分类:
2009-05-04 13:22:47
随着信息技术的迅猛发展,信息安全已成为一个现代企业管理中不容忽视的问题,信息安全管理体系(ISMS)也广泛应用于各企事业中。
而ISO27001:2005作为信息安全管理体系的国际标准,为建立、实施、运行、监视、评审、保持和改进ISMS提供了一套详实可靠的规范体系。
ISO27001以风险评估为基础,强调对法律法规的符合性,并采用了“规范(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型,该模型适用于所有的ISMS过程。并与其他管理标准有极强的兼容性。
应用于ISMS过程的PDCA模型
Plan规划(建立ISMS):建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织整体方针和目标相一致的结果。
Do实施(实施和运行ISMS):实施和运行ISMS方针、控制措施、过程和程序。
Check检查(监视和评审ISMS):对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。
Act处置(保持和改进ISMS):基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS