PDCA过程模式在信息安全管理体系的应用

PDCA过程模式在信息安全管理体系的应用12020 年 5 月 29 日22020 年 5 月 29 日文档仅供参考PDCA 过程模式在信息安全管理体系的应用科飞管理咨询有限公司吴昌伦 王毅刚BS 7799 是国际上具有代表性的信息安全管理体系标准,其第二部分 ,是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本 (BS 7799-2: )是 9 月 5 日修订的 ,引入了 PDCA(Plan-Do-Check-Action) 过程模式 ,作为建立、实施 信 息 安 全 管 理 体 系 并 持 续 改 进 其 有 效 性 的 方 法 。PDCA 过程模式被ISO 9001 、ISO 14001 等国际管理体系标准广泛采用 ,是保证管理体系持续改进的有效模式。依据BS 7799-2:建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;2 、 在 管理 组 织 整 体 业务 风 险 背 景 下 实 施 和 运 行 控制 ;32020 年 5 月 29 日文档仅供参考3 、 监 控 并 评 审 信 息 安 全 管 理 体 系 的 业 绩 和 有 效 性 ;4 、在目标测量的基础上持续改进。BS7799-2:的PDCA过程模式BS 7799-2: 所采用的过程模式如图1 所示 , ”计划 -实施 -检查 -措施”四个步骤能够应用于所有过程。PDCA 过程模式可简单描述如下:图1PDCA过程模式 策划 : 依照组织整个方针和目标 ,建立与控制风险、提高信息 安 全 有 关 的 安 全 方 针 、 目 标 、 指 标 、 过 程 和 程 序 。42020 年 5 月 29 日文档仅供参考实 施 : 实 施 和 运 作 方 针 ( 过 程 和 程 序 ) 。 检查 :依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。措 施 : 采 取 纠 正和 预 防 措 施 进一 步 提 高 过 程业 绩 。四个步骤成为一个闭环 ,经过这个环的不断运转 ,使信息安全管理体系得到持续改进 ,使信息安全绩效 (performance) 螺旋上升。应 用PDCA建 立 、 保 持 信 息 安 全 管 理 体 系P(策划 ) 建立信息安全管理体系环境(context)& 风险评估要启动PDCA 循环 ,必须有 ”启动器 ”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划。策划阶段52020 年 5 月 29 日