Per rispettare la norma ISO 27001, il sistema di gestione della sicurezza delle informazioni deve implementare il processo PDCA? o ISMS può scegliere un altro metodo di gestione?
Il processo PDCA è il processo Plan Do Check e Act management. Si chiama anche ciclo Deming.
Tratto dal libro, CyberWar, CyberTerror, CyberCrime e CyberActivism, 2nd Edition
ISO/IEC 27003 (the ISMS default-suggested by ISO 27001), provides practical guidance for implementing a security management system based on ISO/IEC 27001:2005 by introducing a comprehensive methodology of applying the PDCA cycle to cybersecurity. This standard describes how to establish, implement, execute, observe, analyze, maintain, and improve an organization’s cybersecurity program. Although ISO 27001:2013 dropped the PDCA concept in the revision, it still has value as a decision-making aid.
Un libro migliore è Enterprise Cybersecurity: come costruire un programma di Cyberdefense di successo contro le minacce avanzate. Questo libro è fantastico perché puoi utilizzarlo per integrarlo con la realtà corrente. Se è necessario rispettare o ottenere la certificazione ISO 27001 ufficiale e utilizzare la ISO 27002/27003 come prescrizione ISMS, procedere con tali piani. Tuttavia, potrebbe valere la pena di mappare verso questo secondo libro.
In Enterprise Cybersecurity, i framework sono trattati nel Capitolo 13, inclusa l'introduzione del framework Enterprise Cybersecurity Architecture del libro, un confronto con altri framework, come CBK di ISC2, serie ISO 27000, NIST SP800-53R4, et al - che menziona anche una copertura aggiuntiva nell'Appendice B. Se è possibile ottenere un programma di gestione della sicurezza delle informazioni allineato con l'architettura operativa descritta in dettaglio nelle appendici da C a G, allora penso che si supererebbero sicuramente le capacità di qualsiasi altro framework. Basta mappare di nuovo secondo le necessità.
La menzione del ciclo PDCA è stata rimossa dalla ISO 27001 a partire dal 2013, tuttavia la norma ISO 27001 specifica ancora il requisito per il miglioramento continuo del sistema di gestione della sicurezza delle informazioni (ISMS). Ciò significa che puoi utilizzare un'altra metodologia purché soddisfi ancora i requisiti di miglioramento continuo.