PDCA 过程模式在信息安全管理体系的应用
科飞管理咨询
XX
吴昌伦 王毅刚
BS 7799 是国际上具有代表性的信息安全管理体系标准,其第二部分《信息安全管理体系规 X》,是组
织评价信息安全管理体系有效性、符合性的依据。它的最新版本(BS 7799-2:2002)是 2002 年 9 月 5 日修
订的,引入了 PDCA(Plan-Do-Check-Action)过程模式,作为建立、实施信息安全管理体系并持续改进其
有效性的方法。
PDCA 过程模式被 ISO 9001、ISO 14001 等国际管理体系标准广泛采用,是保证管理体系持续改进的有
效模式。依据 BS 7799-2:2002 建立信息安全管理体系时,过程方法鼓励其用户强调下列内容的重要性:
1、理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;
2、在管理组织整体业务风险背景下实施和运行控制;
3、监控并评审信息安全管理体系的业绩和有效性;
4、在目标测量的基础上持续改进。
BS 7799-2:2002 的 PDCA 过程模式
BS 7799-2:2002 所采用的过程模式如图 1 所示,“计划-实施-检查-措施”四个步骤可以应用于所有过程。
PDCA 过程模式可简单描述如下:
图 1 PDCA 过程模式
◆ 策划:依照组织整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、
过程和程序。
◆ 实施:实施和运作方针(过程和程序)。
◆ 检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
◆ 措施:采取纠正和预防措施进一步提高过程业绩。
1 / 7