目前互联网行业发展迅速,越来越多的企业进行企业内部的信息安全认证,通过这一证书,不仅可以向客户等一些相关方证实自己企业的实力,还可以更优化与企业内部的管理。
随着2013年发布的ISO27001信息安全管理体系认证的改版,各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。
本文将针对软件行业在调整下的信息安全管理体系下,如何更好地保持和改进信息安全体系作出解读,使企业更好地依据标准体系和方法理论,制定出符合企业长久发展的信息安全管理体系。
关于PDCA模型
此处对于PDCA模型以及新版标准的划分做一简单说明:PDCA模式是国际认可的模型,很多标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架,每个阶段都与其他阶段相关联。
PDCA模型分别由四部分组成:P(Plan)——建立ISMS,根据组织的整体策略和目标,确定活动的计划,包括第四至七章(组织背景、领导力、计划、支持);D(Do)——实施和运作ISMS,实际地去完成计划中的内容,包括第八章(运行);C(Check)——监视和评审ISMS,总结实施和运作的结果,查找问题,包括第九章(绩效评价);
A(Action)——保持和改进ISMS,对评审的结果做出处理,成功的经验要进行保持和推广,失败的教训要寻找原因,避免下次再出现同样的错误,没有解决的问题放到下一个PDCA循环中,包括第十章(改进)。
ISO27001信息安全管理体系认证在软件企业的重要性
PDCA模型是管理学中常用的一个模型。该模型在运作过程中,按照P-D-C-A的顺序依次进行,一次完整的循环可以看作是管理学上的一个管理周期,每经过一次循环,管理情况就会得到改善,同时进入更高的P-D-C-A周期循环,组织的管理体系不断的得到提升,管理水平也不断提高。
而这四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
新的内容将使软件企业的侧重点不同,从上面的论述中明显可以看出新标准在软件企业建立ISO27001体系认证之前加重了对企业内外环境信息安全的重视,在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状,了解其发展所面临的机遇与风险,从而高标准、高精度、高要求来对待信息安全管理工作。