中文

Powertime共享课堂 | 信息安全管理体系

文章发布日期:2020-08-13

01



ISO现有的管理体系

讲管理体系离不开管理体系标准,截止今年5月7号,在ISO现行的管理体系标准里面大概有26个管理体系。具体的统计数据及管理体系详情如下图所示:
1597301297444916.png
1597301374270556.png
1597301395542880.png
展示这26个管理体系的目的是想告诉大家一个事情:各行各业都有管理体系的标准,并且这些标准现在还在不断的发展,还会有新的管理体系标准面世。管理体系标准有一个重要的功能,就是认证。如果一个组织建立和实施了他所需要的管理体系,他就可以向管理体系的认证机构提出认证的申请。如果通过管理体系认证机构的审核,将获得管理体系认证的证书。下图为目前“管理体系”全球认证证书的数量统计:
1597301430717839.png

02



“管理体系”方法的演进

“管理体系”方法的演进经历了要素式到体系化到体系整合这三个阶段。第一个阶段叫要素式的管理体系,也就是说这个管理体系对你提出了要求,你要一条一条的对照这这个要求,逐项地去满足,这就是要素式;2008年的版本以后就开始提体系化管理体系,强调要素与要素之间的关系;最后一个阶段在2015年的版本中提出体系整合。整合后的管理体系,有最高层结构、有共同的文本,核心文本的描述也是一样的。
1597301451978155.png
1597301483291987.png

03



与“管理体系”的紧密相关的几个概念

ISO Directives Supplement Annex SL


管理体系
组织建立方针和目标并实现这些方针和目标的一组相互关联、相互作用的要素。
注1:一个管理体系可以覆盖一个或多个领域。
注2:管理体系要素包括组织结构、角色和职责、规划和运行。
注3:管理体系的范围可以包括整个组织,组织特定和已识别的职能,组织中特定和已识别的一个或多个跨跨团队的部门。
image.png

organization-组织


组织
由职责、权限和相互关系构成自身功能的,为实现其目标(3.8)的一个人或一组人。
注1:组织的概念包括但不限于:个独企业、公司、集团、事务所、政府机构、合伙企业、慈善机构或研究机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。
image.png

interested party-利益相关方


利益相关方
可以影响、被影响或认为自己受到某项决定或活动影响的个人或组织(3.1)
image.png

requirement-要求



要求
明示的、通常隐含的或必须履行的需求或期望
注1:“通常隐含”是指组织(3.1)和相关方(3.2)的惯例或通常做法,所考虑的需求或期望是不言而喻的。
注2:规定要求是经明示的要求,如:在文件化信息中阐明。
image.png

policy-方针


方针
由最高管理者(3.5)正式表达的组织(3.1)的意图和方向
image.png

documented information-文件化信息


文件化信息
组织(3.1)需要控制和维护的信息及其载体
注1:文件化信息可以采用任何形式和载体,可来自任何来源。
注2:文件化信息可以是:
- 管理体系(3.4),包括相关过程(3.12);
- 为组织运作产生的信息 (一组文件);
- 实现结果的证据(记录)。
image.png

conformity-合格    


合格(符合) 
满足要求(3.3)

不能合格(不符合)
未满足要求(3.6.4)

image.png

conformity assessment-合规评定    


证实规定要求得到满足(的活动)


1597301574655813.png

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部