2021-09-09 來源:
目前互聯網行業發展迅速,越來越多的企業進行企業內部的信息安全認證,通過這一證書,不僅可以向客戶等一些相關方證實自己企業的實力,還可以更優化與企業內部的管理。
隨著2013年發布的ISO27000的改版,各行各業勢必會根據自身信息安全的情況對信息安全體系作出調整。
本文將針對軟件行業在調整下的信息安全管理體系下,如何更好地保持和改進信息安全體系作出解讀,使企業更好地依據標準體系和方法論,制定出符合企業長久發展的信息安全管理體系。
關于PDCA模型:
此處對于PDCA模型以及新版標準的劃分做一簡單說明:PDCA模式是國際認可的模型,很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架,每個階段都與其他階段相關聯。
PDCA模型分別由四部分組成:P(Plan)——建立ISMS,根據組織的整體策略和目標,確定活動的計劃,包括第四至七章(組織背景、領導力、計劃、支持);D(Do)——實施和運作ISMS,實際地去完成計劃中的內容,包括第八章(運行);C(Check)——監視和評審ISMS,總結實施和運作的結果,查找問題,包括第九章(績效評價);A(Action)——保持和改進ISMS,對評審的結果做出處理,成功的經驗要進行保持和推廣,失敗的教訓要尋找原因,避免下次再出現同樣的錯誤,沒有解決的問題放到下一個PDCA循環中,包括第十章(改進)。
PDCA模型是管理學中常用的一個模型。該模型在運作過程中,按照P-D-C-A的順序依次進行,一次完整的循環可以看作是管理學上的一個管理周期,每經過一次循環,管理情況就會得到改善,同時進入更高的P-D-C-A周期循環,組織的管理體系不斷的得到提升,管理水平也不斷提高。
而這四個步驟成為一個閉環,通過這個環的不斷運轉,使信息安全管理體系得到持續改進,使信息安全績效螺旋上升。
新的內容將使企業的側重點不同,從上面的論述中明顯可以看出新標準在企業建立信息安全體系之前加重了對企業內外環境信息安全的重視,在構建信息安全體系之前需要企業全方位考慮其組織環境、企業資源、管理現狀,了解其發展所面臨的機遇與風險,從而高標準、高精度、高要求來對待信息安全管理工作。