» 第三章  信息安全管理体系的构建与认证



               投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其内部成员必须
               对风险评估有一个共识，这个风险评估的方法论、结果发现和推荐解决方式都必须得
               到董事会的首肯。
                   （三）ISMS 项目和 PDCA 流程

                   ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管
               理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实
               的角度考虑，这表明在项目计划过程中，必须尽早对这些仅有的指导性的书籍和案例
               进行分析和研究。

                   ISO27001标准指导一个企业如何着手开展ISMS项目，并且关注整个项目进程中
               的若干重要元素。
                   1950年W. Edwards Deming提出PDCA流程，即计划（Plan）—执行（Do）—检查
               （Check）—提升（Act）过程，意在说明业务流程应当是不断改进的，该方法使得职

               能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进，
               都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按
               照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差（即潜

               在改进的可能性），最后向管理层提出如何运行的最终报告。
                   （四）ISO27001 认证审核费用及周期
                   除了组织自身投入之外，ISO27001认证审核费用主要体现在聘请第三方认证机构
               及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，
               确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确

               定的。其中，决定因素包括：受审核组织的员工数量；纳入审核范围的信息量；场所
               数量；组织与外界的关联；组织IT的复杂性；组织类型和业务性质等。
                   除了费用问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启

               动 ISMS建设项目开始，到最终通过审核，至少要有半年时间（不包括获取证书的时
               间）。对于很多因为外部驱动力而决心实施ISO27001认证项目的组织来说，提早进行
               规划是必要的。


                   四、新版变化

                   现版的信息安全管理系统ISO 27001：2005标准已经使用了8年，日前ISO组
               织（国际标准化组织）终于将新版ISO 27001：2013 DIS版（国际标准草案Draft
               International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS最终

               版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18
               至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转


                                                                                          • 75 •