ISMS--信息安全有效性测量程序.doc

ISMS--信息安全有效性测量程序 信息安全管理体系文件中，PDCA 循环是信息安全管理体系有效性测量的核心概念，PDCA 循环的四个阶段分别是计划、实施、检查和行动，每个阶段都有其具体的内容和目的。 1. 计划阶段：制定具体工作计划，提出总的目标，包括分析目前现状、分析产生问题的各种原因、分析并找出管理中的主要问题、制定管理计划、确定管理要点等。 2.实施阶段：按照制定的方案去执行，全面执行制定的方案，直接影响全过程。 3. 检查阶段：检查实施计划的结果，检查工作，调查效果，是对实施方案是否合理、是否可行的检查。 4. 行动阶段：根据调查效果进行处理，对已解决的问题加以标准化，将这些纳入到制度、规定中，防止以后再发生类似问题。找出尚未解决的问题，转入下一个循环中去，以便解决。 信息安全管理体系有效性测量的 PDCA 循环具有以下内容： 1. 计划和实施计划阶段用来保证信息安全管理体系的测量内容和范围被正确地建立，测量的风险被正确评估，处理这些风险的计划被有效开发。 2.实施阶段用来实施在计划阶段确定的决策和解决方案。 3. 检查和行动检查和行动阶段用来加强、修改和改进已识别和实施的信息安全管理体系的测量方案。 在信息安全管理体系有效性测量中，还有多种方法可以用来评估信息安全管理体系的有效性，如业务系统可用性保证、信息泄密次数、安全事件发生次数、残余风险中的不可容许风险比率、信息安全培训考核合格率等。 业务系统可用性保证是指业务系统正常运行，避免各种非故意的错误与损坏，确保动力环境、网络、主机系统、应用系统的可用性。 信息泄密次数是指各种需要保密的资料不被泄密，确保绝密、机密信息不泄漏给非授权人员。 安全事件发生次数是指严重信息安全事件、比较严重安全事件、一般安全事件的目标值。 残余风险中的不可容许风险比率是指不可容许残余风险数除以残余风险数的百分比。 信息安全培训考核合格率是指考核合格人数除以培训人数的百分比。