措施的有效性以驗證安全要求是否被滿足;
d.按照計劃的時間間隔進行風險評估的評審等等?
4)改進(Action)
在PDCA戴明環中,改進就是采取糾正和預防措施,持續改進?基于ISMS的檢查結果或者其他相關信息,采取糾正和預防措施,以持續改進ISMS?
在這一階段,一個組織應經常:
a.對已發現的ISMS需要改進的地方采取措施?例如在風險評估中發現的脆弱性應該盡快加以封堵等等?
b.從其它組織和組織自身的安全經驗中吸取教訓?
c.向所有相關方溝通措施和改進措施?例如一個組織在進行了等級保護測評?風險評估?應急響應演練之后所發現的問題,應該向上級主管部門或安全服務機構?設備集成提供商等進行溝通,等等?
以上就是ISMS-PDCA戴明環的簡要內容?需要指出的是,在信息安全領域中常用的模型如PDRR模型,PPDRR模型等,從信息流和信息鏈傳遞的視角來看,實質上和PDCA戴明環有著異曲同工之妙?
PDRR等模型的優點是將信息安全中的幾大要素整合在一起,形成了一個螺旋上升?不斷改進的閉環,這一點與戴明環的思想是一致的?然而,PDRR等模型沒有將信息安全提升到“質量管理體系”這個高度來認識,因此本文將以ISMS為主要依據?
除了國際標準化組織對ISMS的建設進行了系統研究并頒布了相關標準之外,國內外學者也對ISMS極其相關領域進行了諸多探索,如文獻?等?其中文獻利用軟 件工程中的能力成熟度模型(Capability Mutual Model,CMM)思想,針對ISMS建設的不同階段進行了探討?本文將在文獻的基礎上進 行詳細研究?文獻對信息系統的等級劃分進行了研究,但該文并非根據TCSEC標準或其他國際相關標準來進行安全等級劃分?中國信息安全產品測評認證中心 (現更名為“中國信息安全測評中心”)的姚軼嶄等針對ISMS中的PDCA戴明環和“主體-訪問-客體”過程,引入了小循環?大循環的方法對邏輯控制環節 進行了研究?這種對PDCA循環進行細分的思想對本文也有所啟迪?
綜上所述,本文的研究思路受文的啟發,并結合了國內外有關學者的研究成果,根據ISMS-PDCA戴明環和軟件工程中能力成熟度模型和信息安全風險評估的基本思想,提出了ISMS-CMM成熟度模型,并對其各個階段的具體內容進行了詳細研究?
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
