什么是过程方法

什么是过程方法?

系统地识别和管理组织所应用的过程以及过程之间的相互作用，称为“过程方法”。所谓“过程”是一组将输入转化为输出的相互关联或相互作用的活动。ISO27001采用过程方法建立信息安全管理体系可以保证该体系得到顺利地建立、实施、维持和持续改进，并且能够保证和质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等兼容，降低了管理的总体复杂程度。

过程方法鼓励其用户关注下列内容的重要性：

□  了解信息安全要求，以及为信息安全建立方针和目标的需求；

□  实施并运作管理组织所有业务风险的控制；

□ 监控并评审信息安全管理体系的效率和效果；

□  在目标测量的基础上持续改进。

什么是过程模式？

PDCA是Plan、Do、Check、Act的首字母缩写。PDCA模式是被质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等管理体系所广泛采用的一种过程模式，这种模式在识别和运作过程时，把过程分为策划(Plan)、实施(Do)、检查(Check)、处置(Act)四个阶段，通过这四个阶段的持续循环，使过程效果得到不断提升。

ISO27001采用PDCA过程模式，在体系的整体建立、实施、维持和持续改进的大过程中PDCA的阶段分布可简单描述如下(见下图)：

策划（建立ISMS）建立与管理风险和改进信息安全有关的信息安全管理体系方针、目标、过程和程序，提供与组织整体策略方针和目标相一致的结果。

实施（实施和运行ISMS） 实施和运行信息安全方针、控制措施、过程和程序。>

检查（监视和评审ISMS）对照信息安全管理体系方针、目标和实践经验，评估并在适当时，测量过程业绩，并将结果报告管理者以供评审。

处置（保持和改进ISMS）在信息安全管理体系内部审核和管理评审结果的基础上，采取纠正和预防措施，以持续改进信息安全管理体系。