ISO 27001に準拠するには、情報セキュリティ管理システムでPDCAプロセスを実装する必要がありますか?またはISMSは別の管理方法を選択できますか?
PDCAプロセスは、Plan Do Check and Act管理プロセスです。デミングサイクルとも呼ばれます。
本、CyberWar、CyberTerror、CyberCrime and CyberActivism、第2版からの引用
ISO/IEC 27003(ISO 27001がデフォルトで推奨するISMS)は、サイバーセキュリティにPDCAサイクルを適用する包括的な方法論を導入することにより、ISO/IEC 27001:2005に基づくセキュリティ管理システムを実装するための実用的なガイダンスを提供します。この標準は、組織のサイバーセキュリティプログラムを確立、実装、実行、監視、分析、維持、および改善する方法を説明しています。 ISO 27001:2013はPDCAの概念を改訂で削除しましたが、それでも意思決定支援としての価値があります。
より優れた本は、Enterprise Cybersecurity:How to Build a Successful Cyberdefense Programに対するAdvanced Threatsです。この本を使用すると、現在実行中の現実に統合できます。正式なISO 27001認証を遵守または取得する必要があり、ISMS処方箋としてISO 27002/27003を使用する必要がある場合は、これらの計画を進めてください。ただし、この2冊目の本に向けてマッピングするのは、努力する価値があります。
エンタープライズサイバーセキュリティのフレームワークについては、本書の独自のエンタープライズサイバーセキュリティアーキテクチャフレームワークの紹介、ISC2のCBK、ISO 27000シリーズ、NIST SP800-53R4などの他のフレームワークとの比較を含め、第13章で触れています。付録Bで追加のカバレッジについても触れています。付録CからGで詳細に説明されている運用アーキテクチャに合わせた情報セキュリティ管理プログラムを入手できれば、他のフレームワークの機能を確実に超えると思います。必要に応じて、それらにマップし直してください。
2013年の時点で、PDCAサイクルの言及はISO 27001から削除されていますが、ISO 27001は引き続き、情報セキュリティ管理システム(ISMS)の継続的な改善の要件を指定しています。つまり、継続的な改善の要件を満たしている限り、別の方法論を使用することができます。