ISO27000中的PDCA四個(gè)階段

時(shí)間：2022-01-05作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長(zhǎng)春分公司瀏覽：197

 策劃階段，組織應(yīng)：

    定義ISMS的范圍和方針；

    定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法；

    識(shí)別風(fēng)險(xiǎn)；

    應(yīng)用組織確定的系統(tǒng)性方法評(píng)估風(fēng)險(xiǎn)；

    識(shí)別并評(píng)估可選的風(fēng)險(xiǎn)處理方式；

    選擇控制目標(biāo)與控制方式；

    當(dāng)決定接受剩余風(fēng)險(xiǎn)時(shí)應(yīng)獲得管理者同意，并獲得管理者授權(quán)開(kāi)始運(yùn)行信息安全管理體系。

 

    實(shí)施階段，組織應(yīng)該實(shí)施選擇的控制，包括：

    實(shí)施特定的管理程序；

    實(shí)施所選擇的控制；

    運(yùn)作管理；

    實(shí)施能夠促進(jìn)安全事件檢測(cè)和響應(yīng)的程序和其他控制。

 

    檢查階段，組織應(yīng)：

    執(zhí)行程序，檢測(cè)錯(cuò)誤和違背方針的行為 ；

    定期評(píng)審ISMS的有效性；

    評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)；

    執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng)，是否符合標(biāo)準(zhǔn)，以及是否按照預(yù)期的目的進(jìn)行工作；

    定期對(duì)ISMS進(jìn)行正式評(píng)審，以確保范圍保持充分性，以及ISMS過(guò)程的持續(xù)改進(jìn)得到識(shí)別并實(shí)施；

    記錄并報(bào)告所有活動(dòng)和事件。

 

    改進(jìn)措施階段，組織應(yīng)：

    測(cè)量ISMS績(jī)效；

    識(shí)別ISMS的改進(jìn)措施，并有效實(shí)施；

    采取適當(dāng)?shù)募m正和預(yù)防措施；

    與涉及到的所有相關(guān)方磋商、溝通結(jié)果及其措施；

    必要時(shí)修改ISMS，確保修改達(dá)到既定的目標(biāo)。

 

    ISMS：ISMS（Information Security Management System）是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后，又產(chǎn)生的一個(gè)管理體系標(biāo)準(zhǔn)—信息安全管理體系標(biāo)準(zhǔn)。

 

    信息安全就是組織應(yīng)明確需要保護(hù)的信息資源，確保信息的機(jī)密性、完整性和 可用性，并保持良好的協(xié)調(diào)狀態(tài)。信息安全對(duì)企業(yè)經(jīng)營(yíng)非常重要，為了防止信息安全事故或事件的發(fā)生，盡管在技術(shù)方面采取了* 墻和入侵監(jiān)測(cè)系統(tǒng)，但是人為因素造成的信息機(jī)密流失仍然占有很高的比率（據(jù)說(shuō)約70%）。因此，建立信息安全管理體系十分必要。 

 

    為了建立、實(shí)施和保持信息安全管理體系，首先應(yīng)策劃信息安全管理體系的方針和目標(biāo)，識(shí)別、分類(lèi)和清理信息資源，根據(jù)其危險(xiǎn)程度、薄弱環(huán)節(jié)和發(fā)生頻次，實(shí)施風(fēng)險(xiǎn)控制，包括回避、轉(zhuǎn)移、控制和消除風(fēng)險(xiǎn)。按PDCA循環(huán)模式，建立信息安全管理體系。建立信息安全管理體系共有8個(gè)階段。包括確定ISMS適用范圍、策劃ISMS方針目標(biāo)、策劃風(fēng)險(xiǎn)控制的過(guò)程、識(shí)別和評(píng)估風(fēng)險(xiǎn)、對(duì)風(fēng)險(xiǎn)控制現(xiàn)狀分析、選擇和制訂管理方案、識(shí)別存在的遺留風(fēng)險(xiǎn)和正式實(shí)施ISMS。

 　 

    用于 ISMS的標(biāo)準(zhǔn)有ISO/IEC17799:2000和BS7799-2:1999。據(jù)說(shuō)，到2003年8月15日止，按BS7799的企業(yè)全世界共有282家，其中中國(guó)有5家。英國(guó)較多，有99家。ISO/IEC JTC1/SC27正在對(duì)ISO/IEC17799:2000進(jìn)行修訂。預(yù)計(jì)2004或2005年正式發(fā)布修訂版本。采用ISO/IEC17799建立ISMS，并**的好處在于能夠建立完善的信息安全管理體系，從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件；對(duì)外樹(shù)立信息系統(tǒng)可靠性形象，滿(mǎn)足顧客要求，提高企業(yè)競(jìng)爭(zhēng)能力。的范圍適合于所有類(lèi)型和規(guī)模的組織，特別是涉及個(gè)人信息保護(hù)的組織，例如金融、通訊、醫(yī)療、社區(qū)管理、電子商務(wù)和電子政務(wù)等。

 


中泰智聯(lián)（北京）認(rèn)證中心有限公司長(zhǎng)春分公司專(zhuān)注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠(chéng)信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說(shuō)明

• **對(duì)ISO13485標(biāo)準(zhǔn)的態(tài)度

  不管在世界的哪個(gè)角落，客戶(hù)都是在他們可以負(fù)擔(dān)的前提下選擇較佳質(zhì)量的產(chǎn)品，在醫(yī)療行業(yè)較是如此。ISO13485/8就是醫(yī)療器械行業(yè)較新的**質(zhì)量體系標(biāo)準(zhǔn)。遵循此標(biāo)準(zhǔn)的醫(yī)療器械制造商就能表明它們已經(jīng)建立了質(zhì)量保證體系來(lái)**公眾的安全不受到侵害。典型標(biāo)準(zhǔn) ISO13488: 1996是ISO9001: 1994的特殊模塊（sector specific models）。換句話說(shuō)，ISO13485考慮到了

• 關(guān)于食品安全的思考

  加強(qiáng)法律法規(guī)建設(shè)????食品安全衛(wèi)生狀況，關(guān)系到國(guó)民的生命健康，影響國(guó)家政治、經(jīng)濟(jì)和社會(huì)的穩(wěn)定。我國(guó)食品安全方面的法律法規(guī)較少，畜禽屠宰方面的全國(guó)性法規(guī)只有《生豬屠宰管理?xiàng)l例》，牛、羊和禽類(lèi)未納入屠宰**；在打擊制假售假方面，由于法規(guī)不健全，沒(méi)有強(qiáng)制措施，*困難，導(dǎo)致違法生產(chǎn)經(jīng)營(yíng)者和引發(fā)食物中毒事件的相關(guān)責(zé)任人往往能逃脫法律的追究。對(duì)制作假冒偽劣食品的處罰

• 社會(huì)工程學(xué) 信息安全對(duì)抗新領(lǐng)域

  ? ? ? ? 信息安全的脆弱性是普遍存在的，任何一個(gè)系統(tǒng)都具有潛在的安全風(fēng)險(xiǎn)。 近年來(lái)，利用社會(huì)工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)，成為信息安全保密工作中較脆弱的 一個(gè)環(huán)節(jié)。??? ? ?社會(huì)的與風(fēng)險(xiǎn)的社會(huì)工程學(xué)（Social Engineering)是一種利用人的弱點(diǎn)：

• TS16949標(biāo)準(zhǔn)的特點(diǎn)

  TS16949標(biāo)準(zhǔn)的制定，為汽車(chē)行業(yè)零部件組織提供了一個(gè)建立質(zhì)量體系的模式。其根本目的是從滿(mǎn)足質(zhì)量要求開(kāi)始保證顧客滿(mǎn)意。這就體現(xiàn)在一切為顧客著想，按顧客的要求進(jìn)行產(chǎn)品設(shè)計(jì)、制造、檢驗(yàn)與試驗(yàn)。所以說(shuō)是一種顧客導(dǎo)向型質(zhì)量管理方法。首先，按顧客的要求進(jìn)行設(shè)計(jì)。在進(jìn)行市場(chǎng)調(diào)研時(shí)，必須把握顧客對(duì)產(chǎn)品的期望，而這些期望則應(yīng)包括明確的和隱含的期望。?TS16949標(biāo)準(zhǔn)中明確規(guī)定，供方要把了解到的顧客期