PDCA循环是美国质量管理专家沃特·阿曼德·休哈特(Walter A. Shewhart)首先提出的,由戴明采纳、宣传,获得普及,所以又称戴明环。PDCA循环的含义是将质量管理分为四个阶段,即Plan(计划)、Do(执行)、Check(检查) 和 Act(处理)。
P (Plan) 计划,包括方针和目标的确定,以及活动规划的制定。
D (Do) 执行,根据已知的信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容。
C (Check) 检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题。
A (Act)处理,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环中去解决。
以上四个过程不是运行一次就结束,而是周而复始的进行,一个循环完了,解决一些问题,未解决的问题进入下一个循环,这样阶梯式上升的。
PDCA循环是全面质量管理所应遵循的科学程序。全面质量管理活动的全部过程,就是质量计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转的。
ISO27001-2013提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型,是分析提出ISMS的需求和对组织安全水平的评估标准,是实现组织ISO27001安全体系的重要指南。采用ISMS应是一个组织的战略决定。
因此,如果让我们用一句话来总结信息安全领域对管理的重要性的认识,那就是从抓好信息安全管理到建立信息安全管理体系,是人们在信息安全认识论上一个质的飞跃。
1)P(计划)
在PDCA中,计划(Plan)是第一个环节。所谓计划就是规定你应该做什么并形成文件。计划要求是:建立与管理风险和改进信息安全有关的ISMS方针、ISO27001目标、过程和ISO27001程序,以提供与组织整体ISO27001方针和ISO27001目标相一致的结果。
组织对其所追求的ISO27001信息安全方针、ISO27001目标等安全战略层面的思考,要和组织的业务战略这个最高层面的战略方针、目标相匹配。
PDCA计划环节的首要任务是建立ISMS体系,即它的范围、方针、风险评估和管理、管理者授权实施、运行ISMS和适用性声明。
2)D(实施)
在PDCA中,实施(Do)就是做文件规定的事情。严格遵照计划阶段制定的ISMS文档,实施和运行ISMS方针、控制措施、过程和程序。实施ISMS的主要工作包括:
a.制定风险控制计划。例如制定风险评估计划以及风险评估工作结束后要制定安全解决方案等。
b.实施风险控制计划。例如进行风险评估、根据安全解决方案进行系统加固、改造、升级等等。
c.度量所选择的控制措施的有效性。例如整改完成之后进行剩余风险的评估,评价其是否满足承受风险的最低限度。
d.实施培训和意识教育计划。例如按照培训计划进行安全意识、安全技能、应急演练等培训。要注意整个过程需要记录在案并评估其有效性。
e.安全事件响应。根据ISMS制定的计划(其中就包括诸如应急响应计划等),对突发安全事件进行处置。同样要注意整个处置过程的记录和事后评估。
f.管理ISMS的运行。例如按照计划阶段确定的要求,组织ISMS定期评审、评审后的改进等等。
g.管理ISMS的资源。管理者应当通过对ISMS资源的优化管理,来体现一个组织决定进行ISMS建设的正确性和有效性。事实上,有一些ISMS不成功的案例并非组织机构没有决心或者没有投入,而是投入的成本效益没有进行科学的分析和有力的展示。
3)审核(Check)
在PDCA中,审核就是评审你所做的事情的符合性。对照ISMS方针、目标和实践经验,评估ISMS执行过程的具体情况,并将结果报告管理者以供评审。
检查内容包括:
a.ISMS的执行程序及其其它控制措施是否得以认真贯彻;
b.ISMS有效性的定期评审;
c.度量控制措施的有效性以验证安全要求是否被满足;
d.按照计划的时间间隔进行风险评估的评审等等。
4)改进(Action)
在PDCA中,改进就是采取纠正和预防措施,持续改进。基于ISMS的检查结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
在这一阶段,一个组织应经常:
a.对已发现的ISMS需要改进的地方采取措施。例如在风险评估中发现的脆弱性应该尽快加以封堵等等。
b.从其它组织和组织自身的安全经验中吸取教训。
c.向所有相关方沟通措施和改进措施。例如一个组织在进行了等级保护测评、风险评估、应急响应演练之后所发现的问题,应该向上级主管部门或安全服务机构、设备集成提供商等进行沟通,等等。
以上就是PDCA在信息安全管理体系的应用。
