ISO27000中的PDCA四个阶段

时间：2020-08-24作者：广汇联合（北京）认证服务有限公司浏览：158

策划阶段，组织应： 
定义ISMS的范围和方针； 
定义风险评估的系统性方法； 
识别风险； 
应用组织确定的系统性方法评估风险； 
识别并评估可选的风险处理方式； 
选择控制目标与控制方式； 
当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行 信息安全管理体系。 

实施阶段，组织应该实施选择的控制，包括： 
实施特定的管理程序； 
实施所选择的控制； 
运作管理； 
实施能够促进安全事件检测和响应的程序和其他控制。 

检查阶段，组织应： 
执行程序，检测错误和违背方针的行为 ； 
定期评审ISMS的有效性； 
评审剩余风险和可接受风险的等级； 
执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是 否按照预期的目的进行工作； 
定期对ISMS进行正式评审，以确保范围保持充分性，以及ISMS过程的持续改进得到识别并实施； 
记录并 报告所有活动和事件。 

改进措施阶段，组织应： 
测量ISMS绩效； 
识别ISMS的改进措施，并有效实施； 
采取适当的纠正和预防措施； 
与涉及到的所有相关方磋商、沟通结果及其措施； 
必要时修改ISMS，确保修改达到既定的目标。 

ISMS：ISMS（Information Security Management System）是信息安全管理体系。ISO/IEC17799:2000它是继ISO9000、ISO14000和OHSAS18000之后，又产生的一个管理体系标准— 信息安全管理体系标准。 
　　信息安全就是组织应明确需要保护的信息资源，确保信息的机密性、完整性和 可用性，并保持良好的协调状态。信息安全对企业经营非常重要，为了防止信息安全事故或事件的发生，尽管在技术方面采取了防火 墙和入侵监测系统，但是人为因素造成的信息机密流失仍然占有很高的比率（据说约70%）。因此，建立信息安全管理体系十分必要。 
　　为了建立、实施和保持信息安全管理体系，首先应策划信息安全管理体系的方针和目标， 
识别、分类和 清理信息资源，根据其危险程度、薄弱环节和发生频次，实施风险控制，包括回避、转移、控制和消除风险。按PDCA循环模式，建立 信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和 评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的遗留风险和正式实施ISMS。 
　　用于ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说，到2003年8月15日止，按BS7799认证的企业全世界共有282家，其中中国有5家。英国较多，有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用 ISO/IE　C17799建立ISMS，并取得认证的好处在于能够建立完善的信息安全管理体系，从管理角度防止信息系统出现安全事故或事件 ；对外树立信息系统可靠性形象，满足顾客要求，提高企业竞争能力。认证的范围适合于所有类型和规模的组织，特别是涉及个人信 息保护的组织，例如金融、通讯、医疗、社区管理、电子商务和电子政务等。

如您想更详细的了解更多认证资讯，请您网络搜索广汇联合，快人一步，成就管理者风范。
广汇联合：壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌

如您想更详细的了解更多认证资讯，请您网络搜索广汇联合，快人一步，成就管理者风范。
广汇联合：壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌

如您想更详细的了解更多认证资讯，请您网络搜索广汇联合，快人一步，成就管理者风范。
广汇联合：壹 叁 陆 捌 壹 零 陆 肆 贰 贰 捌


广汇联合（北京）认证服务有限公司专注于服务认证,IT信息管理认证 ,三体系认证等

• 词条

  词条说明

• ISO27701认证与ISO29151体系认证区别ISO27701认证与ISO29151体系认证区别

  区别一：结构不同 ISO27701是ISO27001和ISO27002在隐私方面的扩展，并为隐私保护提供了除ISO27001和ISO27002之外的额外指导。标准通过*5章和*6章将ISO27002与附加的PIMS控制项通过ISO27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。*7章和*8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。 区别二 ：企业如何选

• ISO45001职业健康和安全标准

  对于一些组织来说，从OHSAS18001到ISO45001的过度将需要付出巨大的工作量，ISO45001提出了更多的新要求，而非用现行的OHSAS18001管理体系作为框架即可满足。 根据国际劳工组织的估算，每年因工作活动而死亡的人数**过两百**。这一简单的统计数据很清晰地说明对于职业健康和安全规则的要求日益迫切，而使用一个统一标准来帮助组织规范过程确保符合性也变得日益重要。 相应的，职业健康和

• ISO45001申请资料

  1、法律证明文件（营业执照机构成立批文）； 2、生产许可证/资质证书/强制性认证证书等的复印件（根据国家及行业、部门的法律法规和标准要求）； 3、有效的管理体系文件（质量手册、程序文件等）； 4、申请认证的产品/服务的相关活动的简介认证范围涉及的多场所、在建项目、临时服务点清单（适用时）； 5、认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录（如事故记录、违反法律法规或规章的记录）； 6、

• ISO27001信息安全管理体系认证释义

  ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。 标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至较小，使投资