热门搜索:ISO9000 ISO14000 OHSAS18000 ISO27001 ISO20000 IATF16949 ISO22000 GJB9001 ISO13485 CCC HSE SA8000
你当前所在的位置:首页 >> 文章内容

过程方法与PDCA过程模式

系统地识别和管理组织所应用的过程以及过程之间的相互作用,称为“过程方法”。所谓“过程”是一组将输入转化为输出的相互关联或相互作用的活动。ISO27001采用过程方法建立信息安全管理体系可以保证该体系得到顺利地建立、实施、维持和持续改进,并且能够保证和质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等兼容,降低了管理的总体复杂程度。
过程方法鼓励其用户关注下列内容的重要性:
□  了解信息安全要求,以及为信息安全建立方针和目标的需求;
□  实施并运作管理组织所有业务风险的控制;
□ 监控并评审信息安全管理体系的效率和效果;
□  在目标测量的基础上持续改进。
PDCA模式是被质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等管理体系所广泛采用的一种过程模式,这种模式在识别和运作过程时,把过程分为策划(Plan)、实施(Do)、检查(Check)、处置(Act)四个阶段,通过这四个阶段的持续循环,使过程效果得到不断提升。
ISO27001采用PDCA过程模式,在体系的整体建立、实施、维持和持续改进的大过程中PDCA的阶段分布可描述如下:
P 策划(建立ISMS)
建立与管理风险和改进信息安全有关的信息安全管理体系方针、目标、过程和程序,提供与组织整体策略方针和目标相一致的结果。策划阶段,组织应:
□  定义ISMS的范围和方针;
□  定义风险评估的系统性方法;
□  识别风险;
□  应用组织确定的系统性方法评估风险;
□  识别并评估可选的风险处理方式;
□  选择控制目标与控制方式;
□  当决定接受剩余风险时应获得管理者同意,并获得管理者授权开始运行信息安全管理体系。
D 实施(实施和运行ISMS)
实施和运行信息安全方针、控制措施、过程和程序。实施阶段,组织应该实施选择的控制,包括:
□  实施特定的管理程序;
□  实施所选择的控制;
□  运作管理;
□  实施能够促进安全事件检测和响应的程序和其他控制。
C检查(监视和评审ISMS):对照信息安全管理体系方针、目标和实践经验,评估并在适当时,测量过程业绩,并将结果报告管理者以供评审。检查阶段,组织应:
□  执行程序,检测错误和违背方针的行为;
□  定期评审ISMS的有效性;
□  评审剩余风险和可接受风险的等级;
□  执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是否按照预期的目的进行工作;
□  定期对ISMS进行正式评审,以确保范围保持充分性,以及ISMS过程的持续改进得到识别并实施;
□  记录并报告所有活动和事件。
A 处置(保持和改进ISMS):在信息安全管理体系内部审核和管理评审结果的基础上,采取纠正和预防措施,以持续改进信息安全管理体系。改进措施阶段,组织应:
□  测量ISMS绩效;
□  识别ISMS的改进措施,并有效实施;
□  采取适当的纠正和预防措施;
□  与涉及到的所有相关方磋商、沟通结果及其措施;
□  必要时修改ISMS,确保修改达到既定的目标。