在信息安全管理方面,BS7799标准为我们提供了指导性建议,即基于PDCA(Plan、Do、Check和Act,即戴明环)的持续改进的管理模式,如图所示。
图. PDCA信息安全管理模式
PDCA(Plan、Do、Check和Act)是管理学惯用的一个过程模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入发展,PDCA最终得以普及。
作为一种抽象模型,PDCA把相关的资源和活动抽象为过程进行管理,而不是针对单独的管理要素开发单独的管理模式,这样的循环具有广泛的通用性,因而很快从质量管理体系(QMS)延伸到其他各个管理领域,包括环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(ISMS)。
为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
概括起来,PDCA 模型具有以下特点,同时也是信息安全管理工作的特点:
1).PDCA顺序进行,依靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,持续改进;
2).组织中的每个部门,甚至每个人,在履行相关职责时,都是基于PDCA 这个过程的,如此一来,对管理问题的解决就成了大环套小环并层层递进的模式;
3).每经过一次PDCA循环,都要进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。 |
