Внедрение системы Модель Деминга для улучшения управления безопасностью: социологическое исследование,

Угрозы информационной безопасности растет с развитием информационных технологий и большую зависимость от Интернета. Мы сообщаем о случае, посвященного маркетингу телекоммуникационной компании, которая успешно изменения от традиционной торговой компании в компанию, которая опирается почти исключительно на электронную торговлю. PDCA модели разработаны Деминг был использован для разработки системы управления безопасностью для этой компании. Эта система была разработана для оценки шансов на нарушения в сфере безопасности, разработать соответствующую политику и правила работы для их решения, а также чтобы убедиться, что удобство использования, целостности конфиденциальности данных в компании. Система помогла компании получить сертификацию защиты информации от местного агентства по аккредитации, SGS Тайвань. Уроки разработаны с тематического исследования для разработки и внедрения эффективных систем безопасности.

Введение

С появлением электронной коммерции и об основных событиях в интернете, на многих предприятиях, включая частные компании и государственные ведомства и учреждения бюро принять компьютеризированной их работы подряд, то, что включает в себя хранение данных в компьютеры и передачи данных через Интернет. Поэтому, как для достижения оперативной безопасности и поддержания безопасных информационных систем стали актуальные вопросы для многих предприятий. В данном исследовании разработке систем менеджмента информационной безопасности в соответствие с нормами, установленными ISO / IEC 19977 (<a target="_blank" href="http://www.iso.ch/" HTTP rel="nofollow">: / / www.iso.ch/ </ A>). Так как эти стандарты четко, информационная безопасность является не только техническая проблема, это также как и многое, если не больше, проблемы управления. С помощью или с помощью общей схемы планирования, ориентированной на конкретных потребностей данной компании, используя методы управления рисками, а также анализа и оценки безопасности слабости и сильные стороны компании, мы надеемся разработать всеобъемлющую и эффективную систему, которая будет уменьшить опасность для безопасности компании и со временем привести к значительно меньше нарушений или недостатков в сфере безопасности.

Обзор литературы

PDCA модели

Деминга PDCA представил на японских предприятий в 1950 году, согласно которой улучшение качества осуществляться через четыре основных этапа: Plan-Do-Check-Action. С тех пор Япония стала мировым лидером в области управления качеством. В 1993 году Деминг изменилось "Проверить" на "исследования" в модели, с тем чтобы подчеркнуть, что "расследование" и "анализ" являются основой для действий, что делает ее модели PDSA [1]. Другой гуру качества "Юран заявил, что рода кружков качества, которые, которые стали популярным способом разработки и внедрения качественных улучшений в Японии, можно было бы улучшить, если они стали, как он выразился, качество прогрессивной спирали, по условиям которой из серии PDCA меры могут функционировать по-разному в различных предприятиях и компании [4]. Многие исследования, исследования были посвящены изучению функционирования PDCA [например, 5, 8, 13, 18, 19], но большинство из них об эффективном управлении и редко, связанных с управления информационной безопасностью. В настоящем исследовании принимает исследований индивидуальный подход для изучения целесообразности выявить модель PDCA как метод повышения эффективности управления информационной безопасностью.

ISO / IEC 17799

Цель ISO / IEC 17799 кодекса заключается в создании набора стандартных критериев для системы обеспечения информационной безопасности, который направлен не только обеспечить "абсолютную защиту, но также для обеспечения предприятия берет на себя полную ответственность за его собственную оценку информации и безопасности контроля. Условия или заголовки в соответствии с которым вопросы безопасности рассматриваются в коде: (1) Область, (2) Термины и определения, (3) политики в области безопасности (4) Организационные безопасности, (5) Классификация активов и контроля (6) безопасности персонала, (7) Физические и экологической безопасности, (8) связи и оперативного управления, (9) Управление доступом (10) Развитие и обслуживание системы, (11) Управление непрерывностью бизнеса, и (12) Compliance.

Исполнительный Юань соответствующими руководящими "учреждения в Тайване руководствоваться ISO / IEC 17799. В 1999 году. Научные исследования, разработки и оценки Комиссии Исполнительный Юань издал Нету 88-05787-менеджмента информационной безопасности Норма для вспомогательных учреждений Исполнительного Юаня [11]. Эта директива, содержащийся 10 глав похож на ISO / IEC 17799. В соответствии с этой директивой правительства, системы информационной безопасности должны быть: (1) Конфиденциальность: обеспечить, чтобы только уполномоченному персоналу доступ к информации. (2) Целостность: обеспечение достоверности и точности информации и оперативных методов, используемых для анализа и распространения. (3) Юзабилити: обеспечить, чтобы только авторизованные пользователи получают доступ к соответствующей информации. Генеральный директор бюджета, учета и статистики опубликовала Руководство по информационной безопасности [6] состоит из пяти глав, касающихся законов и правил, регулирующих информации и коммуникации, из которых Информационная и коммуникационная безопасность самоконтроля Список может быть получена, что предприятия могут использовать диагностировать свои собственные проблемы информационной безопасности и, возможно, их решениям.

Связанные работы

Что касается Системы Управления Информационной Безопасностью (СУИБ), Чэнь Жуй-сян [9] ISO / IEC 17799 рекомендовал информации стандартов безопасности и внутренних процессов ревизии подчеркнуть важность внутреннего контроля информационной безопасности. Ян Хун-Жень и др.. [14] исследовали управления информации преступности и управления информационной безопасностью с помощью внедрения национальных стандартов и критериев в информационно-коммуникационной безопасности внешних Контрольный список. Их исследование касается различных методов предупреждения преступлений информации и обобщены исследования системы безопасности об управлении информационной безопасности путем применения критериев и норм, призванных в соответствии с ISO / IEC 17799. Хуан Мин-Da и др.. [10] утверждал, что три типа информационных систем управления безопасностью, как правило, принятых отечественных и иностранных банков в Тайване, что, соответственно подчеркнуть, контроля доступа, физической и обстановки в плане безопасности, а также развития и эксплуатации системы. Однако эти исследования не включали фактической ситуации в области безопасности информации в местном финансовом секторе в Тайвань, а не изучать мнения отдельных банкиров о том, как лучше управлять информационной безопасности. В связи с этим исследования, Мао Ши-сена и др..

[3] исследовал интернет-безопасности сельских кредитных кооперативов информационные центры на Тайване, однако их исследование не касается аспектов управления ISO / IEC 17799. Вентилятор Guo-жень [15, 16] рассмотрены сертификации практики информационной безопасности, как руководители отреагировали на информацию и кризисов коммуникационной безопасности, как для подготовки и защиты от таких кризисов, а также о том, как менеджеры могут лучше восстанавливаться после нарушения или упущения со в области безопасности. Вентилятор Guo-жень и др.. [17] также рассматривается, контроль и проверка систем информационной безопасности. В данной работе этих исследователей предложила концепцию "проверки" связать или ссылку внутренних и международных систем управления информационной безопасностью на различных уровнях на основе PDCA для выявления и оценки рисков, а также разработки и осуществления контроля безопасности. Наше исследование относится модель PDCA Деминга в области управления информационной безопасностью в всего предприятия или фирмы, используя такой же модели выступают Деминг для контроля производства в производственных компаниях ..

Профиль фирмы случае исследование

Фирма Y была основана в 1995 в Тайване. В начале было всего четыре человека в компании, босс, кассир, продавец, и один инженер. Первоначальный бизнес-модель только для торговли. Компания продала продукции с акцентом на импорт материалов от аутсорсинга. Для того чтобы выжить в конкурентной маркетинга, фирма Y начали разработку стратегий около 200 после появления электронной торговли. С этого времени фирма Y расширить сферу компании, а также начали обращать внимание на лучший уровень обслуживания клиентов. В то же время фирма Y также разработала собственную модель бизнеса, чтобы воспользоваться возможностями электронной коммерции. Их потребительские товары были в основном в областях коммуникации и компьютеров, например, модули мини-FM, CD плееры, сотовые телефоны, карманные компьютеры лат, карты памяти, и синий зуб устройств. Через год фирма, в январе 2000 года фирма Y официально объявил всем своим сотрудникам, что они после электронной коммерции маршрута. В то же время новый отдел, целью которого была борьба с компьютерной сети была построена также был построен. Благодаря усилиям своих сотрудников, то и с помощью консультантов, фирма Y, можно сказать, успешно 'перемещались время традиционных трейдеру время фирма, которая в значительной мере основывается на электронной торговли (<A HREF = "http:/ / www.maotek.com/ "целевых =" _blank "относительной =" NOFOLLOW "> http://www.maotek.com/ </ A>) ..

System Design

Цель исследования: исследования была ограничена создания СУИБ, включая разработку модели управления, контроля и проверки системы, которая была установлена. Стандартов в соответствии с которым установлена система оценки была разработана модель PDCA; от "плана делать, проверьте, идея действий" или концепции, разработанной Деминг [17]. Эта идея или концепция, в свою очередь, на основе менеджмента качества Деминга, который был рассмотрен эффективной модели управления во многих отраслях. Контуры предлагаемой модели, показанной на рис. 3-1. Наши исследования работать или использоваться ISO / IEC 17799 стандартов (на основе модели PDCA Деминга) для разработки рамок, что "соответствует к информационной безопасности надзорной и аудит систем управления, предлагаемых для компании в случае исследования. Рамки не только показывает информацию о требованиях безопасности и ожидаемые результаты в рамках бизнес, но также считает историческим событием информационной безопасности со стороны бизнеса. В связи с этим стоит сравнить управления круг Деминга с нашего исследования рамки, с точки зрения элементов плана (Создание СУИБ окружающей среды и оценка риска), У (СУИБ разработки и реализации), Check (мониторинг и обзор СУИБ) и действий (улучшение СУИБ), как показано на рис.

Структура "план" фазу

В соответствии с требованиями ISO / IEC 17799, необходимо разработать и осуществить следующее: политики информационной безопасности, департамент информационной безопасности на предприятии, система классификации и управления активами фирмы, методы управления физической и экологической безопасности , коммуникации и операций, систем контроля доступа к информации, методы разработки и эксплуатации информационных систем себя и способы управления преемственность и изменения. При этом необходимо позаботиться не влиять или вмешиваться в повседневную работу компании, которая сформировала тематических исследований. В этой связи было сочтено необходимым рассмотреть структуру этого плана, как показано на рис. активы 3-2, с директором фирмы, а также (1) политика в отношении политики информационной безопасности, (2) метод 'проверить', (3), каким образом риск быть оценены, и (4) различных пунктов ревизии классифицируются по три уровня информационной безопасности (A, B и C), в соответствии с фактическими потребностями фирмы.

Структура "сделать" фаза

Для обеспечения эффективного и регулярного мониторинга деятельности информационной безопасности, процесс был разделен на шесть этапов или шагов, в зависимости от программного обеспечения информационной безопасности, которая была применена при каждом шаге или стадии: это были: (1) система управления почтой, (2 ) потоков в системе мониторинга, (3) счетов системы управления (4) график загрузки программного обеспечения, (5) системы информационной безопасности, включая обнаружение бэкдор или незаконного программного обеспечения, (6) система управления пакетами, и (7 ) систему управления активами, такими как документ и номера компьютерный центр и компьютерный центр журналы, чтобы обеспечить информацию об удобстве использования, целостности и конфиденциальности, как это показано на рис. 3-3.

Структура "контрольных" фазе

Структура "действие" фазу

Здесь исследований обсудить необходимые корректирующие и предупреждающие действия с директором фирмы тематическое исследование с использованием результатов предыдущей ревизии, имея в виду относятся к актуальной информации, событий безопасности, особенно просчетов и нарушений. Из этих дискуссий, планы действий по обеспечению безопасности разработаны для режиссера выполнить. Модификации также, при необходимости, в операции, правила для того, чтобы фирме приступить к следующему циклу в модели PDCA, как показано на рис. 3-5.

Система Рамочной

Эти действия по отношению к каждой фазы модели PDCA, индивидуальный план, Do. Проверить и действий этапов или шагов, интегрированы в форму или создать всеобъемлющую основу системы, как показано на рис. 3-6.

4. Результаты и их обсуждение

Функции в Плане

Проверка уровня

Как уже упоминалось выше, составление соответствующих или соответствующих информационных элементов аудита безопасности, является наиболее важной задачей в создании эффективной системы СУИБ. Таким образом, в этом исследовании, мы 'изменения' в общей сложности 10 основных пунктов и 233 подпунктов от информационных и коммуникационных безопасности Self-контрольный список в области безопасности информации Руководство опубликованные Генеральным директором бюджета, учета и статистики, Исполнительный Юань , Тайвань. Соответствующей политики информационной безопасности является необходимым, если фирма иметь эффективную СУИБ. Необходимо также, что эта политика будет пересматриваться и обновляться периодически выполнять изменения в ISO / IEC 17799, в противном случае он не может продолжать использоваться для контроля безопасности, а также проверить процессов. Фирмы должны также публиковать политики информационной безопасности, чтобы все сотрудники знают или по крайней мере, известно, что информационная безопасность стратегии преследовали их фирмы, что и составляет 'ревизии "пункта Уровень Подробная информация о безопасности А. уровней А, В и Cs приведены ниже, в том числе то, что необходимо для достижения каждого уровня.

(1) Уровень: Безопасность информации и связи оценки уровень эксплуатации, проверьте все 10 основных пунктов и 233 подпунктов в соответствии с требованиями фирмы.

(2) Уровень B: Безопасность информации и связи оценки операции уровне, рассмотреть 10 основных пунктов и 188 подпунктов согласно требованию фирмы.

(3) Уровень C: Безопасность информации и связи оценки уровень эксплуатации, проверить два основных пунктов и 102 подпунктов в соответствии с требованиями фирмы.

Эти уровни пригодны только в качестве общего, а не конкретные ссылки, поскольку фирмы имеют различные потребности, ни быть совсем то же самое. Это означает, что конкретные пункты ревизии, которые имеют отношение или необходимо в каждом случае будут разными, с размахом и строгость процесс проверки того, чтобы быть увеличена или уменьшена согласно тому, что на самом деле необходимо в соответствии с требованиями конкретной фирмы.

Классификация активов

Это важный процесс включает в себя проверку соответствующей информации об активах компании и создание основной список активов. Соответствующие персонал, необходимый для назначения на управлять и хранить информацию об активах фирмы актива, с тем чтобы они могли быть ее можно было надлежащим контролем и защитой и обязанности уточнить, в соответствии с соответствующими правилами. Активы информационной системы, которая разработана для выполнения этих задач должны охватывать следующие виды активов:

(1) Информация активы: база данных и файлы данных, системные документы, инструкции, обучающие данные, эксплуатации или технического обслуживания, права интеллектуальной собственности, а также управления непрерывностью бизнеса и планов восстановления меры в случае возникновения ошибок или потери.

(2) Программное обеспечение активы: Применение системы, системное программное обеспечение, инструментальные средства разработки, пакетов программного обеспечения и общих программ.

(3) материальных активов: компьютерное оборудование, средства связи, на дисках, officeware и диспетчерских центров.

(4) Служба Активы: подключение к Интернету, услуги связи, часто применяемые средства, такие, как отопление, освещение, источники питания и кондиционеров.

Документ интеграции

Как правило, процесс классификации документов СМИБ разделить на четыре этапа, как показано на рис. 4-1, а именно: 1 этап - разработка информационной безопасности, политики, этап 2 - управление правил или инструкций, 3 этап - применение стандартных оперативных процедур, а также 4-й стадии - производство записей или таблиц данных.

Структура "сделать" фаза

функции управления рассылки

Системы, описываемой здесь может подключиться к почтовому серверу напрямую всем рассылки сообщений, которые могут быть распечатаны непосредственно в электронной форме, так что сообщения могут быть "перепахал" на базе для дальнейшего обследования и диагностики. Кроме того, веб-мастер может использовать базу данных, чтобы помочь ему оценивать потребление полосы пропускания, которая используется. Таким образом, если поток почты, является слишком большим, виновных может быть предупрежден или наказан в соответствии с ранее определенных правил в отношении использования Интернет в фирме.

функции контроля полосы пропускания

Из-за ограниченных ресурсов полосы пропускания Интернет, часто бывает необходимо обратить внимание на потоки в и из сети, с тем, что кабинет не ошибаюсь, для "кибер-кафе. В случае ненормальных потоков, оскорбляя сотрудников, должны быть наказаны или предупреждал, в соответствии с пропускной системы мониторинга место в фирме. Отчет об использовании полосы пропускания в нашей системе работают безопасности Microsoft Internet и Acceleration Server, установленный в качестве прокси-режиме. Содержание доклада создается из прокси-сервер, который содержит всю необходимую информацию, включая пропускную способность, используемый для каждого счета и ранжирования высших веб браузера. Это легко для веб-мастеров, чтобы читать и распечатывать Ежедневный отчет на клиентском сайте с помощью браузера для управления всей пропускной способности интернет фирмы.

функции управления счетами

Эта функция централизует все счета в бизнес-управления, а также ведет счета оставляя штабы.

Программное обеспечение загрузки функций

Она является общей для интранет быть поражены вирусами или бэкдор-программ. В основном это сотрудники всегда чувствуют свободными для скачивания файлов из Интернета. Для решения этой проблемы рекомендуется работников может быть запрещено скачивание файлов, если для деловых целей. Он также предложил, чтобы сотрудники представить необходимые анкеты с контроллером и что и интернет-оператора в центре управления загрузкой графики для ночи после фирма закрывается и дает загрузить файлы на возвращение работников только после того, как файлы были проверены и признаны быть чистыми от вирусов. Наша система использует Flash Получить Программа для загрузки пакетов, так как это программа, которая нужна только выплаты несколько регистрационный взнос, чтобы получить право на законный доступ.

функции защиты информации

Такая функция охватывает следующие три направления:

Backdoor обнаружения: интрасети обнаружены и скандировали периодически выяснить недостатков системы до или раньше, чем хакеры и принять корректирующие меры. Наша система использует бесплатные программы, такие как Microsoft Baseline Security Analyzer и Nessus в платформе Linux. Для эффективного использования таких программ, это необходимо для клиента, чтобы создать сайт коврик использует Windows платформы.

Нелегальное программное обеспечение обнаружения: Здесь необходимо создать систему управления активами в офисе, таких как Microsoft Management Server системы, которые могут одновременно обнаруживать аппаратные средства конечного потребителя, составить список программного обеспечения, которые были установлены, аппаратные изменения аксессуары и обнаружения незаконного программного обеспечения. Для того чтобы это произошло, это необходимо для обеспечения клиентов на сайт Management Server Microsoft Systems.

Информационная безопасность правила: Здесь информационной безопасности документов, необходимых каждой ревизии пункт должен быть "разработан в" документ колонки в системе базы данных, с тем чтобы облегчить управление и техническое обслуживание информационной безопасности документов, как и когда они нужны компании.

функций управления пакетами

Новые приобрели программное обеспечение, фирма должна быть подана непосредственно для сайта причинам, таким образом контроль утвержденных сумм, защищенных авторским правом программного обеспечения, не давая ему с превышением допустимого количества и нарушение прав интеллектуальной собственности.

функции по управлению активами

Информация активов, которые были риска начисленных и градуированных теперь должны быть классифицированы. База данных для поиска, обновление и поддержание является встроенный в в нашей системе. Он также продолжает выполнять обновление и обслуживание функций. Информация активы должны быть сгруппированы следующим образом. Классификация информационных активов может быть с точки зрения этих категорий:

Документы: бланки, контракты, деловые бумаги, данные о персонале, приобретение данных, а также счета-фактуры.

Программное обеспечение средств: Применение системы, программное обеспечение, инструментальные средства разработки и пакеты программного обеспечения.

Материальные активы: Вычислительная техника, сетевое оборудование и системы хранения информации.

Персонал: полный рабочий день сотрудников, сотрудников неполный рабочий день, и подрядчиков.

Информация: Базы данных, файлы данных, системные документы, инструкции, обучающие данные, эксплуатации и технического обслуживания, права интеллектуальной собственности, бизнес-планы непрерывности управления и восстановительных процедур.

Проверка функций

Любой "неподходящих" или "ошибка" казни 233 подпунктами 10 основных пунктов аудита должны быть зарегистрированы здесь. Список всех готовых изделий об информационно-коммуникационных планов действий по обеспечению безопасности должны регистрироваться. Меры по исправлению положения и профилактики должна быть решена. Они также должны быть активированы в случае необходимости.

Функции действий

Если какой-либо пункт 'проверки "не было завершено, оно должно быть" переехал на "информационные и коммуникационные планы действий по обеспечению безопасности. Директор может назначать персоналу вносить улучшения и подтвердить результаты в следующем цикле PDCA. Сравнение "ошибки или неправильного внутренней информационной безопасности пунктов с реальными внешними событиями информационной безопасности, могут помочь в разработке и дальнейшему совершенствованию СУИБ в фирме.

Выводы

Это сложный процесс создания СУИБ, которая может проверить решимость и терпение, директоров и сотрудников. Управление четыре уровня документов показано на рис. 41 Необходимо также значительно рабочей силы и может быть дорогостоящим во времени. Информационная безопасность защита не должна включать фирмы при введении слишком много ограничений, но если компания недостаточно осведомлена о необходимости защитить себя от рисков безопасности и угроз, то это может работать против принятия соответствующих мер безопасности. Необходим баланс между "ограничений", с одной стороны и "меры безопасности", с другой. В данном случае внедрение модели PDCA-СУИБ в результате фирма аккредитацию, получение информационной безопасности управления ISO / IEC 17799 сертификат означало он встретил стандарт ИСО по мере необходимости, и только один несовершеннолетний и нулевой основных несоответствий. Согласно документации СУИБ классификации показано на рис. 41, фирма представила соответствующие документы соответствуют положениям ISO / IEC 17799. В заседании внешнего аудита (наблюдение), критерии, предоставляя все необходимые документы, фирма в этом случае исследование эффективно с требованиями стандартов аудита. При этом фирма выполнила свои цели и может рассматриваться как имеющее оба действенной и эффективной СУИБ, с их точки зрения, что аудиторов ..

С помощью инструментов, предлагаемых этой системой, фирма может получить выгоды в плане безопасности, присущих успешного применения цикла PDCA и тем самым могут упростить 'планирования и административных процессов. В прошлом внутреннего аудита СУИБ планирования и управления, как правило, делается администраторами используя бумагу и ручку, чтобы выявлять и фиксировать нарушения правил безопасности или упущения в самой фирме, как правило, ссылаясь на свои информационные и коммуникационные безопасности Контрольный список. В отличие от PDCA-измов, описанные в этом документе предлагается "все решения" посредством его "проверки функции" на уровне A, B и C. цикла PDCA в данном случае позволяет руководителям для контроля и мониторинга информационной безопасности во все времена. Кроме того, электронные документы, которые производятся в процессе позволяют соответствующие информационные документы ISMS безопасности, который будет получен при необходимости, быстро и легко. Это позволяет менеджерам использовать соответствующие документы таким образом, что качество обслуживания информационной безопасности и эксплуатации функцию можно эффективно контролировать и поддерживать.

Менеджеров, отвечающих за установку и обслуживание модели PDCA-СУИБ в фирме считают, что она достигла ряд льгот для них. В частности, что касается централизации управления, PDCA-ISMS предоставляются "делать" функции, которые одновременно обнаруживать и контролировать безопасность пляжей и промахи. "Конечной преимущество" из этих функций по их мнению, состоит в его способности предотвратить въезд лиц, ответственных за вопросы безопасности от "бегать 'проверка изменений и отклонений после проверок было завершено, при полном использовании ресурсов централизованного управления. Еще одно преимущество PDA-ISMS модель касается мониторинга состояния безопасности.

В связи с этим PDCA-ISMS можете записывать, может получить необходимую информацию об онлайн "безопасности статуса" на каждом компьютере в сети и собирать статистику всех компьютеров, которые офф-лайн в течение длительного периода. Эта информация или данные, позволяет менеджерам определить проблемы с безопасностью во времени и сократить или решать их, пока они могут сделать много или какой-либо ущерб. PDCA-ISMS модель может также уменьшить затраты в человеко-часов. Цикл, который присущ PDCA позволяет менеджерам соблюдать безопасность изменения и отклонения непрерывно, в любое время, в результате чего было проще и легче решить или уменьшить какой-либо конкретной или конкретные проблемы безопасности, когда она возникает. Кроме того, поскольку процесс или цикл PDCA "автоматически" безопасности отклонения или изменения, неправильное сокращает количество персонала, необходимого для управления и обслуживания, что позволяет более сотрудников для выполнения других задач и обязанностей, не обязательно связаны с информационной безопасностью.

Есть также сотрудник аспектов выгод, получаемых от модели PDCA-измов. В дополнение к контролю внешних угроз и рисков информационной безопасности, Есть многочисленные проблемы для безопасности, которые вытекают из внутренней ошибки или ошибки, и даже от небрежности со стороны персонала, которые должны контролироваться и управляться. В связи с этим, потому что безопасность можно рассматривать как "систематический ряд проблем, которые касаются людей на каждом этапе, как было сказано, что" безопасность процесса, а не продукт "(12). В связи с этим практически невозможно регулировать поведение людей в отношении вопросов безопасности, только с помощью хорошего "продукта", какими бы совершенными; потребности продукта к исполнению b_y_ людей, работники фирмы, чтобы иметь положительный эффект. Без эффективной реализации и контроля на основе сотрудничества многих людей, в процессе таких как PDCA-ISMS не может работать должным образом. Менеджеры должны извлечь уроки из успешного внедрения модели ПДС-ISMS описанных в этой статье, что он сравнительно легко заставить сотрудников принять в области безопасности Outlook, думать о последствиях для безопасности всего, что они делают или говорят в фирме, , что для решения какой-либо нарушения или угрозы безопасности требуют требует эффективного взаимодействия многих людей, работающих вместе, и что люди часто узнают, как решить или уменьшить проблемы безопасности, после этого события, когда-то были фактические нарушения или выявленных угроз для безопасности ..

Эффективное управление информационной безопасности, стала одной из главных задач фирмы сегодня. Чтобы быть полезным PDCA-ISMS модели, описанной в данной работе необходимо постоянно работать в соответствии с "Plan-Do-Check-действие" цикла для удовлетворения четырех шагов в модели Деминга. Он должен постоянно следить за функциями этой фирмы, что, чтобы узнать безопасности слабости и исправлять их сразу, как только они появляются. PDCA-ISMS модели необходимо повысить уровень безопасности в фирме, перемещая его с уровня C до, когда фирма в настоящее время сертифицированы или намеревается добиваться проведения сертификации. Что требуется, чтобы система работает гладко и таким образом, что руководители могут продолжать ходить своих обычных служебных обязанностей или задач, не беспокоясь или беспокоиться о конкретных вопросах безопасности все время.

Как отмечается выше, общая цель модели PDCA-СУИБ в данной работе, с тем чтобы фирмы соответствует требованиям ISO / IEC 17799 стандартов. Тем не менее, даже если эта цель достигается, по-прежнему будут некоторые неизбежные человеческие проблемы, связанные с хитростью, интерполяции или имитации. Мы считаем, что PDCA-ISMS предназначен для оказания помощи и содействия фирмам для успешного решения или удовлетворить внешние критерии аккредитации, особенно когда их систем обеспечения информационной безопасности должны быть изменены, чтобы удовлетворить и удовлетворять меняющиеся потребности. Что касается будущих исследований, настоящего исследования должны помочь, указав путь к пути, в котором идея цикла PDCA можно использовать, чтобы сэкономить время при определении упущения или угрозы для безопасности и в то же время помогает фирмам для покрытия внешних критериев, установленных посредством аккредитации учреждений. Однако, несмотря на успех данной модели, по-прежнему хорошая идея для разработки новых версий данной модели PDCA для совершенствования и оценки эффективности СУИБ в компании.

Подтверждение

Благодаря Z.-X. Лин, F-G. Ли, Х.-Y Инь, Q.-F. Ли, Ж.-Цзян Y, Y-Z. Чена., За их помощь.

Ссылки

1. Деминг, В. Эдвардс (1993), новая экономика: в промышленности, правительства и образования, Cambridge, Mass MIT Press.

2. Шнайер, Брюс, (2000), "Секреты

3. Мао, Ши-сена и Guo-хао Хуанг (2001), исследования по финансовой информации Network Security, документ, представленный на 12-й Национальной конференции по безопасности информации, 89-196, Тайбэй.

4. У Чжэн-Чонг и Ши Цзянь-Ян (1994), Юран в качестве справочника, перевод китайского Productivity Center (Джозеф М. Джуран, 1989).

5. Ли Кун-лин (2000), Строительство Total Quality Management, управление знаниями и обучающаяся организация интеграционной модели, неопубликованные диссертации, институт делового администрирования, Национальный Университет Chung Cheng, Тайвань.

6. Исполнительный Юань, (2002a), Руководство по информационной безопасности, версия 3, Генеральный директорат по бюджету, учета и статистики, Исполнительный Юань, РПЦ

7. Исполнительный Юань, (2002b), создание Национальной коммуникационной и информационной инфраструктуры системы безопасности план, утвержденный No.2718 совещание Исполнительного Юаня.

8. Чанг Йи-юань (2001), исследование ISO Сертификация предприятия и знаний стратегии интеграции, неопубликованные диссертации, Высшая школа делового администрирования, Chung Hua университета.

9. Чэнь Жуй-сян, (2001), ISO / IEC 17799 новых информационных стандартов безопасности и внутреннего аудита, внутреннего аудита Journal, Vol. 37, 16-20.

10. Хуан Мин-да и Шу-хуэй Цзэн, (2002), Информация Оценка банка в отрасли безопасности окружающей среды на основе BS7799, документ, представленный на 13 национальной управленческой информации академический семинар, 1-8, на Тайване.

11. Хуан Фан-цюань, (1999), исследований, разработок и Оценочной комиссии, Executive, Исполнительный Юань издал № (88) 05787OInformation управления безопасностью Норма для вспомогательных учреждений Исполнительного Юаня, ROC

12. Хуан Фан-цюань, (2001), Руководство по информационной безопасности, Генеральный директорат по бюджету, учета и статистики, Исполнительный Юань, ROC

13. Хуан, Ge-чжи, (2001), Построение системы управления процессом анализа Framework: Пример из Тайваня Вложено малых и средних предприятий в Китае, неопубликованные магистерской Высшей школы инженерного управления, Национальный Университет Цинхуа, Тайвань.

14. Ян Хун-жень, Yi-Iong Лин и июне-Сюн Wang, (2001), обсуждение информации преступности и информационная безопасность "Управление Пример из BS7799, документ, представленный на 12 национальной информационной конференции по безопасности, 381-388, Тайвань .

15. Вентилятор, Guo-жень, (2000a), Информационная безопасность управления сертификации Резюме (1) (2) (3), стандарты и проверка Magazine, Vol. 17, 18 и 19, 63-72, 48-62 и 21-35.

16. Вентилятор, Guo-жень, (2001b), проект Мнение о связи и защиты информации кризиса Event Management System, документ, представленный на национальной информационной 11 безопасности, конференции, 117-124, Тайвань.

17. Вентилятор, Guo-жень, Ren-вэй Fang, Цзин-Цзинь и Цзинь Лин-чан Хуан (2001c), научный управления информационной безопасностью системы контроля, документ, представленный в 2001 году Национальной информационной компьютерной конференции, 121-131, китайский университет культуры , Тайвань.

18. Лия, Лян-й (2001), исследование процесса разработки программного обеспечения Возможность оценки модели, неопубликованные магистерской Высшей школы оборонной информации, национальной обороны Management College.

19. Ен, Yi, (2001), научный совершенствования производственной системы на параллельное проектирование, неопубликованные магистерской Департамента промышленной инженерии и управления информацией, Hua Вентилятор университет, Тайвань.

20. BS 7799-1 (2000), Информационная безопасность "Управление Часть 1: Кодекс практики управления информационной безопасностью, Британский институт стандартов.

21. BS 7799-2 (2002), Информационная безопасность Management-Часть 2: Спецификация для управления информационной безопасностью, Британский институт стандартов.

Контактный адрес электронной почты: <a <href="mailto:bestmails@gmail.com"> bestmails@gmail.com />

Дженн Тан

Национальный Тайбэй бизнес-колледжа, Тайвань

Дженн Тан

Кафедра управления информацией

Национальный Тайбэй бизнес-колледжа

12F № 20, Huande Rd

Синьдянь города

Уезда Тайбэй

Тайвань 231