力嘉咨询信息技术服务管理体系,莆田27001信息安全管理体系

ISO27001信息安全管理体系是目前国际上的信息安全整体解决方案。它以组织风险评估为基石，运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。

ISO27001：2013新版变化
       旧版的信息安全管理系统ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

新要求：ISO 27001:2005原本有11个领域（domain）、133项控制措施，新版DIS目前调整为14个领域（A.5-A.18）、113个控制措施（未来仍可能有改动）。新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。

遵循原则
在编写程序文件时应遵循下列原则：
程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定； 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式； 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度； 程序文件应简练、明确和易懂，使其具有可操作性和可检查性； 程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

模式应用
PDCA简介
计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；
实施（Do）——实施所选的安全控制措施；
检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 [2]
改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS
　　的持继改进。

PDCA过程模式
策划：
依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
实施：实施和运作方针（过程和程序）。
检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。
措施：采取纠正和预防措施进一步提高过程业绩。
四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。