前言:ISO,ISO认证管理体系
信息安全管理体系的特点
BS7799(ISO27001)标准要求基于 PDCA 管理模型来建立和维护信息安全管理体系(ISMS)。
BS7799-2:2002 标准中,明确指出 ISMS 系统一定要符合 PDCA「规划—实施—审核—行动(Plan–Do--Check--Action)」的循环,透过这样的方式运行,以达到信息安全管理控制的目的。
为了实现 ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;
解决方案是否有效?是否有新的变化?
应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进 ISMS。
通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。