5.1.3 PDCA过程
“规划( Plan)-实施(Do) -检查(Check)-处置(Act)”(PDCA过程)又叫质量环,是管理学中的一个通用模型,最早由休哈特于1930年构想,后来被美国质量管理专家戴明博士在1950年再度挖掘出来,并加以广泛宣传和运用于持续改善产品质量的过程。PDCA 循环就是接照_规划、实施、检查、处置”的顺序进行质量管理,并且循环不止地进行下去的科学程序,建立符合国际标准IS09001的质量管理体系即是一个典型的PDCA过程,建立IS014001环境管理体系、IS020000IT服务管理体系也是一个类似的过程。
信息安全管理体系也采用了PDCA模型,该模型可应用于所有的ISMS过程。下图说明了ISMS如何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生满足这些要求和期望的信息安全结果。
规划(建立ISMS)
建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总方针和总目标相一致的结果。
实施(实施和运行ISMS)
实施和运行ISMS方针、控制措施、过程和规程。 检查(监视和评审ISIVIS)
对照ISMS方针、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果报告管理者以供评审。
处置(保持和改进ISMS)
基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。