目前互聯(lián)網(wǎng)行業(yè)發(fā)展迅速，越來越多的企業(yè)進(jìn)行企業(yè)內(nèi)部的信息安全認(rèn)證，通過這一證書，不僅可以向客戶等一些相關(guān)方證實(shí)自己企業(yè)的實(shí)力，還可以更優(yōu)化與企業(yè)內(nèi)部的管理。

    隨著2013年發(fā)布的ISO27000的改版，各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。

    本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下，如何更好地保持和改進(jìn)信息安全體系作出解讀，使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論，制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

關(guān)于PDCA模型：
    此處對于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡單說明：PDCA模式是國際認(rèn)可的模型，很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式。該模型是一個很好的周期性框架，每個階段都與其他階段相關(guān)聯(lián)。
    PDCA模型分別由四部分組成：P（Plan）——建立ISMS，根據(jù)組織的整體策略和目標(biāo)，確定活動的計劃，包括第四至七章（組織背景、領(lǐng)導(dǎo)力、計劃、支持）；D（Do）——實(shí)施和運(yùn)作ISMS，實(shí)際地去完成計劃中的內(nèi)容，包括第八章（運(yùn)行）；C（Check）——監(jiān)視和評審ISMS，總結(jié)實(shí)施和運(yùn)作的結(jié)果，查找問題，包括第九章（績效評價）；A（Action）——保持和改進(jìn)ISMS，對評審的結(jié)果做出處理，成功的經(jīng)驗(yàn)要進(jìn)行保持和推廣，失敗的教訓(xùn)要尋找原因，避免下次再出現(xiàn)同樣的錯誤，沒有解決的問題放到下一個PDCA循環(huán)中，包括第十章（改進(jìn)）。

    PDCA模型是管理學(xué)中常用的一個模型。該模型在運(yùn)作過程中，按照P-D-C-A的順序依次進(jìn)行，一次完整的循環(huán)可以看作是管理學(xué)上的一個管理周期，每經(jīng)過一次循環(huán)，管理情況就會得到改善，同時進(jìn)入更高的P-D-C-A周期循環(huán)，組織的管理體系不斷的得到提升，管理水平也不斷提高。

而這四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績效螺旋上升。
    新的內(nèi)容將使企業(yè)的側(cè)重點(diǎn)不同，從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視，在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀，了解其發(fā)展所面臨的機(jī)遇與風(fēng)險，從而高標(biāo)準(zhǔn)、高精度、高要求來對待信息安全管理工作。

    新的版本、新的改進(jìn)都是為了跟好的貼切企業(yè)實(shí)際的運(yùn)行。企業(yè)能夠?qū)?biāo)準(zhǔn)很好的應(yīng)用到企業(yè)中。