此篇文章,主要介紹治理的方法(EDM)以及管理的方法(PDCA),最後在介紹一下兩種方法的一些差異。
治理的方法(EDM)
EDM是CISM中有提到的一個治理方法,它代表著”評估(Evaluate)、制定(Develop)、管理(Manage)”這三個關鍵詞,其目的是為了確保組織在信息安全管理方面具有有效性、高效性和合規性。
EDM中的評估階段是指對組織的資訊安全管理實踐進行評估,以確定當前存在的風險和缺陷,並識別潛在的風險和威脅。這個階段包括了風險評估、合規性審核、內部審核和外部審核等。評估階段的目的是為了為制定資訊安全管理策略提供準確的信息和數據支持。
EDM中的制定階段是指根據評估階段的結果,制定適合組織的信息安全管理策略、政策和標準。這個階段包括了制定資訊安全管理計劃、制定資訊安全政策和標準、設計資訊安全架構等。制定階段的目的是為了確保組織擁有可行的資訊安全管理計劃,並將其轉化為實際的管理措施。
EDM中的管理階段是指實施和監督資訊安全管理策略、政策和標準,以確保其有效性和合規性。這個階段包括了資訊安全管理的實施、風險緩解和管理、安全事件管理、合規性監管和安全培訓等。管理階段的目的是為了確保資訊安全管理策略能夠持續地運作,並且能夠適應不斷變化的信息安全環境。
總之,EDM是CISM中的一個重要治理方法,它通過評估、制定和管理三個階段來確保組織的資訊安全管理活動能夠有效地進行,並且能夠保護組織的資訊資產。
管理的方法(PDCA)
PDCA(Plan-Do-Check-Act)是CISM(Information Security Management Control)中的一種管理方法,它也被稱為循環改進模型或戴明環。這個模型由四個步驟組成,用於管理和持續改進資訊安全管理系統(ISMS)。
第一步是計劃(Plan),其目的是確定組織的資訊安全政策、目標和過程,並制定計劃來實現這些目標。這個步驟包括制定風險評估計劃、制定安全計劃、指定資源等。
第二步是執行(Do),其目的是實施計劃,包括部署和實施資訊安全管理系統中的各種控制措施。這個步驟也包括安全意識培訓、制定規程和流程、技術控制和應急響應等。
第三步是檢查(Check),其目的是對資訊安全管理系統進行監測和評估,以檢查其是否符合預期的目標和標準。這個步驟包括內部審核、安全性能評估和度量等。
第四步是行動(Act),其目的是根據檢查階段的結果對資訊安全管理系統進行持續改進。這個步驟包括制定改進計劃、部署改進措施、制定持續改進計劃等。
PDCA模型是一個循環模型,也就是說,這四個步驟是在資訊安全管理系統運作的整個生命週期中不斷進行循環的,以實現對資訊安全管理系統的持續改進和完善。通過PDCA模型,組織可以不斷優化其信息安全管理體系,並逐漸提高其信息安全水平。
簡單來說,PDCA模型是一種管理方法,用於循環改進資訊安全管理系統。通過這個模型,組織可以不斷進行評估和監測,找出問題所在,並采取措施進行改進,以確保資訊安全體系持續完善。
EDM和PDCA都是廣泛應用於資訊安全管理領域的治理方法。它們都以持續改進為目標,並提供了一種循環模型來實現這個目標。
然而,它們的焦點和應用範圍有所不同。EDM主要關注資訊安全管理的制定和實施階段,而PDCA則關注信息安全管理的持續改進階段。
具體而言,EDM包括三個階段:評估、制定和管理,主要關注的是資訊安全管理的制定和實施階段。它側重於制定資訊安全政策和標準、建立安全管理體系、部署安全控制措施、管理安全事件等方面。EDM強調制定合適的策略和政策,以確保資訊安全管理的有效性和合規性。
PDCA則包括四個階段:計劃、執行、檢查和行動,主要關注資訊安全管理的持續改進階段。它側重於對資訊安全管理體系進行監測和評估,確定問題和機會,並制定改進計劃。PDCA強調持續改進的重要性,以不斷提高資訊安全管理的效果和效率。
另外,PDCA模型是一種通用的質量管理方法,適用於各種類型的管理體系,而EDM則是專門針對資訊安全管理體系的治理方法。因此,在資訊安全管理領域中,EDM更為專業和具體,而PDCA則更為通用和廣泛應用。
總的來說,EDM和PDCA都是非常有用的治理方法,可以幫助組織有效地管理資訊安全。它們之間的主要差別在於焦點和應用範圍,EDM更關注資訊安全管理的制定和實施階段,而PDCA則更關注資訊安全管理的持續改進階段。
最後提供給大家一些相關的連結
PDCA相關的如下
EDM相關的如下