问在信息安全管理系统中使用或实施PDCA或Deming周期是强制性的吗？

EN

摘自书，CyberWar，CyberTerror，CyberCrime和CyberActivism，第二版

ISO/IEC 27003 ( ISMS默认值-由ISO 27001建议)通过引入将PDCA循环应用于网络安全的综合方法，为实施基于ISO/IEC 27001:2005的安全管理系统提供了实用的指导。本标准描述了如何建立、实施、执行、观察、分析、维护和改进组织的网络安全程序。虽然国际标准化组织27001:2013年在修订中放弃了PDCA的概念，但它仍然具有决策帮助的价值。

一本更好的书是企业网络安全:如何建立一个成功的网络防御计划对抗先进的威胁。这本书是伟大的，因为你可以使用它来整合当前运行的现实。如果你必须遵守或取得ISO 27001官方认证，并且你必须使用ISO 27002/27003作为ISMS处方然而，这可能是值得的努力，为这第二本书。

在企业网络安全中，这些框架在第13章中进行了讨论，包括介绍本书自己的企业网络安全体系结构框架，这是与其他框架的比较，例如ISC2's CBK、ISO 27000系列、NIST SP800-53R4等，其中还提到了附录B中的附加内容。如果您能够使一个信息安全管理程序与附录C到G中详细描述的操作架构保持一致，那么我认为您肯定会超过任何其他框架的能力。只要按需要映射回他们。

截至2013年，ISO 27001中已删除了对PDCA周期的提及，但ISO 27001仍然规定了持续改进您的信息安全管理系统(ISMS)的要求。这意味着您可以使用另一种方法，只要它仍然满足持续改进的要求。