ISO27000中的PDCA四個(gè)階段

時(shí)間：2020-08-24作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：155

策劃階段，組織應(yīng)： 
定義ISMS的范圍和方針； 
定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法； 
識(shí)別風(fēng)險(xiǎn)； 
應(yīng)用組織確定的系統(tǒng)性方法評(píng)估風(fēng)險(xiǎn)； 
識(shí)別并評(píng)估可選的風(fēng)險(xiǎn)處理方式； 
選擇控制目標(biāo)與控制方式； 
當(dāng)決定接受剩余風(fēng)險(xiǎn)時(shí)應(yīng)獲得管理者同意，并獲得管理者授權(quán)開始運(yùn)行 信息安全管理體系。 

實(shí)施階段，組織應(yīng)該實(shí)施選擇的控制，包括： 
實(shí)施特定的管理程序； 
實(shí)施所選擇的控制； 
運(yùn)作管理； 
實(shí)施能夠促進(jìn)安全事件檢測(cè)和響應(yīng)的程序和其他控制。 

檢查階段，組織應(yīng)： 
執(zhí)行程序，檢測(cè)錯(cuò)誤和違背方針的行為 ； 
定期評(píng)審ISMS的有效性； 
評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)； 
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng)，是否符合標(biāo)準(zhǔn)，以及是 否按照預(yù)期的目的進(jìn)行工作； 
定期對(duì)ISMS進(jìn)行正式評(píng)審，以確保范圍保持充分性，以及ISMS過程的持續(xù)改進(jìn)得到識(shí)別并實(shí)施； 
記錄并 報(bào)告所有活動(dòng)和事件。 

改進(jìn)措施階段，組織應(yīng)： 
測(cè)量ISMS績(jī)效； 
識(shí)別ISMS的改進(jìn)措施，并有效實(shí)施； 
采取適當(dāng)?shù)募m正和預(yù)防措施； 
與涉及到的所有相關(guān)方磋商、溝通結(jié)果及其措施； 
必要時(shí)修改ISMS，確保修改達(dá)到既定的目標(biāo)。 

ISMS：ISMS（Information Security Management System）是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后，又產(chǎn)生的一個(gè)管理體系標(biāo)準(zhǔn)— 信息安全管理體系標(biāo)準(zhǔn)。 
　　信息安全就是組織應(yīng)明確需要保護(hù)的信息資源，確保信息的機(jī)密性、完整性和 可用性，并保持良好的協(xié)調(diào)狀態(tài)。信息安全對(duì)企業(yè)經(jīng)營(yíng)非常重要，為了防止信息安全事故或事件的發(fā)生，盡管在技術(shù)方面采取了* 墻和入侵監(jiān)測(cè)系統(tǒng)，但是人為因素造成的信息機(jī)密流失仍然占有很高的比率（據(jù)說約70%）。因此，建立信息安全管理體系十分必要。 
　　為了建立、實(shí)施和保持信息安全管理體系，首先應(yīng)策劃信息安全管理體系的方針和目標(biāo)， 
識(shí)別、分類和 清理信息資源，根據(jù)其危險(xiǎn)程度、薄弱環(huán)節(jié)和發(fā)生頻次，實(shí)施風(fēng)險(xiǎn)控制，包括回避、轉(zhuǎn)移、控制和消除風(fēng)險(xiǎn)。按PDCA循環(huán)模式，建立 信息安全管理體系。建立信息安全管理體系共有8個(gè)階段。包括確定ISMS適用范圍、策劃ISMS方針目標(biāo)、策劃風(fēng)險(xiǎn)控制的過程、識(shí)別和 評(píng)估風(fēng)險(xiǎn)、對(duì)風(fēng)險(xiǎn)控制現(xiàn)狀分析、選擇和制訂管理方案、識(shí)別存在的遺留風(fēng)險(xiǎn)和正式實(shí)施ISMS。 
　　用于ISMS認(rèn)證的標(biāo)準(zhǔn)有ISO/IEC17799:2000和BS7799-2:1999。據(jù)說，到2003年8月15日止，按BS7799認(rèn)證的企業(yè)全世界共有282家，其中中國(guó)有5家。英國(guó)較多，有99家。ISO/IEC JTC1/SC27正在對(duì)ISO/IEC17799:2000進(jìn)行修訂。預(yù)計(jì)2004或2005年正式發(fā)布修訂版本。采用 ISO/IE　C17799建立ISMS，并**認(rèn)證的好處在于能夠建立完善的信息安全管理體系，從管理角度防止信息系統(tǒng)出現(xiàn)安全事故或事件 ；對(duì)外樹立信息系統(tǒng)可靠性形象，滿足顧客要求，提高企業(yè)競(jìng)爭(zhēng)能力。認(rèn)證的范圍適合于所有類型和規(guī)模的組織，特別是涉及個(gè)人信 息保護(hù)的組織，例如金融、通訊、醫(yī)療、社區(qū)管理、電子商務(wù)和電子政務(wù)等。

如您想較詳細(xì)的了解更多認(rèn)證資訊，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO45001認(rèn)證常見問題

  1、ISO認(rèn)證證書有效期多久，可隨時(shí)更換認(rèn)證機(jī)構(gòu)嗎？ ISO認(rèn)證證書的有效期是3年，**拿到證書叫初次審核，審核通過頒發(fā)證書。然后是監(jiān)督審核，每年一次。如果不監(jiān)督，認(rèn)證機(jī)構(gòu)可以對(duì)企業(yè)的證書進(jìn)行暫停，暫停后企業(yè)的ISO證書就失效了。最后一年交復(fù)評(píng)，也就是再認(rèn)證。重新審核后，頒發(fā)的新的證書。三年到期可換證審核 如果原ISO證書已經(jīng)到期，或者原認(rèn)證機(jī)構(gòu)被暫停認(rèn)證資格，企業(yè)可以轉(zhuǎn)換到別的認(rèn)證機(jī)構(gòu)。 如果I

• ISO27001認(rèn)證審核費(fèi)用及周期

  除了組織自身投入之外，ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來確定的，決定因素包括： 1、受審核組織的員工數(shù)量； 2、納入審核范圍的信息量； 3、場(chǎng)所數(shù)量； 4、組織與外界的關(guān)聯(lián)； 5、組織 IT 的復(fù)雜性； 6、組織類型和業(yè)務(wù)性質(zhì)等。

• ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估

  ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估，是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提，為了保證評(píng)估過程的可控性以及評(píng)估結(jié)果的客觀性，在信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)進(jìn)行充分的準(zhǔn)備和計(jì)劃信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)包括： (1)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo) 在ISO27001信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)，為信息安全風(fēng)險(xiǎn)評(píng)估的過程提供導(dǎo)向。信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求，通過分析

• ISO20000-策劃信息服務(wù)管理體系

  1、所需活動(dòng) 組織創(chuàng)建、實(shí)施和維護(hù)反映服務(wù)管理方針、目標(biāo)和服務(wù)需求的信息服務(wù)管理計(jì)劃。 2、說明 此活動(dòng)的目的是計(jì)劃信息服務(wù)管理體系，并在信息服務(wù)管理計(jì)劃中描述其設(shè)計(jì)，該計(jì)劃將有助于理解信息服務(wù)管理體系，以支持服務(wù)的交付。 該計(jì)劃與信息服務(wù)管理方針保持一致，并概述了如何在組織內(nèi)實(shí)施信息服務(wù)管理體系。信息服務(wù)管理計(jì)劃的關(guān)鍵輸入（除了服務(wù)管理方針外）包括服務(wù)管理目標(biāo)、業(yè)務(wù)策略和服務(wù)需求。 組織將計(jì)劃傳