ISO27001标准详解
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
ISMS的持续改进
PDCA方法 纠正和预防措施 内部审核 ISMS管理评审
PDCA(戴明环)
新设施管理程序
内部审核程序
第三方和外包管理规定 信息资产管理规定
工作环境安全管理规定
介质处理与安全规定
系统开发与维护程序 业务连续性管理程序
法律符合性管理规定
信息系统安全审计规定
文件及材料控制程序 安全事件处理流程
三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内
a) 建立信息安全方针; b) 确保信息安全目标和计划的建立; c) 为信息安全定岗并建立岗位职责; d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性,
业务需求安全需求影响现有业务需求的业务过程法律法规环境风险等级或和可接受风险水平对如何测量控制措施的有效性的改进73评审输出81持续改进82纠正措施83预防措施组织应通过信息安全方针安全目标审核结果监督事件的分析纠正和预防措施以及管理评审来持续改进isms的有效性81持续改进评审所采取的纠正措施82纠正措施评审所采取的预防措施83预防措施预防在过程策划和设计阶段控制预防与探测探测探测是被动的意图为探测发生的问题在过程输出阶段控制不增加价值成本很大顾客信心有限需要但远不是重点管理者承诺组织资源关注预防培训沟通参与系统评审isms的有效实施附录
Page 10
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于 整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针 目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套 更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门 的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工 程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
4. 2 建立和管理ISMS
4.2.1 建立ISMS(PLAN)
定义ISMS 的范围
定义ISMS 策略 定义系统的风险评估途径 识别风险
P
D
A
C
评估风险
识别并评价风险处理措施
选择用于风险处理的控制目标和控制
准备适用性声明(SoA)
取得管理层对残留风险的承认,并授权实施和操作ISMS
工作的细化。
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS
得以持续运行的有力证据,由各个相关部门自行维护。
Page 29
5 管理职责
5.1管理承诺 5.2资源管理
5.2.1提供资源 5.2.2培训、意识和能力
5.1 管理承诺
管理者应通过如下所示向ISMS的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据:
1 范围
1.1总则
本标准规定了在组织整体业务风险的范围内制定、实施、运 行、监控、评审、保持和改进文件化信息安全管理系统的要求
1.2应用
适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减,但条款4、5、6、7和8是不能删减的
2 引用标准
ISO/IEC 17799:2005 信息技术-安全技术-信息安 全管理实施指南
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
Page 14
0 引言
0.1总则 0.2过程方法
过程方法的定义:组织内各过程系统的应用,连同这些过程 的识别和相互作用及其管理,可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性: 理解业务信息安全要求以及建立信息安全方针和目标的需求 在管理组织的整体业务风险中实施并运作控制 监控并评审ISMS的绩效及有效性 在客观测量基础上持续改进
一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限
于此):
信息安全方针 风险评估报告 适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):
风险评估流程 序
风险管理流程
风险处理计划
管理评审程
信息设备管理程序
信息安全组织建设规定
全面管理体系的一部分,基于业务风险方法,旨在建立、 实施、运行、监控、评审、维持和改进信息安全
适用性声明
基于风险评估和风险处理过程的结果和结论,描述与组织 的信息安全管理体系相关并适用的控制目标和控制的文件
3 术语和定义(续)
残余风险
实施风险处置后仍旧残留的风险
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
4信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表
明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。
4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响
P
D
A
C
Page 25
4信息安全管理体系(续)
信息安全事件
已识别出的发生的系统、服务或网络状态表明可能违反 信息安全策略或防护措施失效的事件,或以前未知的与安全 相关的情况
3 术语和定义(续)
信息安全事故
信息安全事故是指一个或系列非期望的或非预期的信息安 全事件,这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。
信息安全管理体系(ISMS)
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
Page 27
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
第四层次
提供符合ISMS条款3.6要求的可感证据
安全手册
程
序Hale Waihona Puke 作业指导书 检查表、表格记录
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
Page 23
4信息安全管理体系(续)
4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源(参见5.2) 实施能够激发安全事件检测和响应的程序和控制
P
D
A
C
Page 24
4信息安全管理体系(续)
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险的 过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
4信息安全管理体系
4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保 持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休 哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。 1、P(Plan)--计划,确定方针和目标,确定活动计划; 2、D(Do)--执行,实地去做,实现计划中的内容; 3、C(Check)--检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)--行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
ISO27001标准详解
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展, 特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统 瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等 等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所 带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法 律损失:
Page 11
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
质量水平
P
D
A
C
螺旋上升的PDCA
Page 12
PDCA和ISMS的结合
Page 13
4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标
P
D
A
C
Page 26
4信息安全管理体系(续)
4.3 文件要求 总则 文件控制 记录控制
ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶 段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以, 在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
ISMS的持续改进
PDCA方法 纠正和预防措施 内部审核 ISMS管理评审
PDCA(戴明环)
新设施管理程序
内部审核程序
第三方和外包管理规定 信息资产管理规定
工作环境安全管理规定
介质处理与安全规定
系统开发与维护程序 业务连续性管理程序
法律符合性管理规定
信息系统安全审计规定
文件及材料控制程序 安全事件处理流程
三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内
a) 建立信息安全方针; b) 确保信息安全目标和计划的建立; c) 为信息安全定岗并建立岗位职责; d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性,
业务需求安全需求影响现有业务需求的业务过程法律法规环境风险等级或和可接受风险水平对如何测量控制措施的有效性的改进73评审输出81持续改进82纠正措施83预防措施组织应通过信息安全方针安全目标审核结果监督事件的分析纠正和预防措施以及管理评审来持续改进isms的有效性81持续改进评审所采取的纠正措施82纠正措施评审所采取的预防措施83预防措施预防在过程策划和设计阶段控制预防与探测探测探测是被动的意图为探测发生的问题在过程输出阶段控制不增加价值成本很大顾客信心有限需要但远不是重点管理者承诺组织资源关注预防培训沟通参与系统评审isms的有效实施附录
Page 10
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于 整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针 目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套 更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门 的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工 程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
4. 2 建立和管理ISMS
4.2.1 建立ISMS(PLAN)
定义ISMS 的范围
定义ISMS 策略 定义系统的风险评估途径 识别风险
P
D
A
C
评估风险
识别并评价风险处理措施
选择用于风险处理的控制目标和控制
准备适用性声明(SoA)
取得管理层对残留风险的承认,并授权实施和操作ISMS
工作的细化。
四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS
得以持续运行的有力证据,由各个相关部门自行维护。
Page 29
5 管理职责
5.1管理承诺 5.2资源管理
5.2.1提供资源 5.2.2培训、意识和能力
5.1 管理承诺
管理者应通过如下所示向ISMS的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据:
1 范围
1.1总则
本标准规定了在组织整体业务风险的范围内制定、实施、运 行、监控、评审、保持和改进文件化信息安全管理系统的要求
1.2应用
适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减,但条款4、5、6、7和8是不能删减的
2 引用标准
ISO/IEC 17799:2005 信息技术-安全技术-信息安 全管理实施指南
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
Page 14
0 引言
0.1总则 0.2过程方法
过程方法的定义:组织内各过程系统的应用,连同这些过程 的识别和相互作用及其管理,可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性: 理解业务信息安全要求以及建立信息安全方针和目标的需求 在管理组织的整体业务风险中实施并运作控制 监控并评审ISMS的绩效及有效性 在客观测量基础上持续改进
一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限
于此):
信息安全方针 风险评估报告 适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):
风险评估流程 序
风险管理流程
风险处理计划
管理评审程
信息设备管理程序
信息安全组织建设规定
全面管理体系的一部分,基于业务风险方法,旨在建立、 实施、运行、监控、评审、维持和改进信息安全
适用性声明
基于风险评估和风险处理过程的结果和结论,描述与组织 的信息安全管理体系相关并适用的控制目标和控制的文件
3 术语和定义(续)
残余风险
实施风险处置后仍旧残留的风险
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
4信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表
明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。
4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响
P
D
A
C
Page 25
4信息安全管理体系(续)
信息安全事件
已识别出的发生的系统、服务或网络状态表明可能违反 信息安全策略或防护措施失效的事件,或以前未知的与安全 相关的情况
3 术语和定义(续)
信息安全事故
信息安全事故是指一个或系列非期望的或非预期的信息安 全事件,这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。
信息安全管理体系(ISMS)
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
Page 27
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
第四层次
提供符合ISMS条款3.6要求的可感证据
安全手册
程
序Hale Waihona Puke 作业指导书 检查表、表格记录
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
Page 23
4信息安全管理体系(续)
4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源(参见5.2) 实施能够激发安全事件检测和响应的程序和控制
P
D
A
C
Page 24
4信息安全管理体系(续)
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险的 过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
4信息安全管理体系
4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保 持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休 哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。 1、P(Plan)--计划,确定方针和目标,确定活动计划; 2、D(Do)--执行,实地去做,实现计划中的内容; 3、C(Check)--检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)--行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
ISO27001标准详解
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展, 特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统 瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等 等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所 带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法 律损失:
Page 11
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
质量水平
P
D
A
C
螺旋上升的PDCA
Page 12
PDCA和ISMS的结合
Page 13
4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标
P
D
A
C
Page 26
4信息安全管理体系(续)
4.3 文件要求 总则 文件控制 记录控制
ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶 段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以, 在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。