GB/T22080 即ISO27001信息安全管理體系標準解析二?前言
發(fā)布時間:2025-06-26 點擊:17
GB/T22080 即ISO27001信息安全管理體系標準解析二?前言
一?引言
引言部分包含了三個條款,即0.1總則?0.2過程方法?0.3與其他管理體系的兼容性?
0.1 總則
【內(nèi)容解析】
建立?實施?運行?監(jiān)視?評審?保持和改進ISO27001信息安全管理體系,應(yīng)該是一個組織整體經(jīng)營戰(zhàn)略的一部分,是從信息安全方面實現(xiàn)組織經(jīng)營宗旨的有效途徑之一?也就是說,通過ISO27001信息安全管理體系的有效運行來支持組織經(jīng)營戰(zhàn)略的實現(xiàn),是建立?實施?運行?監(jiān)視?評審?保持和改進ISO27001信息安全管理體系的根本目的,因此,脫離了組織的經(jīng)營宗旨和經(jīng)營環(huán)境談信息安全是沒有意義的?
而本ISO27001標準則給出了信息安全管理體系的基本要求,為ISO27001信息安全管理體系的建立?實施?運行?監(jiān)視?評審?保持和改進提供了一個有用的模型?
從組織經(jīng)營風險的角度考慮,絕對安全的完美制度既無必要,也不可實現(xiàn)?系統(tǒng)地管理信息安全,并不意味著建立一套絕對安全的完美制度,而應(yīng)將ISO27001信息安全管理體系 的建立?實施?運行?監(jiān)視?評審??保持和改進作為一個管理方法論,應(yīng)用于組織信息安全的系統(tǒng)性管理,設(shè)計一套適合于組織特點和具體需求的信息安全管理解 決方案?
ISO27001標準提出的信息安全管理要求框架,可以作為組織內(nèi)部和外部ISO27001信息安全管理一致性評估的依據(jù),為組織發(fā)現(xiàn)改進其信息安全管理績效的機會?也就是說GB/T22080-2008(ISO27001)可作為第一方審核?第二方審核和第三方審核的依據(jù)?
內(nèi)部和外部ISO27001信息安全管理體系一致性評估的實例包括:
1)組織基于改進其信息安全管理績效的需要,由組織自己或其代表實施的內(nèi)部ISO27001信息安全管理體系審核;
2)組織的顧客基于招標或評價其合作伙伴信息安全管理績效的需要,由顧客或其代表對組織ISO27001信息安全管理體系實施的審核;
3)第三方機構(gòu)基于ISO27001認證的目的,對組織ISO27001信息安全管理體系實施的審核?
0.2 過程方法
【內(nèi)容解析】
GB/T22080-2008鼓勵組織采用過程方法,建立?實施?運行?監(jiān)視?評審?保持和改進組織的ISMS?
組織在采用過程方法時,需要系統(tǒng)識別所應(yīng)用的過程,需要識別這些過程和過程之間的相互作用,并對其進行管理?過程方法的優(yōu)點是對諸過程組成的系統(tǒng)中單個過程之間的聯(lián)系以及過程和進程相互作用進行連續(xù)的控制?
PDCA循環(huán)是由休哈特于20世紀20年代首次提出的,后來通過戴明博士在管理學(xué)領(lǐng)域得到了廣泛的應(yīng)用,因此,人們常常將其稱為“戴明環(huán)”?
PDCA模式適用于所有的過程,也可以說PDCA模式適用于任何一項工作?
P———策劃(Plan):根據(jù)顧客的要求和組織的方針,為提供的結(jié)果建立必要的目標和過程,例如:
1)組織需要建立ISO27001信息安全管理體系的范圍是什么?
2)組織及相關(guān)方對信息安全的要求是什么?
3)組織存在哪些信息安全風險?
4)組織需要采取哪些處置風險的控制措施?
5)如何制定風險處置計劃?
D———實施(Do):實施過程,例如:如何實施風險處置計劃?
C———檢查(Check):根據(jù)方針?目標和信息安全的要求,對過程和信息安全進行監(jiān)控和測量,并報告結(jié)果?例如:
1)如何策劃監(jiān)視?測量的方法及評價準則?
2)如何實施監(jiān)視和測量?
3)如何利用監(jiān)視和測量的數(shù)據(jù)?
4)是按計劃的要求做的嗎?
5)達到預(yù)期的結(jié)果了嗎?
A———改進(Act):采取措施,以持續(xù)改進過程業(yè)績?
例如:
1)是否需要變更信息安全管理方針?
2)是否需要補充或變更信息安全管理目標?
3)是否需要變更信息安全管理策略和規(guī)程?
4)需要哪些資源實施改進?
0.3 與其他管理體系的兼容性
【內(nèi)容解析】
為滿足持續(xù)業(yè)務(wù)運營的要求,組織可能將管理體系方法論用于多個領(lǐng)域的管理,包括以產(chǎn)品和服務(wù)質(zhì)量滿足要求為核心目的的ISO9001質(zhì)量管理體系?以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的ISO14001環(huán)境管理體系,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系?
無論哪一種管理體系的運行,客觀上都是和組織的業(yè)務(wù)過程及相關(guān)支持過程伴生的,這就為多種管理體系的相互融合和兼容提供了現(xiàn)實可行性?
例如,在某些種類的IC卡制造業(yè),制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,廢品的產(chǎn)生以及處置則是ISO14001環(huán)境管理關(guān)注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),只能按照指定的方式和渠道予以處置?一個經(jīng)過良好設(shè)計的管理體系規(guī)程,應(yīng)能夠保證在制造過程控制中質(zhì)量管理?環(huán)境管理和信息安全管理的要求同時得到滿足?
以融合各管理體系要求的方式設(shè)計信息安全管理體系的另一個好處,可以使實施和維護管理體系所需的資源得到最有效率的使用,從而在一定程度上可減少因運行不同管理體系造成的機構(gòu)重疊和管理官僚化,也可減少業(yè)務(wù)過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂?
售后服務(wù)認證標準為,售后服務(wù)認證機構(gòu)評價標準
ISO9001認證的好處和必要性
AAA信用等級認證證書是什么
srrc認證查詢官網(wǎng)
福建怎樣辦理ISO9001質(zhì)量認證
光穩(wěn)定劑介紹
能源管理體系認證有哪些好處?
德國商標注冊申請的費用是多少錢?
一?引言
引言部分包含了三個條款,即0.1總則?0.2過程方法?0.3與其他管理體系的兼容性?
0.1 總則
【內(nèi)容解析】
建立?實施?運行?監(jiān)視?評審?保持和改進ISO27001信息安全管理體系,應(yīng)該是一個組織整體經(jīng)營戰(zhàn)略的一部分,是從信息安全方面實現(xiàn)組織經(jīng)營宗旨的有效途徑之一?也就是說,通過ISO27001信息安全管理體系的有效運行來支持組織經(jīng)營戰(zhàn)略的實現(xiàn),是建立?實施?運行?監(jiān)視?評審?保持和改進ISO27001信息安全管理體系的根本目的,因此,脫離了組織的經(jīng)營宗旨和經(jīng)營環(huán)境談信息安全是沒有意義的?
而本ISO27001標準則給出了信息安全管理體系的基本要求,為ISO27001信息安全管理體系的建立?實施?運行?監(jiān)視?評審?保持和改進提供了一個有用的模型?
從組織經(jīng)營風險的角度考慮,絕對安全的完美制度既無必要,也不可實現(xiàn)?系統(tǒng)地管理信息安全,并不意味著建立一套絕對安全的完美制度,而應(yīng)將ISO27001信息安全管理體系 的建立?實施?運行?監(jiān)視?評審??保持和改進作為一個管理方法論,應(yīng)用于組織信息安全的系統(tǒng)性管理,設(shè)計一套適合于組織特點和具體需求的信息安全管理解 決方案?
ISO27001標準提出的信息安全管理要求框架,可以作為組織內(nèi)部和外部ISO27001信息安全管理一致性評估的依據(jù),為組織發(fā)現(xiàn)改進其信息安全管理績效的機會?也就是說GB/T22080-2008(ISO27001)可作為第一方審核?第二方審核和第三方審核的依據(jù)?
內(nèi)部和外部ISO27001信息安全管理體系一致性評估的實例包括:
1)組織基于改進其信息安全管理績效的需要,由組織自己或其代表實施的內(nèi)部ISO27001信息安全管理體系審核;
2)組織的顧客基于招標或評價其合作伙伴信息安全管理績效的需要,由顧客或其代表對組織ISO27001信息安全管理體系實施的審核;
3)第三方機構(gòu)基于ISO27001認證的目的,對組織ISO27001信息安全管理體系實施的審核?
0.2 過程方法
【內(nèi)容解析】
GB/T22080-2008鼓勵組織采用過程方法,建立?實施?運行?監(jiān)視?評審?保持和改進組織的ISMS?
組織在采用過程方法時,需要系統(tǒng)識別所應(yīng)用的過程,需要識別這些過程和過程之間的相互作用,并對其進行管理?過程方法的優(yōu)點是對諸過程組成的系統(tǒng)中單個過程之間的聯(lián)系以及過程和進程相互作用進行連續(xù)的控制?
PDCA循環(huán)是由休哈特于20世紀20年代首次提出的,后來通過戴明博士在管理學(xué)領(lǐng)域得到了廣泛的應(yīng)用,因此,人們常常將其稱為“戴明環(huán)”?
PDCA模式適用于所有的過程,也可以說PDCA模式適用于任何一項工作?
P———策劃(Plan):根據(jù)顧客的要求和組織的方針,為提供的結(jié)果建立必要的目標和過程,例如:
1)組織需要建立ISO27001信息安全管理體系的范圍是什么?
2)組織及相關(guān)方對信息安全的要求是什么?
3)組織存在哪些信息安全風險?
4)組織需要采取哪些處置風險的控制措施?
5)如何制定風險處置計劃?
D———實施(Do):實施過程,例如:如何實施風險處置計劃?
C———檢查(Check):根據(jù)方針?目標和信息安全的要求,對過程和信息安全進行監(jiān)控和測量,并報告結(jié)果?例如:
1)如何策劃監(jiān)視?測量的方法及評價準則?
2)如何實施監(jiān)視和測量?
3)如何利用監(jiān)視和測量的數(shù)據(jù)?
4)是按計劃的要求做的嗎?
5)達到預(yù)期的結(jié)果了嗎?
A———改進(Act):采取措施,以持續(xù)改進過程業(yè)績?
例如:
1)是否需要變更信息安全管理方針?
2)是否需要補充或變更信息安全管理目標?
3)是否需要變更信息安全管理策略和規(guī)程?
4)需要哪些資源實施改進?
0.3 與其他管理體系的兼容性
【內(nèi)容解析】
為滿足持續(xù)業(yè)務(wù)運營的要求,組織可能將管理體系方法論用于多個領(lǐng)域的管理,包括以產(chǎn)品和服務(wù)質(zhì)量滿足要求為核心目的的ISO9001質(zhì)量管理體系?以污染物的產(chǎn)生和排放滿足環(huán)境管理要求為核心目的的ISO14001環(huán)境管理體系,以及以信息資產(chǎn)的安全滿足要求為核心目的的信息安全管理體系?
無論哪一種管理體系的運行,客觀上都是和組織的業(yè)務(wù)過程及相關(guān)支持過程伴生的,這就為多種管理體系的相互融合和兼容提供了現(xiàn)實可行性?
例如,在某些種類的IC卡制造業(yè),制卡過程的廢品率是質(zhì)量管理必須考慮的內(nèi)容,廢品的產(chǎn)生以及處置則是ISO14001環(huán)境管理關(guān)注的要素,而信息安全管理則需要確保廢品卡作為含有敏感信息的介質(zhì),只能按照指定的方式和渠道予以處置?一個經(jīng)過良好設(shè)計的管理體系規(guī)程,應(yīng)能夠保證在制造過程控制中質(zhì)量管理?環(huán)境管理和信息安全管理的要求同時得到滿足?
以融合各管理體系要求的方式設(shè)計信息安全管理體系的另一個好處,可以使實施和維護管理體系所需的資源得到最有效率的使用,從而在一定程度上可減少因運行不同管理體系造成的機構(gòu)重疊和管理官僚化,也可減少業(yè)務(wù)過程中的執(zhí)行人員不得不分別理解不同管理體系的要求帶來的混亂?
售后服務(wù)認證標準為,售后服務(wù)認證機構(gòu)評價標準
ISO9001認證的好處和必要性
AAA信用等級認證證書是什么
srrc認證查詢官網(wǎng)
福建怎樣辦理ISO9001質(zhì)量認證
光穩(wěn)定劑介紹
能源管理體系認證有哪些好處?
德國商標注冊申請的費用是多少錢?