ISO 27001 的核心框架:PDCA 循环
来源:本站 作者:编辑 日期:2025/7/22 22:06:26
标准采用 “策划(Plan)- 实施(Do)- 检查(Check)- 改进(Act)” 的动态管理循环,确保体系持续有效:
-
策划(Plan)
-
明确信息安全目标和范围(如部门、业务流程、信息资产);
-
进行风险评估(识别威胁、漏洞及潜在影响);
-
制定风险处理计划(如规避、转移、缓解风险)。
-
实施(Do)
-
建立信息安全政策和程序(如访问控制、密码管理、应急响应);
-
分配职责(如指定信息安全负责人);
-
提供培训,确保员工理解并执行安全要求。
-
检查(Check)
-
定期监控和测量体系运行效果(如审计、漏洞扫描);
-
开展内部审核和管理评审,验证是否符合目标和标准要求。
-
改进(Act)
-
针对发现的问题采取纠正措施(如修复漏洞、更新政策);
-
持续优化体系,适应新的威胁(如勒索软件、AI 安全风险)或业务变化。
