当前位置:文档之家 › (新安全生产)PDCA过程模式在信息安全管理体系的应用

(新安全生产)PDCA过程模式在信息安全管理体系的应用

  • 格式:doc
  • 大小:123.00 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

信息安全管理体系简介

信息安全管理体系简介

信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。

英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。

1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。

BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。

2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。

2005年6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。

2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了 BS7799-2:2002《信息安全管理体系规范》。

2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。

ISO 27001发展历程简要归纳如下:n 1993年,BS 7799标准由英国贸易工业部立项。

PDCA过程模式在信息安全管理体系的应用

PDCA过程模式在信息安全管理体系的应用

PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式策划:实施:检查:措施:二、应用PDCA 建立、保持信息安全管理体系P—建立信息安全管理体系环境&风险评估1.确定范围和方针2、定义风险评估的系统性方法3、识别风险4、评估风险5、识别并评价风险处理的方法6、为风险的处理选择控制目标与控制方式7、获得最高管理者的授权批准D—实施并运行信息安全管理体系C—监视并评审信息安全管理体系检查阶段管理者应该确保有证据证明:A—改进信息安全管理体系展开编辑本段信息安全管理体系BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

编辑本段编写信息安全管理体系文件的主要依据简述组织对信息安全管理体系的采用是一个战略决定。

因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。

1)信息安全管理体系标准:要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》2)相关法律、法规及其他要求;3)组织现行的安全控制惯例、规章、制度包括规范和作业指导书等;4)现有其他相关管理体系文件。

[编辑]编辑本段编写信息安全管理体系程序文件应遵循的原则在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度;程序文件应简练、明确和易懂,使其具有可操作性和可检查性;程序文件应保持统一的结构与编排格式,便于文件的理解与使用。

PDCA在医院网络信息安全管理中的实践应用

PDCA在医院网络信息安全管理中的实践应用

PDCA在医院网络信息安全管理中的实践应用
张轶锋;赵晴峰;蔡俊杰;毛自强
【期刊名称】《中国医院建筑与装备》
【年(卷),期】2024(25)1
【摘要】调查分析了2020年全年及2021年3月浙江省肿瘤医院网络信息设备的网络安全数据;运用PDCA(Plan、Do、Check、Action)循环法,针对问题提出对策,在2021年3月至11月期间,通过头脑风暴、修订制度、配置网络安全设备等办法,对院内网络信息安全问题进行了全面的管控。

实践效果表明,PDCA循环法是医院网络信息安全管理的有效方法。

【总页数】4页(P57-60)
【作者】张轶锋;赵晴峰;蔡俊杰;毛自强
【作者单位】浙江省肿瘤医院
【正文语种】中文
【中图分类】R197
【相关文献】
1.PDCA循环在医院护理安全管理中的应用方法及效果观察
2.PDCA循环法在医院病区药品质量安全管理中的应用探讨
3.信息安全管理系列专题之六——PDCA过程模式在信息安全管理体系的应用
4.PDCA在基层医院护理安全管理中的应用与探讨
5.PDCA循环法应用于医院特种设备质量安全管理中的价值研究
因版权原因,仅展示原文概要,查看原文内容请购买。

OHSMS职业健康安全管理体系注册审核员《基础知识》真题练习(四)

OHSMS职业健康安全管理体系注册审核员《基础知识》真题练习(四)

OHSMS职业健康安全管理体系注册审核员《基础知识》真题练习(四)第一大题单项选择题第1题:D=LEC打分方法属于()风险评价方法。

(A)定性(B)相对(C)概率(D)故障树【正确答案】:B第2题:依据《生产经营单位安全培训规定》,加工、制造业等生产单位的其他从业人员,在上岗前必须经()三级安全培训教育。

(A)国家、行业、地方(B)省(直辖市)、市、县(C)厂(矿)、车间(工段、区、队)、班组(D)企业、部门、岗位【正确答案】:C第3题:以下哪项不是预防间接电击事故的措施()(A)保护接地(B)保护接零(C)屏护(D)安装漏电保护器【正确答案】:C第4题:对()的人员应有相应的工作能力要求,并对其能力作出规定。

(A)从事OHSMS工作有影响(B)其工作可能影响工作场所内OHSMS(C)其工作可能影响OHSMS(D)以上都正确【正确答案】:B第5题:下列哪项措施不可用于防止直接电击伤害事故?()(A)保护接地(B)绝缘(C)使用50伏的低压电(D)安装漏电保护器【正确答案】:C第6题:生产企业采购,租赁的安全防护用具,机械设备、施工机具及配件应当在进入生产现场前进行()。

(A)价格检查(B)定期检查(C)验收(D)包装【正确答案】:C第7题:主动绩效监测的目的是()。

(A)监测管理方案与运行准则的实施与符合情况(B)监测事故发生情况(C)监测职业病发病情况(D)监测体系失效情况【正确答案】:A第8题:ISO45001-2018标准规定了对职业健康安全管理体系的()。

(A)规范(B)要求及操作指南(C)要求及使用指南(D)指南【正确答案】:C第9题:职业健康安全目标是组织为了实现()依据职业健康安全方针制定的目标。

(A)预期结果(B)具体的结果(C)安全机遇(D)职业健康安全绩效【正确答案】:B第10题:组织应确定与其宗旨相关并影响其实现职业健康安全管理体系()的能力的外部和内部问题(A)预期结果(B)具体的结果(C)安全机遇(D)职业健康安全绩效【正确答案】:A第11题:风险控制策划时原则上应首先()。

PDCA循环法的作用

PDCA循环法的作用

PDCA循环又叫戴明环,是美国质量管理专家戴明博士提出的,它是全面质量管理所应遵循的科学程序。

全面质量管理活动的全部过程,就是质量计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。

目录基本简介PDCA循环PDCA循环又叫质量环,是管理学中的一个通用模型,最早由休哈特(Walter A. Shewhart)于1930年构想,后来被美国质量管理专家戴明(Edwards Deming)博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程中。

它是全面质量管理所应遵循的科学程序。

全面质量管理活动的全部过程,就是质量计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。

分析说明PDCA循环PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序,特别是在质量管理中得到了广泛的应用。

P、D、C、A四个英文字母所代表的意义如下:① P(Plan)——计划。

包括方针和目标的确定以及活动计划的制定;② D(DO)——执行。

执行就是具体运作,实现计划中的内容;③ C(Check)——检查。

就是要总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;④A(Act)——行动(或处理)。

对总结检查的结果进行处理,成功的经验加以肯定,并予以标准化,或制定作业指导书,便于以后工作时遵循;对于失败的教训也要总结,以免重现。

对于没有解决的问题,应提给下一个PDCA循环中去解决。

PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Act(行动)的第一个字母,PDCA循环就是按照这样的顺序进行质量管理,并且循环不止地进行下去的科学程序。

全面质量管理活动的运转,离不开管理循环的转动,这就是说,改进与解决质量问题,赶超先进水平的各项工作,都要运用PDCA循环的科学程序。

不论提高产品质量,还是减少不合格品,都要先提出目标,即质量提高到什么程度,不合格品率降低多少?就要有个计划;这个计划不仅包括目标,而且也包括实现这个目标需要采取的措施;计划制定之后,就要按照计划进行检查,看是否达实现了预期效果,有没有达到预期的目标;通过检查找出问题和原因;最后就要进行处理,将经验和教训制订成标准、形成制度。

什么是安全管理体系的PDCA循环

什么是安全管理体系的PDCA循环

什么是安全管理体系的PDCA循环在当今复杂多变的工作环境中,保障人员的安全和健康,预防事故的发生,是每个组织都必须高度重视的问题。

而安全管理体系的PDCA 循环,作为一种科学有效的管理方法,为实现这一目标提供了有力的支持。

PDCA 循环,即计划(Plan)、执行(Do)、检查(Check)和处理(Act),是一个持续改进的动态循环过程。

它不仅仅适用于安全管理,在许多其他领域也被广泛应用,因为其简单而强大的逻辑,能够帮助组织不断优化工作流程,提高工作质量和效率。

首先,让我们来看看“计划(Plan)”阶段。

这是整个 PDCA 循环的起点,也是至关重要的一步。

在这个阶段,我们需要对安全管理的目标进行明确的设定,并分析当前的安全状况,找出存在的问题和潜在的风险。

比如说,一个工厂要制定安全管理计划,就需要考虑生产过程中可能出现的机械故障、火灾隐患、员工操作不当等各种风险因素。

通过收集相关的数据和信息,进行风险评估,确定哪些环节是最需要关注和改进的。

然后,根据这些分析结果,制定出具体的安全策略和行动计划,包括制定安全规章制度、安排培训课程、配备必要的安全设备等。

计划阶段的工作要做得细致、全面,为后续的执行阶段打下坚实的基础。

接下来是“执行(Do)”阶段。

有了详细的计划,就需要将其付诸实践。

在这个阶段,要按照预定的计划和措施,认真地去执行。

对于前面提到的工厂,这可能意味着对员工进行安全培训,让他们了解新的安全规章制度和操作流程;安装和维护安全设备,确保其正常运行;监督员工的日常工作,确保他们遵守安全规定。

执行阶段需要全体员工的积极参与和配合,只有每个人都认真履行自己的安全职责,才能使安全管理措施真正落到实处。

然后是“检查(Check)”阶段。

在执行了安全管理措施之后,需要对其效果进行检查和评估。

这就像是对工作进行一次“体检”,看看我们的计划和执行是否达到了预期的目标。

检查的内容包括安全目标的完成情况、各项安全措施的执行效果、是否还存在新的安全隐患等。

信息安全管理体系(1)

信息安全管理体系(1)

2.4
24
1、信息平安管理的作用 2、信息平安管理的开展 3、信息平安管理有关标准 4、成功实施信息平安管理的关键
2.5
25
保险柜就一定平安吗?
❖ 如果你把钥匙落在锁眼上会怎样?
❖ 技术措施需要配合正确的使用才能发 挥作用
2.6
26
1、信息平安管理的作用
服务器
防火墙能解决这样的问题吗?
脆弱性、防护措施、影响、可能性 理解风险评估是信息平安管理工作的根底 理解风险处置是信息平安管理工作的核心 知识子域: 信息平安管理控制措施的概念和作
用 理解平安管理控制措施是管理风险的具体手段 了解11个根本平安管理控制措施的根本内容
3.
3
一、信息平安管理概述 二、信息平安管理体系 三、信息平安管理体系建立 四、信息平安管理控制标准
Web服务器
内网主机
防火墙
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
.
27
1、信息平安管理的作用
信息系统是人机交互系统
程应 对 风 险 需 要 人 为 的 管 理 过
设备的有效利用是人为的管理过 程
“坚持管理与技术并重〞是我国加 强信息平安保障工作的主要原那么
.
28
ISO/IEC TR 13335 国际标准化组织在信息平安管理方面,早在
PDCA也称“戴明环〞,由美国质量管理专家 戴明提出。
P〔Plan〕:方案,确定方针和目标,确定活 动方案;
强调全过程和动态控制,本着控制费用与风险平衡的原
那么合理选择平安控制方式;强调保护组织所拥有的关
键性信息资产,而不是全部信息资产,确保信息的保密

信息安全管理体系规范及使用指南

信息安全管理体系规范及使用指南

信息安全管理体系规X与使用指南BS 7799-2:2002中安质环认证中心质量总监周韵笙(译)附录B(信息性)本标准的使用指南B.1 总论B.1.1 PDCA模式建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。

此处所述的过程模式遵循一个连续的活动循环:策划、实施、检查和处理。

这可称之为一个有效验的循环,因为它的目的是确保你的组织的最佳做法是形成文件的,强化的并随时得到改进的。

B.1.2策划和实施持续改进的过程常需初次投资,包括:把做法形成文件,把风险管理的方法正规化,确定评审与分配资源的方法等。

这些活动用来启动循环。

它们不需在评审阶段积极开展之前全部就完成。

策划阶段用来确保ISMS的内容与X围已正确建立,信息安全风险已经评价,适当处理这些风险的计划已经编制,实施阶段则用来实施策划阶段已定决策与已识别的解决方案。

B.1.3 检查和处置检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。

评审可在任何时间和频度下进行,取决于对所考虑的情况是否是最适合的。

在有些系统中,它们可以建入计算机化的过程中以便立刻操作和反应。

其它的过程只需在有安全故障时,对受保护的信息财产进行改变或增加时,以与威胁和脆弱性发生改变时才作出反应。

最后需要进行每年或其它周期性的评审或审核,以确保整个管理体系正在实现其目标。

B.1.4 控制总结组织可能发现有一个控制总结(SOC)是有得的,SOC与组织的ISMS有关,而且是适用的。

这可以改善业务关系,例如通过提供一个适当的SOC(控制总结)而进行电子外包。

SOC可以饮食敏感信息,因此当使SOC内外部都可使用时,应以适合于接收者的方式小心对待。

注:SOC不是SOA的替代(见4.2.1h)。

SOA对于认证来说是强制性要求。

B.2 策划(Plan)阶段B.2.1 引言PDCA循环中的策划活动是为确保ISMS的内容和X围已正确建立,所有信息安全风险均已识别并评定,对这些风险的适当处理的计划已经编制而设计的。

2022年12月CCAA注册审核员《管理体系认证基础》试题及答案

2022年12月CCAA注册审核员《管理体系认证基础》试题及答案

2023年12月CCAA注册审核员《管理体系认证基础》试题及答案[单选题]1.认证机构对认证人员的评价是一个()。

A.连续过程B.活动过程持续过程C.过程D.持续过程正确答案:D参(江南博哥)考解析:认证机构对认证人员的评价是一个持续过程。

[单选题]5.系统理论学派将()等应用于工商企业等组织的管理。

A.过程论、控制论、信息论B.系统论、控制论、信息论C.系统论、过程论、信息论D.系统论、控制论、过程论正确答案:B参考解析:《管理体系认证基础》,(四)它将系统论、控制论、信息论等应用于工商企业等组织的管理之中。

[单选题]6.审核范围应与()保持一致。

A.审核目标B.认证申请方位C.客户申请要求D.审核方案和审核目标正确答案:D参考解析:《管理体系认证基础》,审核范围应与审核方案和审核目标相一致。

[单选题]7.按照PDCA思路进行审核,是指0。

A.按照受审核区域的管理活动的PDCA过程进行审核B.按照认证机构的PDCA流程进行审核C.按照认可规范中规定的PDCA流程进行审核D.以上都对正确答案:A[单选题]8.认证机构考虑客户已获得的认证或由另一机构实施的审核时,则应OoA.予以批准认证B.协商后同意认证C.获取并保留充足的证据D.拒绝认证正确答案:C参考解析:CNAS-CC01:2015《管理体系认证机构要求》9.13.4,如果认证机构考虑客户已获的认证或由另一认证机构实施的审核,则应获取并保留充足的证据,例如报告和对不符合采取的纠正与纠正措施的文件。

[单选题]9.一个组织按照高层结构建立并保持一个或多个管理体系时,以下说法不正确的是()。

A.可以为认证提供便利B.应该与组织本身的业务相融合C.可以使管理体系运行内容减少D.可以减少多个管理体系之间的重复正确答案:C参考解析:《管理体系认证基础》,一个组织按照高层结构建立、实施、保持和改进一个或多个其管理体系时,不但要与组织本身的业务相融合,更重要的是可以减少多个管理体系之间的重复,这使得管理体系的运行更加简洁和便利,同时也为合格评定提供了便利。

基于PDCA的信息系统检修全过程管理

基于PDCA的信息系统检修全过程管理

基于PDCA的信息系统检修全过程管理
刘颖;李欣;褚磊;吴利刚
【期刊名称】《信息通信》
【年(卷),期】2018(000)011
【摘要】以推动信息系统调度运行体系建设工作为核心,科学运用PDCA管理方法,加强信息系统检修的全过程管理,持续改进优化检修管理,促使信息系统运行水平全面提升.以检修计划平衡会为核心,通过对检修申报流程的规范和检修计划的统筹优化,实现对检修执行过程的监督和管控、对检修执行效果的验证和评估、对后续检修工作的改进和完善,实现了对信息系统检修全过程的闭环管理.信息系统检修工作得到了持续提升,有效地保障了公司信息系统运行可靠性.
【总页数】2页(P174-175)
【作者】刘颖;李欣;褚磊;吴利刚
【作者单位】国网陕西省电力公司信息通信公司,陕西西安710048;国家电网公司西北分部,陕西西安710048;国网陕西省电力公司信息通信公司,陕西西安710048;国网陕西省电力公司信息通信公司,陕西西安710048
【正文语种】中文
【中图分类】TM73
【相关文献】
1.基于PDCA的高校科研项目全过程管理中的知识产权保护模式研究 [J], 刘妍
2.基于PDCA循环的研究生培养全过程管理研究 [J], 仲建峰;方国华;郝晓美;王慧
3.基于python的网络及信息系统安全过程管理工具 [J], 叶磊;文涛;刘立亮;孙露露;张科健;祝莹
4.基于PDCA的信息安全过程管理 [J], 冯驰
5.基于PDCA循环的研究生培养全过程管理研究 [J], 仲建峰;方国华;郝晓美;王慧;因版权原因,仅展示原文概要,查看原文内容请购买。

CISP官方信息安全管理章节练习一

CISP官方信息安全管理章节练习一

CISP信息安全管理章节练习一一、单选题。

(共100题,共100分,每题1分)1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。

a、监控和反馈ISMSb、批准和监督ISMSc、监视和评审ISMSd、沟通和资询ISMS最佳答案是:c2. 在对安全控制进行分析时,下面哪个描述是不准确的?a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的b、应确保选择对业务效率影响最小的安全措施c、选择好实施安全控制的时机和位置,提高安全控制的有效性d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b3. 以下哪一项不是信息安全管理工作必须遵循的原则?a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力最佳答案是:c4. 对信息安全风险评估要素理解正确的是:a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构b、应针对构成信息系统的每个资产做风险评价c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁最佳答案是:a5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:a、出入的原因b、出入的时间c、出入口的位置d、是否成功进入最佳答案是:a6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:a、说明信息安全对组织的重要程度b、介绍需要符合的法律法规要求c、信息安全技术产品的选型范围d、信息安全管理责任的定义最佳答案是:c7. 作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?a、抱怨且无能为力b、向上级报告该情况,等待增派人手c、通过部署审计措施和定期审查来降低风险d、由于增加人力会造成新的人力成本,所以接受该风险最佳答案是:c8. 通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:a、可靠的产品是有保证的b、程序员的效率得到了提高c、安全需求得到了规划、设计d、预期的软件程序(或流程)得到了遵循最佳答案是:d9. 某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。

2024年8月ISMS信息安全管理体系CCAA审核员模拟试题含解析

2024年8月ISMS信息安全管理体系CCAA审核员模拟试题含解析

2024年8月ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、按照PDCA思路进行审核,是指()A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对2、防火墙提供的接入模式不包括()A、透明模式B、混合模式C、网关模式D、旁路接入模式3、组织应()A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质4、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270055、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A、报告B、传递C、评价D、测量6、当发生不符合时,组织应()。

A、对不符合做出处理,及时地:采取纠正,以及控制措施;处理后果B、对不符合做出反应,适用时:采取纠正,以及控制措施:处理后果C、对不符合做出处理,及时地:采取措施,以控制予以纠正;处理后果D、对不符合做出反应,适用时:采取措施,以控制予以纠正;处理后果7、描述组织采取适当的控制措施的文档是()A、管理手册B、适用性声明C、风险处置计划D、风险评估程序8、防止计算机中信息被窃取的手段不包括()A、用户识别B、权限控制C、数据加密D、数据备份9、形成ISMS审核发现时,不需要考虑的是()A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性10、文件初审是评价受审方ISMS文件的描述与审核准则的()A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对11、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动是()。

工程安全管理之PDCA循环模版(三篇)

工程安全管理之PDCA循环模版(三篇)

工程安全管理之PDCA循环模版PDCA循环模板在工程安全管理中的应用工程安全管理是在工程项目中为保证工作人员的生命安全和财产安全而进行的一系列措施和管理活动的总称。

作为一项系统性的管理工作,其目标是通过合理的管理方法和措施,从源头上预防和控制事故的发生,确保工程项目的安全生产。

PDCA循环模式是一种科学的管理方法,由Plan(计划), Do(执行), Check(检查)和Act(改进)四个步骤组成。

它强调不断地进行计划、执行、检查和改进的循环往复,以达到持续改进和提高管理水平的目的。

在工程安全管理中,PDCA循环模式被广泛应用,成为实施和优化安全管理的重要工具。

在计划阶段,工程安全管理需要进行全面的预期和规划。

首先,需要确定工程项目的目标和工作要求,并制定详细的工作计划。

其次,需要评估工程项目的风险,包括可能存在的安全隐患和危险源,并制定相应的控制措施。

另外,还需要确定安全管理的组织结构和人力资源,明确各个责任部门和人员的职责和权限。

通过PDCA循环模板的应用,可以使各项工作有序开展,减少事故隐患,提高工程项目的安全性。

在执行阶段,工程安全管理需要按照计划的要求进行具体的操作和实施措施。

这包括安全设备的安装和维护、安全操作的培训和指导、安全文明施工的管理等。

在实施过程中,需要加强工作人员的安全意识和责任意识,穿戴防护用品,进行精细化作业,减少人为因素的干扰和错误。

PDCA循环模板的运用可以使执行阶段的工作更加有条理和规范,从而减少操作失误和事故的发生。

在检查阶段,工程安全管理需要进行工作结果的评估和检查。

这包括对工程项目的安全性能进行监测和评估,对工作人员的安全意识和操作行为进行抽查和核查,对安全管理措施的实施效果进行审核和检验。

通过检查阶段的工作,可以发现存在的问题和不足之处,并及时采取措施加以改进和修正。

PDCA循环模板的应用可以帮助工程安全管理及时发现问题和隐患,并对管理措施进行调整和完善,提高工程项目的风险控制能力。

CISP信息安全管理习题

CISP信息安全管理习题

1.根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。

模拟该流程。

文档《风险分析报告》应属于哪个阶段的输出成果()。

A 风险评估B 风险处理C 批准监督D 监控审查2.<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。

</p>A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3.规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<spanstyle="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A 《风险评估方案》B 《重要保护的资产清单》C 《风险计算报告》D 《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。

由此x值应该是()5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是()A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D 定性风险分析更具有主观性,而定量风险分析更具客观性6.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式()A 风险降低B 风险规避C 风险转移D 风险接受7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是()A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标9.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是:A:了解风险B:转移风险C:了解风险并控制风险D:了解风险并转移风险11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作:A:识别用户B:识别脆弱性C:评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()A 2B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15.《信息安全技术信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。

2017.6月信息技术服务管理体系(ITSMS)基础知识

2017.6月信息技术服务管理体系(ITSMS)基础知识

2017.6⽉信息技术服务管理体系(ITSMS)基础知识中国认证认可协会(CCAA)全国统⼀考试信息技术服务管理体系(ITSMS)基础知识试卷2017年6⼀、单项选择题(从下⾯各题选项中选出⼀个最恰当的答案,并将相应字母填在下表相应位置中。

每题1分,共80分,不在指定位置答题不得分)1、ISO/IEC 20000-2011所采⽤的过程⽅法是()(A)PDCA⽅法(B)SMART⽅法(C)SWOT⽅法(D)PPTR⽅法2、在ISO/IEC 20000-2011中可⽤性是指()(A)随时可以获得服务(B)在规定的时刻或规定的时间段内,部件或服务咨询要求功能的能⼒(C)服务以来的信息系统可⽤(D)以上都不对3、下列选项中哪像不属于ITSMS策划的内容()(A)管理设施和预算(B)定义服务提供⽅服务管理的范围(C)识别需要执⾏的过程(D)识别、评估和管理实现既定⽬标的问题和风险的⽅法4、下列哪种表达最准确地说明了容量管理的⽬的?()(A)将成本和性能⽔平降低到最低(B)确保总是有充分的可⽤能⼒以满⾜全体客户的要求(C)确保业务需求是可负担且可实现的(D)为满⾜约定的系统性能对资源进⾏监视和管理5、如何控制服务等级协议(SLA)的更新?()(A)它们在变更管理的控制之下(B)它们由⾼级管理代表控制的(C)它们只能在年度监督审计时进⾏更新,因此升级是可以检查更新是否(D)SLA所需的任何更新开始时将馈⼊服务改进计划6.问题管理应负责确保有关()和已改正问题的更新A.问题的处理过程;C.未解决问题D.已知错误7.通过买卖双⽅提供⼀个在线交易平台,使卖⽅上⽹可以负责拍卖,⽽买⽅可以⾃⾏选择商品进⾏竞价的电⼦商务模式是()A.消费者与企业(C2B)B.消费者与消费者(C2C)C.企业与消费者(B2C)D.企业与政府(B2G)8 .依据ISO/IEC 20000-1:2011供⽅管理活动包括:A.协商以确保供⽅的SLAs与服务提供⽅组织的SLAS密切结合协商⼀致’B.建⽴准则,对供⽅实施评价,选择和再评价;C.建⽴合格供⽅名录并予以维护和更新;D.每年⾯向供⽅进⾏招标和评议.9 关于互联⽹信息服务的提供,以下说法正确的是?()A.从事经营性的互联⽹信息服务应得到主管部门的许可B.从事⾮经营性互联⽹信息服务应得到主管部门的许可C.从事经营性的互联⽹信息服务应得到主管部门的备案D.从事经营性互联⽹信息服务按其项⽬类别分别执⾏许可制度或备案制度10 安装更新软件,负责在安状前进⾏验收测试的过程是()A.发布管理;B服务连续性管理,C,信息安全管理,D变更管理11 下⾯关于内部团队描述错误的是(D)A.内部团队是服务提供⽅的⼀部分B.内部服务团队在服务管理体系范围之外C.内部团队可能执⾏服务提供⽅服务管理体系的部分流程D.内部团队是与服务提供⽅在⼀个法⼈组织下,但独⽴于服务提供⽅12.信息技术服务管理体系的要求类标准是()A.GB/T 22080-2008/ISO/IEC 27001:2005B.ISO/IEC 20000-1:2011C.ISO/IEC 20000-2:2005D.ISO/IECTR2000-313.下列描述不正确的是?()A.ISO/IEC 20000由要求,实⽤规则等多个部分组成B.ISO/IEC20000-2可作为独⽴评估的依据C.ISO/IEC 20000-1:2011规定了服务提供⽅按可接受的质量向其顾客交付管理服务的要求.D.ISO/IEC 2000-2 描述了ISO/IEC 20000-1:2011范围内服务管理过程的最佳实践.A.SLAB.OLAC.CMDBD.以上都不是15 ⽂件是指()A.包括受影响的配置项及其如何被授权的变理所影响的详细信息的记录B.阐明所取得的强果或提供所完成活动的证据的⽂件;C.为进⾏某项活动或过程所规定的途径D.信息及其承载介质16.关于认证⼈员执业要求,以下说法正确的是:A.注册审核员只能在⼀个认证机构和⼀个咨询机构执⾏;B.注册审核员和认证决定⼈员只能在⼀个认证机构执业;C.注册审核员只能在⼀个认证机构执业,⾮注册的认证决定⼈员不受此限制D.在咨询机构任专职咨询师的⼈员,只能在认证机构任兼职认证决定⼈员.17 ()哪个流程最多⽤了需求管理所提供的数据。

PDCA循环在企业信息安全管理中的应用

PDCA循环在企业信息安全管理中的应用

PDCA循环在企业信息安全管理中的应用陈小东 中国水电工程顾问集团有限公司摘要:根据PDCA的思想,建立了ISO14001标准的管理模式。

本文简要介绍了PDCA循环方法的基本知识,通过PDCA循环方法对安全管理体系进行了改进,并将PDCA循环方法应用于企业信息安全管理,以期为企业的信息安全管理工作提供借鉴。

关键词:PDCA循环法;信息安全管理体系;应用中图分类号:TP311 文献识别码:A 文章编号:1001-828X(2019)034-0042-02当今社会,社会发展越来越依赖于信息资源。

没有各种信息的支持,现代社会将无法生存和发展。

PDCA循环也称为“戴明环”。

它是由美国贝尔实验室介绍,然后由戴明博士带到日本。

ISO9004:2000标准是指“增强能力以满足循环活动要求”,即PDCA循环。

然而,许多人认为,PDCA循环是一种应用于质量管理的重要工作方法。

事实上,PDCA循环是一个科学的工作程序,它能很好地完成所有工作。

安全管理系统不是静止的,它是一个动态的系统,而且目前还不够完善,需要不断地持续开发。

一、PDCA循环的含义P(Plan)—计划,设定目标;D(Do)—行动,实施计划的步骤;C(Check)—检查,实施计划的结果并发现问题;A(Action)—处理总结检查结果、确定和推广成功经验以及促进合规性的行动。

总结故障过程以避免再次发生,并参考下一个PDCA循环进行解决。

PDCA循环的特点:(一) PDCA循环的四个过程不是一次性完成,而是一个循环结束后,可能还会出现新的问题,这时就需要继续执行下一个循环。

(二)如果整个工作被认为是一个大的PDCA循环,则零件之间仍有一些小的PDCA循环。

(三) PDCA循环不在同一水平。

当PDCA循环达到一定的结果时,工作将向前移动并逐渐上升。

二、PDCA循环法在企业信息安全管理体系中的应用(一) P(Plan)—建立企业的信息安全管理体系环境和风险评估1.确定信息安全管理范围和方针信息安全管理系统在企业的应用比较普遍,几乎可以覆盖整个或部分企业。

安全管理人员应该知道的PDCA循环课件

安全管理人员应该知道的PDCA循环课件

案例细节
某企业在生产过程中,运用 PDCA循环对生产过程中的安全 隐患进行排查,制定相应的安全 措施并监督执行,最终实现安全
生产零事故。
案例二:质量管理体系
总结词
PDCA循环是ISO质量管理体系的核心流程,可帮助组织实现质量 目标。
详细描述
PDCA循环在质量管理体系中贯穿始终,用于指导组织进行质量策 划、实施、检查和改进,确保产品质量稳定和持续提高。
案例细节
某企业运用PDCA循环进行员工培训计划制定、实施和评 估,以及激励机制的调整和优化,最终实现员工工作积极 性的提高。
案例五:持续改进与创新
总结词
PDCA循环是组织持续改进和创新的重要工具,可帮助组织适应 市场变化和需求。
详细描述
持续改进和创新过程中,PDCA循环可用于问题发现与解决、经验 总结与分享、新技术应用等方面,推动组织不断进步。
总结经验教训,不断完善计划执行过程中的各个环节。
05
A(Act)处理阶段
制定改进措施
针对检查中发现的问题,制定相应的 改进措施,明确目标和实施计划。
确定责任人和完成时间,确保措施的 有效执行。
调整计划与目标
根据实际情况,对原有的计划和目标 进行调整,使其更符合实际需求。
VS
针对问题较多的环节,重新制定计划 和目标,以确保安全管理的有效性。
制定计划与措施
根据目标、问题和需求,制定详细的安全管理计划,包括 具体的工作内容、时间表和责任人等。
针对现有问题和不足之处,制定相应的改进措施和方案, 如完善安全制度、开展员工安全培训等。
03
D(Do)执行阶段
明确职责与分工
确定每个团队成员的 职责和分工,确保每 个人都清楚自己的任 务和责任。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(新安全生产)PDCA过程模式在信息安全管理体系的应用PDCA过程模式在信息安全管理体系的应用科飞管理咨询有限公司吴昌伦王毅刚BS7799是国际上具有代表性的信息安全管理体系标准,其第二部分《信息安全管理体系规范》,是组织评价信息安全管理体系有效性、符合性的依据。

它的最新版本(BS7799-2:2002)是2002年9月5日修订的,引入了PDCA (Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其有效性的方法。

PDCA过程模式被ISO9001、ISO14001等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。

依据BS7799-2:2002建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;2、在管理组织整体业务风险背景下实施和运行控制;3、监控并评审信息安全管理体系的业绩和有效性;4、在目标测量的基础上持续改进。

BS7799-2:2002的PDCA过程模式BS7799-2:2002所采用的过程模式如图1所示,“计划-实施-检查-措施”四个步骤可以应用于所有过程。

PDCA过程模式可简单描述如下:图1PDCA过程模式◆策划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

◆实施:实施和运作方针(过程和程序)。

◆检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。

◆措施:采取纠正和预防措施进一步提高过程业绩。

四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效(performance)螺旋上升。

应用PDCA建立、保持信息安全管理体系P(策划)—建立信息安全管理体系环境(context)&风险评估要启动PDCA循环,必须有“启动器”:提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。

设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划。

策划阶段的所有重要活动都要被文件化,以备将来追溯和控制更改情况。

1.确定范围和方针信息安全管理体系可以覆盖组织的全部或者部分。

无论是全部还是部分,组织都必须明确界定体系的范围,如果体系仅涵盖组织的一部分这就变得更重要了。

组织需要文件化信息安全管理体系的范围,信息安全管理体系范围文件应该涵盖:a.确立信息安全管理体系范围和体系环境所需的过程;b.战略性和组织化的信息安全管理环境;c.组织的信息安全风险管理方法;d.信息安全风险评价标准以及所要求的保证程度;e.信息资产识别的范围。

信息安全管理体系也可能在其他信息安全管理体系的控制范围内。

在这种情况下,上下级控制的关系有下列两种可能:◆下级信息安全管理体系不使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动;◆下级信息安全管理体系使用上级信息安全管理体系的控制:在这种情况下,上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。

尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动,但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。

安全方针是关于在一个组织内,指导如何对信息资产进行管理、保护和分配的规则、指示,是组织信息安全管理体系的基本法。

组织的信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。

2、定义风险评估的系统性方法确定信息安全风险评估方法,并确定风险等级准则。

评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。

组织需要建立风险评估文件,解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境,介绍所采用的技术和工具,以及使用这些技术和工具的原因。

评估文件还应该规范下列评估细节:a.信息安全管理体系内资产的估价,包括所用的价值尺度信息;b.威胁及薄弱点的识别;c.可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;d.以风险评估结果为基础的风险计算,以及剩余风险的识别。

3、识别风险识别信息安全管理体系控制范围内的信息资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性丢失对这些资产的潜在影响。

4、评估风险根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据与资产相关的主要威胁、薄弱点及其影响,以及目前实施的控制,评估此类失败发生的现实可能性;根据既定的风险等级准则,确定风险等级。

5、识别并评价风险处理的方法对于所识别的信息安全风险,组织需要加以分析,区别对待。

如果风险满足组织的风险接受方针和准则,那么就有意的、客观的接受风险;对于不可接受的风险组织可以考虑避免风险或者将转移风险;对于不可避免也不可转移的风险应该采取适当的安全控制,将其降低到可接受的水平。

6、为风险的处理选择控制目标与控制方式选择并文件化控制目标和控制方式,以将风险降低到可接受的等级。

BS7799-2:2002附录A提供了可供选择的控制目标与控制方式。

不可能总是以可接受的费用将风险降低到可接受的等级,那么需要确定是增加额外的控制,还是接受高风险。

在设定可接受的风险等级时,控制的强度和费用应该与事故的潜在费用相比较。

这个阶段还应该策划安全破坏或者违背的探测机制,进而安排预防、制止、限制和恢复控制。

在形式上,组织可以通过设计风险处理计划来完成步骤5和6。

风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是组织安全风险和控制措施的接口性文档。

风险处理计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。

这个计划至少应该为每一个信息安全风险阐明以下内容:组织所选择的处理方法;已经到位的控制;建议采取的额外措施;建议的控制的实施时间框架。

7、获得最高管理者的授权批准剩余风险(residualrisks)的建议应该获得批准,开始实施和运作信息安全管理体系需要获得最高管理者的授权。

D(实施)—实施并运行信息安全管理体系PDCA循环中这个阶段的任务是以适当的优先权进行管理运作,执行所选择的控制,以管理策划阶段所识别的信息安全风险。

对于那些被评估认为是可接受的风险,不需要采取进一步的措施。

对于不可接受风险,需要实施所选择的控制,这应该与策划活动中准备的风险处理计划同步进行。

计划的成功实施需要有一个有效的管理系统,其中要规定所选择方法、分配职责和职责分离,并且要依据规定的方式方法监控这些活动。

在不可接受的风险被降低或转移之后,还会有一部分剩余风险。

应对这部分风险进行控制,确保不期望的影响和破坏被快速识别并得到适当管理。

本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。

这包括将所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。

提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。

如有必要应对相关方事实有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。

本阶段还应该实施并保持策划了的探测和响应机制。

C(检查)—监视并评审信息安全管理体系检查阶段,又叫学习阶段,是PDCA循环的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。

如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。

组织应该通过多种方式检查信息安全管理体系是否运行良好,并对其业绩进行监视,可能包括下列管理过程:1、执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。

2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。

3、评审剩余风险和可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的合理性。

4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。

审核的就是按照规定的周期(最多不超过一年)检查信息安全管理体系的所有方面是否行之有效。

审核的依据包括BS7799-2:2002标准和组织所发布的信息安全管理程序。

应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。

管理者应该确保有证据证明:a.信息安全方针仍然是业务要求的正确反映;b.正在遵循文件化的程序(信息安全管理体系范围内),并且能够满足其期望的目标;c.有适当的技术控制(例如防火墙、实物访问控制),被正确的配置,且行之有效;d.剩余风险已被正确评估,并且是组织管理可以接受的;e.前期审核和评审所认同的措施已经被实施;审核会包括对文件和记录的抽样检查,以及口头审核管理者和员工。

5、正式评审:为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审(最少一年评审一次)。

6、记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

A(措施)—改进信息安全管理体系经过了策划、实施、检查之后,组织在措施阶段必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,这就开始了新一轮的PDCA循环。

在这个过程中组织可能持续的进行一下操作:a.测量信息安全管理体系满足安全方针和目标方面的业绩。

b.识别信息安全管理体系的改进,并有效实施。

c.采取适当的纠正和预防措施。

d.沟通结果及活动,并与所有相关方磋商。

e.必要时修订信息安全管理体系。

f.确保修订达到预期的目标。

在这个阶段需要注意的是,很多看起来单纯的、孤立的事件,如果不及时处理就可能对整个组织产生影响,所采取的措施不仅具有直接的效果,还可能带来深远的影响。

组织需要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于眼前的问题,还要杜绝类似事故再发生或者降低其在放生的可能性。