目前互聯(lián)網(wǎng)行業(yè)發(fā)展迅速，越來越多的企業(yè)進行企業(yè)內(nèi)部的信息安全認證，通過這一證書，不僅可以向客戶等一些相關(guān)方證實自己企業(yè)的實力，還可以更優(yōu)化與企業(yè)內(nèi)部的管理。

隨著2013年發(fā)布的ISO27000的改版，各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。

本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下，如何更好地保持和改進信息安全體系作出解讀，使企業(yè)更好地依據(jù)標準體系和方法論，制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

關(guān)于PDCA模型：

此處對于PDCA模型以及新版標準的劃分做一簡單說明：PDCA模式是國際認可的模型，很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架，每個階段都與其他階段相關(guān)聯(lián)。

PDCA模型分別由四部分組成：P（Plan）——建立ISMS，根據(jù)組織的整體策略和目標，確定活動的計劃，包括第四至七章（組織背景、領(lǐng)導(dǎo)力、計劃、支持）；D（Do）——實施和運作ISMS，實際地去完成計劃中的內(nèi)容，包括第八章（運行）；C（Check）——監(jiān)視和評審ISMS，總結(jié)實施和運作的結(jié)果，查找問題，包括第九章（績效評價）；A（Action）——保持和改進ISMS，對評審的結(jié)果做出處理，成功的經(jīng)驗要進行保持和推廣，失敗的教訓要尋找原因，避免下次再出現(xiàn)同樣的錯誤，沒有解決的問題放到下一個PDCA循環(huán)中，包括第十章（改進）。

PDCA模型是管理學中常用的一個模型。該模型在運作過程中，按照P-D-C-A的順序依次進行，一次完整的循環(huán)可以看作是管理學上的一個管理周期，每經(jīng)過一次循環(huán)，管理情況就會得到改善，同時進入更高的P-D-C-A周期循環(huán)，組織的管理體系不斷的得到提升，管理水平也不斷提高。

而這四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效螺旋上升。

新的內(nèi)容將使企業(yè)的側(cè)重點不同，從上面的論述中明顯可以看出新標準在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視，在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀，了解其發(fā)展所面臨的機遇與風險，從而高標準、高精度、高要求來對待信息安全管理工作。