(新安全生产)PDCA过程模式在信息安全管理体系的应用
信息安全管理体系简介
信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。
BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
2005年6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了 BS7799-2:2002《信息安全管理体系规范》。
2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
ISO 27001发展历程简要归纳如下:n 1993年,BS 7799标准由英国贸易工业部立项。
PDCA过程模式在信息安全管理体系的应用
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式策划:实施:检查:措施:二、应用PDCA 建立、保持信息安全管理体系P—建立信息安全管理体系环境&风险评估1.确定范围和方针2、定义风险评估的系统性方法3、识别风险4、评估风险5、识别并评价风险处理的方法6、为风险的处理选择控制目标与控制方式7、获得最高管理者的授权批准D—实施并运行信息安全管理体系C—监视并评审信息安全管理体系检查阶段管理者应该确保有证据证明:A—改进信息安全管理体系展开编辑本段信息安全管理体系BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
编辑本段编写信息安全管理体系文件的主要依据简述组织对信息安全管理体系的采用是一个战略决定。
因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。
1)信息安全管理体系标准:要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》2)相关法律、法规及其他要求;3)组织现行的安全控制惯例、规章、制度包括规范和作业指导书等;4)现有其他相关管理体系文件。
[编辑]编辑本段编写信息安全管理体系程序文件应遵循的原则在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;程序文件应简练、明确和易懂,使其具有可操作性和可检查性;程序文件应保持统一的结构与编排格式,便于文件的理解与使用。
PDCA在医院网络信息安全管理中的实践应用
PDCA在医院网络信息安全管理中的实践应用
张轶锋;赵晴峰;蔡俊杰;毛自强
【期刊名称】《中国医院建筑与装备》
【年(卷),期】2024(25)1
【摘要】调查分析了2020年全年及2021年3月浙江省肿瘤医院网络信息设备的网络安全数据;运用PDCA(Plan、Do、Check、Action)循环法,针对问题提出对策,在2021年3月至11月期间,通过头脑风暴、修订制度、配置网络安全设备等办法,对院内网络信息安全问题进行了全面的管控。
实践效果表明,PDCA循环法是医院网络信息安全管理的有效方法。
【总页数】4页(P57-60)
【作者】张轶锋;赵晴峰;蔡俊杰;毛自强
【作者单位】浙江省肿瘤医院
【正文语种】中文
【中图分类】R197
【相关文献】
1.PDCA循环在医院护理安全管理中的应用方法及效果观察
2.PDCA循环法在医院病区药品质量安全管理中的应用探讨
3.信息安全管理系列专题之六——PDCA过程模式在信息安全管理体系的应用
4.PDCA在基层医院护理安全管理中的应用与探讨
5.PDCA循环法应用于医院特种设备质量安全管理中的价值研究
因版权原因,仅展示原文概要,查看原文内容请购买。
OHSMS职业健康安全管理体系注册审核员《基础知识》真题练习(四)
OHSMS职业健康安全管理体系注册审核员《基础知识》真题练习(四)第一大题单项选择题第1题:D=LEC打分方法属于()风险评价方法。
(A)定性(B)相对(C)概率(D)故障树【正确答案】:B第2题:依据《生产经营单位安全培训规定》,加工、制造业等生产单位的其他从业人员,在上岗前必须经()三级安全培训教育。
(A)国家、行业、地方(B)省(直辖市)、市、县(C)厂(矿)、车间(工段、区、队)、班组(D)企业、部门、岗位【正确答案】:C第3题:以下哪项不是预防间接电击事故的措施()(A)保护接地(B)保护接零(C)屏护(D)安装漏电保护器【正确答案】:C第4题:对()的人员应有相应的工作能力要求,并对其能力作出规定。
(A)从事OHSMS工作有影响(B)其工作可能影响工作场所内OHSMS(C)其工作可能影响OHSMS(D)以上都正确【正确答案】:B第5题:下列哪项措施不可用于防止直接电击伤害事故?()(A)保护接地(B)绝缘(C)使用50伏的低压电(D)安装漏电保护器【正确答案】:C第6题:生产企业采购,租赁的安全防护用具,机械设备、施工机具及配件应当在进入生产现场前进行()。
(A)价格检查(B)定期检查(C)验收(D)包装【正确答案】:C第7题:主动绩效监测的目的是()。
(A)监测管理方案与运行准则的实施与符合情况(B)监测事故发生情况(C)监测职业病发病情况(D)监测体系失效情况【正确答案】:A第8题:ISO45001-2018标准规定了对职业健康安全管理体系的()。
(A)规范(B)要求及操作指南(C)要求及使用指南(D)指南【正确答案】:C第9题:职业健康安全目标是组织为了实现()依据职业健康安全方针制定的目标。
(A)预期结果(B)具体的结果(C)安全机遇(D)职业健康安全绩效【正确答案】:B第10题:组织应确定与其宗旨相关并影响其实现职业健康安全管理体系()的能力的外部和内部问题(A)预期结果(B)具体的结果(C)安全机遇(D)职业健康安全绩效【正确答案】:A第11题:风险控制策划时原则上应首先()。
PDCA循环法的作用
PDCA循环又叫戴明环,是美国质量管理专家戴明博士提出的,它是全面质量管理所应遵循的科学程序。
全面质量管理活动的全部过程,就是质量计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。
目录基本简介PDCA循环PDCA循环又叫质量环,是管理学中的一个通用模型,最早由休哈特(Walter A. Shewhart)于1930年构想,后来被美国质量管理专家戴明(Edwards Deming)博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程中。
它是全面质量管理所应遵循的科学程序。
全面质量管理活动的全部过程,就是质量计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。
分析说明PDCA循环PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序,特别是在质量管理中得到了广泛的应用。
P、D、C、A四个英文字母所代表的意义如下:① P(Plan)——计划。
包括方针和目标的确定以及活动计划的制定;② D(DO)——执行。
执行就是具体运作,实现计划中的内容;③ C(Check)——检查。
就是要总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;④A(Act)——行动(或处理)。
对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。
对于没有解决的问题,应提给下一个PDCA循环中去解决。
PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Act(行动)的第一个字母,PDCA循环就是按照这样的顺序进行质量管理,并且循环不止地进行下去的科学程序。
全面质量管理活动的运转,离不开管理循环的转动,这就是说,改进与解决质量问题,赶超先进水平的各项工作,都要运用PDCA循环的科学程序。
不论提高产品质量,还是减少不合格品,都要先提出目标,即质量提高到什么程度,不合格品率降低多少?就要有个计划;这个计划不仅包括目标,而且也包括实现这个目标需要采取的措施;计划制定之后,就要按照计划进行检查,看是否达实现了预期效果,有没有达到预期的目标;通过检查找出问题和原因;最后就要进行处理,将经验和教训制订成标准、形成制度。
什么是安全管理体系的PDCA循环
什么是安全管理体系的PDCA循环在当今复杂多变的工作环境中,保障人员的安全和健康,预防事故的发生,是每个组织都必须高度重视的问题。
而安全管理体系的PDCA 循环,作为一种科学有效的管理方法,为实现这一目标提供了有力的支持。
PDCA 循环,即计划(Plan)、执行(Do)、检查(Check)和处理(Act),是一个持续改进的动态循环过程。
它不仅仅适用于安全管理,在许多其他领域也被广泛应用,因为其简单而强大的逻辑,能够帮助组织不断优化工作流程,提高工作质量和效率。
首先,让我们来看看“计划(Plan)”阶段。
这是整个 PDCA 循环的起点,也是至关重要的一步。
在这个阶段,我们需要对安全管理的目标进行明确的设定,并分析当前的安全状况,找出存在的问题和潜在的风险。
比如说,一个工厂要制定安全管理计划,就需要考虑生产过程中可能出现的机械故障、火灾隐患、员工操作不当等各种风险因素。
通过收集相关的数据和信息,进行风险评估,确定哪些环节是最需要关注和改进的。
然后,根据这些分析结果,制定出具体的安全策略和行动计划,包括制定安全规章制度、安排培训课程、配备必要的安全设备等。
计划阶段的工作要做得细致、全面,为后续的执行阶段打下坚实的基础。
接下来是“执行(Do)”阶段。
有了详细的计划,就需要将其付诸实践。
在这个阶段,要按照预定的计划和措施,认真地去执行。
对于前面提到的工厂,这可能意味着对员工进行安全培训,让他们了解新的安全规章制度和操作流程;安装和维护安全设备,确保其正常运行;监督员工的日常工作,确保他们遵守安全规定。
执行阶段需要全体员工的积极参与和配合,只有每个人都认真履行自己的安全职责,才能使安全管理措施真正落到实处。
然后是“检查(Check)”阶段。
在执行了安全管理措施之后,需要对其效果进行检查和评估。
这就像是对工作进行一次“体检”,看看我们的计划和执行是否达到了预期的目标。
检查的内容包括安全目标的完成情况、各项安全措施的执行效果、是否还存在新的安全隐患等。
信息安全管理体系(1)
2.4
24
1、信息平安管理的作用 2、信息平安管理的开展 3、信息平安管理有关标准 4、成功实施信息平安管理的关键
2.5
25
保险柜就一定平安吗?
❖ 如果你把钥匙落在锁眼上会怎样?
❖ 技术措施需要配合正确的使用才能发 挥作用
2.6
26
1、信息平安管理的作用
服务器
防火墙能解决这样的问题吗?
脆弱性、防护措施、影响、可能性 理解风险评估是信息平安管理工作的根底 理解风险处置是信息平安管理工作的核心 知识子域: 信息平安管理控制措施的概念和作
用 理解平安管理控制措施是管理风险的具体手段 了解11个根本平安管理控制措施的根本内容
3.
3
一、信息平安管理概述 二、信息平安管理体系 三、信息平安管理体系建立 四、信息平安管理控制标准
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
.
27
1、信息平安管理的作用
信息系统是人机交互系统
程应 对 风 险 需 要 人 为 的 管 理 过
设备的有效利用是人为的管理过 程
“坚持管理与技术并重〞是我国加 强信息平安保障工作的主要原那么
.
28
ISO/IEC TR 13335 国际标准化组织在信息平安管理方面,早在
PDCA也称“戴明环〞,由美国质量管理专家 戴明提出。
P〔Plan〕:方案,确定方针和目标,确定活 动方案;
强调全过程和动态控制,本着控制费用与风险平衡的原
那么合理选择平安控制方式;强调保护组织所拥有的关
键性信息资产,而不是全部信息资产,确保信息的保密
信息安全管理体系规范及使用指南
信息安全管理体系规X与使用指南BS 7799-2:2002中安质环认证中心质量总监周韵笙(译)附录B(信息性)本标准的使用指南B.1 总论B.1.1 PDCA模式建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。
此处所述的过程模式遵循一个连续的活动循环:策划、实施、检查和处理。
这可称之为一个有效验的循环,因为它的目的是确保你的组织的最佳做法是形成文件的,强化的并随时得到改进的。
B.1.2策划和实施持续改进的过程常需初次投资,包括:把做法形成文件,把风险管理的方法正规化,确定评审与分配资源的方法等。
这些活动用来启动循环。
它们不需在评审阶段积极开展之前全部就完成。
策划阶段用来确保ISMS的内容与X围已正确建立,信息安全风险已经评价,适当处理这些风险的计划已经编制,实施阶段则用来实施策划阶段已定决策与已识别的解决方案。
B.1.3 检查和处置检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。
评审可在任何时间和频度下进行,取决于对所考虑的情况是否是最适合的。
在有些系统中,它们可以建入计算机化的过程中以便立刻操作和反应。
其它的过程只需在有安全故障时,对受保护的信息财产进行改变或增加时,以与威胁和脆弱性发生改变时才作出反应。
最后需要进行每年或其它周期性的评审或审核,以确保整个管理体系正在实现其目标。
B.1.4 控制总结组织可能发现有一个控制总结(SOC)是有得的,SOC与组织的ISMS有关,而且是适用的。
这可以改善业务关系,例如通过提供一个适当的SOC(控制总结)而进行电子外包。
SOC可以饮食敏感信息,因此当使SOC内外部都可使用时,应以适合于接收者的方式小心对待。
注:SOC不是SOA的替代(见4.2.1h)。
SOA对于认证来说是强制性要求。
B.2 策划(Plan)阶段B.2.1 引言PDCA循环中的策划活动是为确保ISMS的内容和X围已正确建立,所有信息安全风险均已识别并评定,对这些风险的适当处理的计划已经编制而设计的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(新安全生产)PDCA过程模式在信息安全管理体系的应用PDCA过程模式在信息安全管理体系的应用科飞管理咨询有限公司吴昌伦王毅刚BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分《信息安全管理体系规范》,是组织评价信息安全管理体系有效性、符合性的依据。
它的最新版本(BS7799-2:2002)是2002年9月5日修订的,引入了PDCA (Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其有效性的方法。
PDCA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。
依据BS7799-2:2002建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;2、在管理组织整体业务风险背景下实施和运行控制;3、监控并评审信息安全管理体系的业绩和有效性;4、在目标测量的基础上持续改进。
BS7799-2:2002的PDCA过程模式BS7799-2:2002所采用的过程模式如图1所示,“计划-实施-检查-措施”四个步骤可以应用于所有过程。
PDCA过程模式可简单描述如下:图1PDCA过程模式◆策划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
◆实施:实施和运作方针(过程和程序)。
◆检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
◆措施:采取纠正和预防措施进一步提高过程业绩。
四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(performance)螺旋上升。
应用PDCA建立、保持信息安全管理体系P(策划)—建立信息安全管理体系环境(context)&风险评估要启动PDCA循环,必须有“启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。
设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划。
策划阶段的所有重要活动都要被文件化,以备将来追溯和控制更改情况。
1.确定范围和方针信息安全管理体系可以覆盖组织的全部或者部分。
无论是全部还是部分,组织都必须明确界定体系的范围,如果体系仅涵盖组织的一部分这就变得更重要了。
组织需要文件化信息安全管理体系的范围,信息安全管理体系范围文件应该涵盖:a.确立信息安全管理体系范围和体系环境所需的过程;b.战略性和组织化的信息安全管理环境;c.组织的信息安全风险管理方法;d.信息安全风险评价标准以及所要求的保证程度;e.信息资产识别的范围。
信息安全管理体系也可能在其他信息安全管理体系的控制范围内。
在这种情况下,上下级控制的关系有下列两种可能:◆下级信息安全管理体系不使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动;◆下级信息安全管理体系使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。
尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动,但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。
安全方针是关于在一个组织内,指导如何对信息资产进行管理、保护和分配的规则、指示,是组织信息安全管理体系的基本法。
组织的信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2、定义风险评估的系统性方法确定信息安全风险评估方法,并确定风险等级准则。
评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。
组织需要建立风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境,介绍所采用的技术和工具,以及使用这些技术和工具的原因。
评估文件还应该规范下列评估细节:a.信息安全管理体系内资产的估价,包括所用的价值尺度信息;b.威胁及薄弱点的识别;c.可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;d.以风险评估结果为基础的风险计算,以及剩余风险的识别。
3、识别风险识别信息安全管理体系控制范围内的信息资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性丢失对这些资产的潜在影响。
4、评估风险根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据与资产相关的主要威胁、薄弱点及其影响,以及目前实施的控制,评估此类失败发生的现实可能性;根据既定的风险等级准则,确定风险等级。
5、识别并评价风险处理的方法对于所识别的信息安全风险,组织需要加以分析,区别对待。
如果风险满足组织的风险接受方针和准则,那么就有意的、客观的接受风险;对于不可接受的风险组织可以考虑避免风险或者将转移风险;对于不可避免也不可转移的风险应该采取适当的安全控制,将其降低到可接受的水平。
6、为风险的处理选择控制目标与控制方式选择并文件化控制目标和控制方式,以将风险降低到可接受的等级。
BS7799-2:2002附录A提供了可供选择的控制目标与控制方式。
不可能总是以可接受的费用将风险降低到可接受的等级,那么需要确定是增加额外的控制,还是接受高风险。
在设定可接受的风险等级时,控制的强度和费用应该与事故的潜在费用相比较。
这个阶段还应该策划安全破坏或者违背的探测机制,进而安排预防、制止、限制和恢复控制。
在形式上,组织可以通过设计风险处理计划来完成步骤5和6。
风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是组织安全风险和控制措施的接口性文档。
风险处理计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。
这个计划至少应该为每一个信息安全风险阐明以下内容:组织所选择的处理方法;已经到位的控制;建议采取的额外措施;建议的控制的实施时间框架。
7、获得最高管理者的授权批准剩余风险(residualrisks)的建议应该获得批准,开始实施和运作信息安全管理体系需要获得最高管理者的授权。
D(实施)—实施并运行信息安全管理体系PDCA循环中这个阶段的任务是以适当的优先权进行管理运作,执行所选择的控制,以管理策划阶段所识别的信息安全风险。
对于那些被评估认为是可接受的风险,不需要采取进一步的措施。
对于不可接受风险,需要实施所选择的控制,这应该与策划活动中准备的风险处理计划同步进行。
计划的成功实施需要有一个有效的管理系统,其中要规定所选择方法、分配职责和职责分离,并且要依据规定的方式方法监控这些活动。
在不可接受的风险被降低或转移之后,还会有一部分剩余风险。
应对这部分风险进行控制,确保不期望的影响和破坏被快速识别并得到适当管理。
本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。
这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。
提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。
如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。
本阶段还应该实施并保持策划了的探测和响应机制。
C(检查)—监视并评审信息安全管理体系检查阶段,又叫学习阶段,是PDCA循环的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。
如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。
组织应该通过多种方式检查信息安全管理体系是否运行良好,并对其业绩进行监视,可能包括下列管理过程:1、执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。
2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。
3、评审剩余风险和可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的合理性。
4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。
审核的就是按照规定的周期(最多不超过一年)检查信息安全管理体系的所有方面是否行之有效。
审核的依据包括BS7799-2:2002标准和组织所发布的信息安全管理程序。
应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。
管理者应该确保有证据证明:a.信息安全方针仍然是业务要求的正确反映;b.正在遵循文件化的程序(信息安全管理体系范围内),并且能够满足其期望的目标;c.有适当的技术控制(例如防火墙、实物访问控制),被正确的配置,且行之有效;d.剩余风险已被正确评估,并且是组织管理可以接受的;e.前期审核和评审所认同的措施已经被实施;审核会包括对文件和记录的抽样检查,以及口头审核管理者和员工。
5、正式评审:为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审(最少一年评审一次)。
6、记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。
A(措施)—改进信息安全管理体系经过了策划、实施、检查之后,组织在措施阶段必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,这就开始了新一轮的PDCA循环。
在这个过程中组织可能持续的进行一下操作:a.测量信息安全管理体系满足安全方针和目标方面的业绩。
b.识别信息安全管理体系的改进,并有效实施。
c.采取适当的纠正和预防措施。
d.沟通结果及活动,并与所有相关方磋商。
e.必要时修订信息安全管理体系。
f.确保修订达到预期的目标。
在这个阶段需要注意的是,很多看起来单纯的、孤立的事件,如果不及时处理就可能对整个组织产生影响,所采取的措施不仅具有直接的效果,还可能带来深远的影响。
组织需要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于眼前的问题,还要杜绝类似事故再发生或者降低其在放生的可能性。