本章需掌握知识点:
- 信息安全管理体系成功因素
- 理解GB/T 29246-2017中描述的信息安全管理体系成功的主要因素
- 理解信息安全管理体系的概念
- PDCA过程
- 理解PDCA过程模型的构成及作用
- 了解ISO/IEC 27001:2013中定义的PDCA过程方法四个阶段工作
一、信息安全管理体系概念
- 信息安全管理体系,是
- 组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程、资源的集合。 | 编号 | 标准号 | 发布时间 | 名称 | 备注 | | —- | —- | —- | —- | —- | | 1 | ISO/IEC 27000 | 2018.02 | 信息安全管理体系 – 综述和词汇(Information security management systems – Overview and vocabulary) | 描述了ISO/IEC 27000标准族的整体结构和范围,并给出了术语表 | | 2 | ISO/IEC 27001 | 2013.10 | 信息安全管理体系 – 要求(Information security management systems - Requirements) | 正式地指明ISMS的要求,组织可依据该标准认证符合性 | | 3 | ISO/IEC 27002 | 2013.10 | 信息安全控制实用规则(Code of practice for information security control) | 一整套信息安全控制目标和普遍接受的控制最佳实践的列表 | | 4 | ISO/IEC 27003 | 2017.03 | 信息安全管理体系实施指南(Information security management system implementation guidance) | 提供了ISO/IEC 27001的解释和实施的程序化指导 | | 5 | ISO/IEC 27004 | 2016.12 | 信息安全管理 – 测量(Information security management - Measurement) | 关于安全度量的有用建议 | | 6 | ISO/IEC 27005 | 2018.07 | 信息安全风险管理(Information security risk management) | 通用的信息安全风险管理方法 | | 7 | ISO/IEC 27006 | 2015.10 | 信息安全管理体系审核和认证机构要求(Requirements for bodies providing audit and certification of information security management systems) | 对审核和认证机构提出要求,提供指导 |
二、信息安全管理体系建设成功的因素
- 信息安全策略、目标和与目标一致的活动
- 与组织文化一致的,信息安全设计、实施、监视、保持、改进的方法与框架
- 来自所有管理层级、特别是最高管理者的可见支持和承诺
- 对应用信息安全风险管理(见ISO/IEC 27005)实现信息资产保护的理解
- 有效的信息安全意识、培训和教育计划,已使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务,并激励他们做出相应的行动
- 有效的信息安全事件管理过程
- 有效的业务持续性管理方法
- 评价信息安全管理性能的测量系统和反馈的改进建议
三、PDCA过程方法
- PDCA过程方法,是管理学常用的过程模型
- P(Plan):计划
- D(Do):实施
- C(check):检查
- A(Act):行动
- 按照PDCA进行循环,大环套小环,持续改进
- PDCA是27001定义的过程方法
- 27001中定义的PDCA过程方法阶段工作(请务必能默写出下图)
若有收获,就点个赞吧
0 人点赞
