ISO27000中的PDCA四個階段
策劃階段����,組織應(yīng):
定義ISMS的范圍和方針���;
定義風(fēng)險評估的系統(tǒng)性方法���;
識別風(fēng)險�����;
應(yīng)用組織確定的系統(tǒng)性方法評估風(fēng)險�����;
識別并評估可選的風(fēng)險處理方式;
選擇控制目標(biāo)與控制方式�;
當(dāng)決定接受剩余風(fēng)險時應(yīng)獲得管理者同意,并獲得管理者授權(quán)開始運(yùn)行 信息安全管理體系�����。
實施階段���,組織應(yīng)該實施選擇的控制����,包括:
實施特定的管理程序����;
實施所選擇的控制�;
運(yùn)作管理�����;
實施能夠促進(jìn)安全事件檢測和響應(yīng)的程序和其他控制��。
檢查階段�,組織應(yīng):
執(zhí)行程序,檢測錯誤和違背方針的行為 ��;
定期評審ISMS的有效性�����;
評審剩余風(fēng)險和可接受風(fēng)險的等級����;
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng),是否符合標(biāo)準(zhǔn)��,以及是 否按照預(yù)期的目的進(jìn)行工作����;
定期對ISMS進(jìn)行正式評審�����,以確保范 圍保持充分性��,以及ISMS過程的持續(xù)改進(jìn)得到識別并實施�����;
記錄并 報告所有活動和事件����。
改進(jìn)措施階段�����,組織應(yīng):
測量ISMS績效���;
識別ISMS的改進(jìn)措施,并有效實施�;
采取適當(dāng)?shù)募m正和預(yù)防措施;
與涉及到的所有相關(guān)方磋商���、溝通結(jié)果及其措施����;
必要時修改ISMS,確保修改達(dá)到既定的目標(biāo)���。
ISMS:ISMS(Information Security Management System)是信息安全管理體系�。ISO/IEC17799:2000它是繼ISO9000����、ISO14000和OHSAS18000之后,又產(chǎn)生的一個管理體系標(biāo)準(zhǔn)— 信息安全管理體系標(biāo)準(zhǔn)���。
信息安全就是組織應(yīng)明確需要保護(hù)的信息資源��,確保信息的機(jī)密性�����、完整性和 可用性����,并保持良好的協(xié)調(diào)狀態(tài)�。信息安全對企業(yè)經(jīng)營非常重要,為了防止信息安全事故或事件的發(fā)生�,盡管在技術(shù)方面采取了防火 墻和入侵監(jiān)測系統(tǒng)����,但是人為因素造成的信息機(jī)密流失仍然占有很高的比率(據(jù)說約70%)�����。因此���,建立信息安全管理體系十分必要���。
為了建立、實施和保持信息安全管理體系�����,首先應(yīng)策劃信息安全管理體系的方針和目標(biāo)���,識別、分類和 清理信息資源�����,根據(jù)其危險程度���、薄弱環(huán)節(jié)和發(fā)生頻次���,實施風(fēng)險控制����,包括回避��、轉(zhuǎn)移���、控制和消除風(fēng)險�。按PDCA循環(huán)模式����,建立 信息安全管理體系。建立信息安全管理體系共有8個階段��。包括確定ISMS適用范圍���、策劃ISMS方針目標(biāo)�、策劃風(fēng)險控制的過程�、識別和 評估風(fēng)險、對風(fēng)險控制現(xiàn)狀分析、選擇和制訂管理方案����、識別存在的遺留風(fēng)險和正式實施ISMS。
用于 ISMS認(rèn)證的標(biāo)準(zhǔn)有ISO/IEC17799:2000和BS7799-2:1999�。據(jù)說,到2003年8月15日止���,按BS7799認(rèn)證的企業(yè)全世界共有282家�����,其中中 國有5家�。英國最多��,有99家��。ISO/IEC JTC1/SC27正在對ISO/IEC17799:2000進(jìn)行修訂�����。預(yù)計2004或2005年正式發(fā)布修訂版本���。采用 ISO/IE C17799建立ISMS,并取得認(rèn)證的好處在于能夠建立完善的信息安全管理體系�����,從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件 ;對外樹立信息系統(tǒng)可靠性形象�,滿足顧客要求,提高企業(yè)競爭能力���。認(rèn)證的范圍適合于所有類型和規(guī)模的組織�����,特別是涉及個人信 息保護(hù)的組織��,例如金融�、通訊�����、醫(yī)療�、社區(qū)管理、電子商務(wù)和電子政務(wù)等�。
