ISO27000中的PDCA四個階段

時間：2020-08-24作者：廣匯聯(lián)合（北京）認證服務有限公司瀏覽：172

策劃階段，組織應： 
定義ISMS的范圍和方針； 
定義風險評估的系統(tǒng)性方法； 
識別風險； 
應用組織確定的系統(tǒng)性方法評估風險； 
識別并評估可選的風險處理方式； 
選擇控制目標與控制方式； 
當決定接受剩余風險時應獲得管理者同意，并獲得管理者授權(quán)開始運行 信息安全管理體系。 

實施階段，組織應該實施選擇的控制，包括： 
實施特定的管理程序； 
實施所選擇的控制； 
運作管理； 
實施能夠促進安全事件檢測和響應的程序和其他控制。 

檢查階段，組織應： 
執(zhí)行程序，檢測錯誤和違背方針的行為 ； 
定期評審ISMS的有效性； 
評審剩余風險和可接受風險的等級； 
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當，是否符合標準，以及是 否按照預期的目的進行工作； 
定期對ISMS進行正式評審，以確保范圍保持充分性，以及ISMS過程的持續(xù)改進得到識別并實施； 
記錄并 報告所有活動和事件。 

改進措施階段，組織應： 
測量ISMS績效； 
識別ISMS的改進措施，并有效實施； 
采取適當?shù)募m正和預防措施； 
與涉及到的所有相關方磋商、溝通結(jié)果及其措施； 
必要時修改ISMS，確保修改達到既定的目標。 

ISMS：ISMS（Information Security Management System）是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后，又產(chǎn)生的一個管理體系標準— 信息安全管理體系標準。 
　　信息安全就是組織應明確需要保護的信息資源，確保信息的機密性、完整性和 可用性，并保持良好的協(xié)調(diào)狀態(tài)。信息安全對企業(yè)經(jīng)營非常重要，為了防止信息安全事故或事件的發(fā)生，盡管在技術方面采取了* 墻和入侵監(jiān)測系統(tǒng)，但是人為因素造成的信息機密流失仍然占有很高的比率（據(jù)說約70%）。因此，建立信息安全管理體系十分必要。 
　　為了建立、實施和保持信息安全管理體系，首先應策劃信息安全管理體系的方針和目標， 
識別、分類和 清理信息資源，根據(jù)其危險程度、薄弱環(huán)節(jié)和發(fā)生頻次，實施風險控制，包括回避、轉(zhuǎn)移、控制和消除風險。按PDCA循環(huán)模式，建立 信息安全管理體系。建立信息安全管理體系共有8個階段。包括確定ISMS適用范圍、策劃ISMS方針目標、策劃風險控制的過程、識別和 評估風險、對風險控制現(xiàn)狀分析、選擇和制訂管理方案、識別存在的遺留風險和正式實施ISMS。 
　　用于ISMS認證的標準有ISO/IEC17799:2000和BS7799-2:1999。據(jù)說，到2003年8月15日止，按BS7799認證的企業(yè)全世界共有282家，其中中國有5家。英國較多，有99家。ISO/IEC JTC1/SC27正在對ISO/IEC17799:2000進行修訂。預計2004或2005年正式發(fā)布修訂版本。采用 ISO/IE　C17799建立ISMS，并**認證的好處在于能夠建立完善的信息安全管理體系，從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件 ；對外樹立信息系統(tǒng)可靠性形象，滿足顧客要求，提高企業(yè)競爭能力。認證的范圍適合于所有類型和規(guī)模的組織，特別是涉及個人信 息保護的組織，例如金融、通訊、醫(yī)療、社區(qū)管理、電子商務和電子政務等。

如您想較詳細的了解更多認證資訊，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細的了解更多認證資訊，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細的了解更多認證資訊，請您網(wǎng)絡搜索廣匯聯(lián)合，快人一步，成就管理者風范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌


廣匯聯(lián)合（北京）認證服務有限公司專注于服務認證,IT信息管理認證 ,三體系認證等

• 詞條

  詞條說明

• 企業(yè)為什么要三體系認證--ISO9001、ISO14001、ISO45001？

  做這三個體系認證有以下目的： 1、實施ISO9001認證，強化品質(zhì)管理，提高企業(yè)效益；增強客戶信心，擴大市場份額。 2、實施ISO9001認證優(yōu)化企業(yè)內(nèi)部質(zhì)量架構(gòu)管理化，節(jié)省了各個流程的生產(chǎn)服務管理審核的精力和費用。 3、企業(yè)實施ISO14001標準可達到節(jié)能降耗、優(yōu)化成本、改善企業(yè)形象。 4、獲得ISO14001認證已經(jīng)成為打破**綠色壁壘、進入歐美市場的準入證，并逐漸成為組織進行生產(chǎn)、經(jīng)營活動

• 信息安全體系認證-ISO20000

  信息安全體系認證-ISO20000 **的IT服務業(yè)日趨龐大，在印度、韓國等其他國家，也興起了認證風潮，因為這些企業(yè)明白， 一旦擁有了ISO20000認證，就象征著企業(yè)具有較可靠的IT服務后盾。那么當一個企業(yè)通過了ISO20000的認證，堅持實施較佳實踐后，高效的lT服務管理究竟可以給企業(yè)帶來哪些效益呢？ 1、建立緊密的跨部門協(xié)件關系和完善的員工考核制度 ISO20000的實施首先帶來的是IT 管

• 企業(yè)建立 ISO14001環(huán)境管理體系常見不符合項分析

  自**標準化組織頒布ISO14001環(huán)境管理體系標準以來，在**掀起了ISO14001認證的熱潮，中國也有許多優(yōu)秀企業(yè)積極響應，紛紛要求建立適合自身要求的環(huán)境管理體系 (EMS)，并申請認證。 因企業(yè)的產(chǎn)品性質(zhì)和原有的環(huán)境管理水平不同，在環(huán)境管理體系建立初期總存在不同方面的缺陷，筆者對ISO14001審核中發(fā)現(xiàn)的不符合項進行匯總分析，發(fā)現(xiàn)其中有驚人的共性。不符合項往往集中在幾個關鍵要素之中，統(tǒng)計分

• ISO27000中的PDCA四個階段

  策劃階段，組織應： 定義ISMS的范圍和方針； 定義風險評估的系統(tǒng)性方法； 識別風險； 應用組織確定的系統(tǒng)性方法評估風險； 識別并評估可選的風險處理方式； 選擇控制目標與控制方式； 當決定接受剩余風險時應獲得管理者同意，并獲得管理者授權(quán)開始運行 信息安全管理體系。 實施階段，組織應該實施選擇的控制，包括： 實施特定的管理程序； 實施所選擇的控制； 運作管理； 實施能夠促進安全事件檢測和響應的程序和