杭州貝安企業(yè)管理咨詢公司
Hangzhou Beian Mangement Co.,Ltd
iso27000對軟件行業(yè)的信息安全的解讀-杭州貝安企業(yè)管理咨詢公司
2021-09-09 來源:
目前互聯(lián)網行業(yè)發(fā)展迅速,越來越多的企業(yè)進行企業(yè)內部的信息安全認證,通過這一證書,不僅可以向客戶等一些相關方證實自己企業(yè)的實力,還可以更優(yōu)化與企業(yè)內部的管理。
隨著2013年發(fā)布的ISO27000的改版,各行各業(yè)勢必會根據自身信息安全的情況對信息安全體系作出調整。
本文將針對軟件行業(yè)在調整下的信息安全管理體系下,如何更好地保持和改進信息安全體系作出解讀,使企業(yè)更好地依據標準體系和方法論,制定出符合企業(yè)長久發(fā)展的信息安全管理體系。
關于PDCA模型:
此處對于PDCA模型以及新版標準的劃分做一簡單說明:PDCA模式是國際認可的模型,很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架,每個階段都與其他階段相關聯(lián)。
PDCA模型分別由四部分組成:P(Plan)——建立ISMS,根據組織的整體策略和目標,確定活動的計劃,包括第四至七章(組織背景、領導力、計劃、支持);D(Do)——實施和運作ISMS,實際地去完成計劃中的內容,包括第八章(運行);C(Check)——監(jiān)視和評審ISMS,總結實施和運作的結果,查找問題,包括第九章(績效評價);A(Action)——保持和改進ISMS,對評審的結果做出處理,成功的經驗要進行保持和推廣,失敗的教訓要尋找原因,避免下次再出現(xiàn)同樣的錯誤,沒有解決的問題放到下一個PDCA循環(huán)中,包括第十章(改進)。
PDCA模型是管理學中常用的一個模型。該模型在運作過程中,按照P-D-C-A的順序依次進行,一次完整的循環(huán)可以看作是管理學上的一個管理周期,每經過一次循環(huán),管理情況就會得到改善,同時進入更高的P-D-C-A周期循環(huán),組織的管理體系不斷的得到提升,管理水平也不斷提高。
而這四個步驟成為一個閉環(huán),通過這個環(huán)的不斷運轉,使信息安全管理體系得到持續(xù)改進,使信息安全績效螺旋上升。
新的內容將使企業(yè)的側重點不同,從上面的論述中明顯可以看出新標準在企業(yè)建立信息安全體系之前加重了對企業(yè)內外環(huán)境信息安全的重視,在構建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀,了解其發(fā)展所面臨的機遇與風險,從而高標準、高精度、高要求來對待信息安全管理工作。
