iso27000对软件行业的信息安全的解读

目前互联网行业发展迅速，越来越多的企业进行企业内部的信息安全认证，通过这一证书，不仅可以向客户等一些相关方证实自己企业的实力，还可以更优化与企业内部的管理。

随着2013年发布的ISO27000的改版，各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。

本文将针对软件行业在调整下的信息安全管理体系下，如何更好地保持和改进信息安全体系作出解读，使企业更好地依据标准体系和方法论，制定出符合企业长久发展的信息安全管理体系。

关于PDCA模型：

此处对于PDCA模型以及新版标准的划分做一简单说明：PDCA模式是国际认可的模型，很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架，每个阶段都与其他阶段相关联。

PDCA模型分别由四部分组成：P（Plan）——建立ISMS，根据组织的整体策略和目标，确定活动的计划，包括第四至七章（组织背景、领导力、计划、支持）；D（Do）——实施和运作ISMS，实际地去完成计划中的内容，包括第八章（运行）；C（Check）——监视和评审ISMS，总结实施和运作的结果，查找问题，包括第九章（绩效评价）；A（Action）——保持和改进ISMS，对评审的结果做出处理，成功的经验要进行保持和推广，失败的教训要寻找原因，避免下次再出现同样的错误，没有解决的问题放到下一个PDCA循环中，包括第十章（改进）。

PDCA模型是管理学中常用的一个模型。该模型在运作过程中，按照P-D-C-A的顺序依次进行，一次完整的循环可以看作是管理学上的一个管理周期，每经过一次循环，管理情况就会得到改善，同时进入更高的P-D-C-A周期循环，组织的管理体系不断的得到提升，管理水平也不断提高。

而这四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。

新的内容将使企业的侧重点不同，从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视，在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状，了解其发展所面临的机遇与风险，从而高标准、高精度、高要求来对待信息安全管理工作。