pdca应用 PDCA过程模式在安全管理体系中的应用(3)



 C(检查)—监视并评审信息安全管理体系

  检查阶段,又叫学习阶段,是PDCA循环的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好,并对其业绩进行监视,可能包括下列管理过程:

  1、执行程序和其他控制以快速检测处理结果中的错误;快速识别安全体系中失败的和成功的破坏;能使管理者确认人工或自动执行的安全活动达到预期的结果;按照商业优先权确定解决安全破坏所要采取的措施;接受其他组织和组织自身的安全经验。

  2、常规评审信息安全管理体系的有效性;收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈,定期对信息安全管理体系有效性进行评审。

  3、评审剩余风险和可接受风险的等级;注意组织、技术、商业目标和过程的内部变化,以及已识别的威胁和社会风尚的外部变化,定期评审剩余风险和可接受风险等级的合理性。

  4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期(最多不超过一年)检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划,以便审核任务能在审核期间内按部就班的展开。

  管理者应该确保有证据证明:a.信息安全方针仍然是业务要求的正确反映;b.正在遵循文件化的程序(信息安全管理体系范围内),并且能够满足其期望的目标;c.有适当的技术控制(例如防火墙、实物访问控制),被正确的配置,且行之有效;d.剩余风险已被正确评估,并且是组织管理可以接受的;e.前期审核和评审所认同的措施已经被实施;

  审核会包括对文件和记录的抽样检查,以及口头审核管理者和员工。

  5、正式评审:为确保范围保持充分性,以及信息安全管理体系过程的持续改进得到识别和实施,组织应定期对信息安全管理体系进行正式的评审(最少一年评审一次)。

  6、记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

  A(措施)—改进信息安全管理体系

  经过了策划、实施、检查之后,组织在措施阶段必须对所策划的方案给以结论,是应该继续执行,还是应该放弃重新进行新的策划?当然该循环给管理体系带来明显的业绩提升,组织可以考虑是否将成果扩大到其他的部门或领域,这就开始了新一轮的PDCA循环。

  在这个过程中组织可能持续的进行一下操作:a.测量信息安全管理体系满足安全方针和目标方面的业绩。b.识别信息安全管理体系的改进,并有效实施。c.采取适当的纠正和预防措施。d.沟通结果及活动,并与所有相关方磋商。e.必要时修订信息安全管理体系。f.确保修订达到预期的目标。

  在这个阶段需要注意的是,很多看起来单纯的、孤立的事件,如果不及时处理就可能对整个组织产生影响,所采取的措施不仅具有直接的效果,还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下,以长远的眼光来打算,确保措施不仅致力于眼前的问题,还要杜绝类似事故再发生或者降低其在放生的可能性。

  不符合、纠正措施和预防措施是本阶段的重要概念。

  不符合:是指实施、维持并改进所要求的一个或多哥管理体系要素缺乏或者失效,或者是在客观证据基础上,信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

  纠正措施:组织应确定措施,以消除信息安全管理体系实施、运作和使用过程中不符合的原因,防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求:a.识别信息安全管理体系实施、运作过程中的不符合;b.确定不符合的原因;c.评价确保不符合不再发生的措施要求;d.取定并实施所需的纠正措施;e.记录所采取措施的结果;f.评审所采取措施的有效性。

 PDCA过程模式在安全管理体系中的应用(3)

  预防措施:组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相适应。

  预防措施的文件化程序应该规定以下方面的要求:a.识别潜在不符合及其原因;b.确定并实施所需的预防措施;c.记录所采取措施的结果;d.评审所采取的预防措施;e.识别已变化的风险,并确保对发生重大变化的风险予以关注。

  

爱华网本文地址 » http://www.413yy.cn/a/9101032201/493456.html

更多阅读

重构商业模式 pdf 重构中国白酒商业新版图(3)

二线名酒:以市场全国化重构中国白酒商业新版图   从历史与现实看,最具代表意义的二线名酒企业无疑是四川郎酒、安徽古井、四川剑南春、陕西西凤等中国名酒,二线名酒既面临着一些共性问题,也面临着一些个性化问题,二线名酒在本轮结构

绩效管理系统软件 绩效管理在企业管理系统中的应用

      工欲善其事,必先利其器。从观察国内众多企业,特别是上市企业的发展脉络,可以发现,提高企业管理的绩效水平,不是没有办法,而是在优化管理制度的基础上,找到真正有效的绩效管理工具,这样一来,管理就不再是不可传的艺术,不再是天赋的才

绩效管理体系设计方法要点(六):发现运营过程中的不平衡

     绩效管理的最终目标是改善绩效。改善绩效需要在运营过程中实现,根据“木桶原理”,发现运营过程中的“短板”,是改善绩效的基本方法。  例如:一条生产线,假设有20个工位,各个工位的生产效率是不同的,我们称为“生产节拍”。整条

绩效管理体系设计方法要点(一):过程与结果并重

     绩效管理体系设计,经历了如下几个阶段:  1. 年终考核“德、能、勤、绩”。以定性评估为主,一次性评估,以领导评估意见为主。  a) 弱点:定性评估,客观性不强;单次评估,对日常工作的影响力不大!  2. KPI(关键业绩指标)指标法:以量

高中地理教学反思 问题情景教学模式在高中地理教学中的应用

     利用图片动画演示创设问题情景。新教材有很多有趣的插图,让学生仔细观察并进行比较,再提出问题。如:在学习《锋面系统》时教材中有一幅插图,让学生观察图中的冷锋和暖锋,学生会提出:为什么冷锋和暖锋的锋面都倾斜于冷气团一边?为

声明:《pdca应用 PDCA过程模式在安全管理体系中的应用(3)》为网友人歡分享!如侵犯到您的合法权益请联系我们删除