PDCA過程模式被ISO 9001、ISO 14001等國際管理體系標準廣泛採用,是保證管理體系持續改進的有效模式。依據BS 7799-2:2002建立信息安全管理體系時,過程方法鼓勵其用戶強調下列內容的重要性:
1、理解組織的信息安全要求,以及爲信息安全建立方針和目標的需求;
2、在管理組織整體業務風險背景下實施和運行控制;
3、監控並評審信息安全管理體系的業績和有效性;
4、在目標測量的基礎上持續改進。
BS 7799-2:2002的PDCA過程模式
BS 7799-2:2002所採用的過程模式如圖1所示,“計劃-實施-檢查-措施”四個步驟可以應用於所有過程。PDCA過程模式可簡單描述如下:
圖1 PDCA過程模式
◆ 策劃:依照組織整個方針和目標,建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。
◆ 實施:實施和運作方針(過程和程序)。
◆ 檢查:依據方針、目標和實際經驗測量,評估過程業績,並向決策者報告結果。
◆ 措施:採取糾正和預防措施進一步提高過程業績。
四個步驟成爲一個閉環,通過這個環的不斷運轉,使信息安全管理體系得到持續改進,使信息安全績效(performance)螺旋上升。
應用PDCA建立、保持信息安全管理體系
P(策劃)—建立信息安全管理體系環境(context)&風險評估
要啓動PDCA循環,必須有“啓動器”:提供必須的資源、選擇風險管理方法、確定評審方法、文件化實踐。設計策劃階段就是爲了確保正確建立信息安全管理體系的範圍和詳略程度,識別並評估所有的信息安全風險,爲這些風險制定適當的處理計劃。策劃階段的所有重要活動都要被文件化,以備將來追溯和控制更改情況。
1.確定範圍和方針
信息安全管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分,組織都必須明確界定體系的範圍,如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的範圍,信息安全管理體系範圍文件應該涵蓋:a.確立信息安全管理體系範圍和體系環境所需的過程;b.戰略性和組織化的信息安全管理環境;c.組織的信息安全風險管理方法;d.信息安全風險評價標準以及所要求的保證程度;e.信息資產識別的範圍。
信息安全管理體系也可能在其他信息安全管理體系的控制範圍內。在這種情況下,上下級控制的關係有下列兩種可能:
◆ 下級信息安全管理體系不使用上級信息安全管理體系的控制:在這種情況下,上級信息安全管理體系的控制不影響下級信息安全管理體系的PDCA活動;
◆ 下級信息安全管理體系使用上級信息安全管理體系的控制:在這種情況下,上級信息安全管理體系的控制可以被認爲是下級信息安全管理體系策劃活動的“外部控制”。儘管此類外部控制並不影響下級信息安全管理體系的實施、檢查、措施活動,但是下級信息安全管理體系仍然有責任確認這些外部控制提供了充分的保護。
安全方針是關於在一個組織內,指導如何對信息資產進行管理、保護和分配的規則、指示,是組織信息安全管理體系的基本法。組織的信息安全方針,描述信息安全在組織內的重要性,表明管理層的承諾,提出組織管理信息安全的方法,爲組織的信息安全管理提供方向和支持。
2、定義風險評估的系統性方法
確定信息安全風險評估方法,並確定風險等級準則。評估方法應該和組織既定的信息安全管理體系範圍、信息安全需求、法律法規要求相適應,兼顧效果和效率。組織需要建立風險評估文件,解釋所選擇的風險評估方法、說明爲什麼該方法適合組織的安全要求和業務環境,介紹所採用的技術和工具,以及使用這些技術和工具的原因。評估文件還應該規範下列評估細節:a.信息安全管理體系內資產的估價,包括所用的價值尺度信息;b. 威脅及薄弱點的識別;c.可能利用薄弱點的威脅的評估,以及此類事故可能造成的影響;d.以風險評估結果爲基礎的風險計算,以及剩餘風險的識別。
3、識別風險
識別信息安全管理體系控制範圍內的信息資產;識別對這些資產的威脅;識別可能被威脅利用的薄弱點;識別保密性、完整性和可用性丟失對這些資產的潛在影響。
4、評估風險
根據資產保密性、完整性或可用性丟失的潛在影響,評估由於安全失敗(failure)可能引起的商業影響;根據與資產相關的主要威脅、薄弱點及其影響,以及目前實施的控制,評估此類失敗發生的現實可能性;根據既定的風險等級準則,確定風險等級。
5、識別並評價風險處理的方法
對於所識別的信息安全風險,組織需要加以分析,區別對待。如果風險滿足組織的風險接受方針和準則,那麼就有意的、客觀的接受風險;對於不可接受的風險組織可以考慮避免風險或者將轉移風險;對於不可避免也不可轉移的風險應該採取適當的安全控制,將其降低到可接受的水平。
6、爲風險的處理選擇控制目標與控制方式
選擇並文件化控制目標和控制方式,以將風險降低到可接受的等級。BS 7799-2:2002附錄A提供了可供選擇的控制目標與控制方式。
不可能總是以可接受的費用將風險降低到可接受的等級,那麼需要確定是增加額外的控制,還是接受高風險。在設定可接受的風險等級時,控制的強度和費用應該與事故的潛在費用相比較。
這個階段還應該策劃安全破壞或者違背的探測機制,進而安排預防、制止、限制和恢復控制。
在形式上,組織可以通過設計風險處理計劃來完成步驟5和6。
風險處理計劃是組織針對所識別的每一項不可接受風險建立的詳細處理方案和實施時間表,是組織安全風險和控制措施的接口性文檔。風險處理計劃不僅可以指導後續的信息安全管理活動,還可以作爲與高層管理者、上級領導機構、合作伙伴或者員工進行信息安全事宜溝通的橋樑。這個計劃至少應該爲每一個信息安全風險闡明以下內容:組織所選擇的處理方法;已經到位的控制;建議採取的額外措施;建議的控制的實施時間框架。
7、獲得最高管理者的授權批准
剩餘風險(residual risks)的建議應該獲得批准,開始實施和運作信息安全管理體系需要獲得最高管理者的授權。
D(實施)—實施並運行信息安全管理體系
PDCA循環中這個階段的任務是以適當的優先權進行管理運作,執行所選擇的控制,以管理策劃階段所識別的信息安全風險。
對於那些被評估認爲是可接受的風險, 不需要採取進一步的措施。
對於不可接受風險,需要實施所選擇的控制,這應該與策劃活動中準備的風險處理計劃同步進行。計劃的成功實施需要有一個有效的管理系統,其中要規定所選擇方法、分配職責和職責分離,並且要依據規定的方式方法監控這些活動。
在不可接受的風險被降低或轉移之後,還會有一部分剩餘風險。應對這部分風險進行控制,確保不期望的影響和破壞被快速識別並得到適當管理。
本階段還需要分配適當的資源(人員、時間和資金)運行信息安全管理體系以及所有的安全控制。這包括將所有已實施控制的文件化,以及信息安全管理體系文件的積極維護。
提高信息安全意識的目的就是產生適當的風險和安全文化,保證意識和控制活動的同步,還必須安排針對信息安全意識的培訓,並檢查意識培訓的效果,以確保其持續有效和實時性。如有必要應對相關方事實有針對性的安全培訓,以支持組織的意識程序,保證所有相關方能按照要求完成安全任務。
本階段還應該實施並保持策劃了的探測和響應機制。
C(檢查)—監視並評審信息安全管理體系
檢查階段,又叫學習階段,是PDCA循環的關鍵階段,是信息安全管理體系要分析運行效果,尋求改進機會的階段。如果發現一個控制措施不合理、不充分,就要採取糾正措施,以防止信息系統處於不可接受風險狀態。組織應該通過多種方式檢查信息安全管理體系是否運行良好,並對其業績進行監視,可能包括下列管理過程:
1、執行程序和其他控制以快速檢測處理結果中的錯誤;快速識別安全體系中失敗的和成功的破壞;能使管理者確認人工或自動執行的安全活動達到預期的結果;按照商業優先權確定解決安全破壞所要採取的措施;接受其他組織和組織自身的安全經驗。
2、常規評審信息安全管理體系的有效性;收集安全審覈的結果、事故、以及來自所有股東和其他相關方的建議和反饋,定期對信息安全管理體系有效性進行評審。
3、評審剩餘風險和可接受風險的等級;注意組織、技術、商業目標和過程的內部變化,以及已識別的威脅和社會風尚的外部變化,定期評審剩餘風險和可接受風險等級的合理性。
4、審覈是執行管理程序、以確定規定的安全程序是否適當、是否符合標準、以及是否按照預期的目的進行工作。審覈的就是按照規定的週期(最多不超過一年)檢查信息安全管理體系的所有方面是否行之有效。審覈的依據包括BS 7799-2:2002標準和組織所發佈的信息安全管理程序。應該進行充分的審覈策劃,以便審覈任務能在審覈期間內按部就班的展開。
管理者應該確保有證據證明:a.信息安全方針仍然是業務要求的正確反映;b.正在遵循文件化的程序(信息安全管理體系範圍內),並且能夠滿足其期望的目標;c.有適當的技術控制(例如防火牆、實物訪問控制),被正確的配置,且行之有效;d.剩餘風險已被正確評估,並且是組織管理可以接受的;e.前期審覈和評審所認同的措施已經被實施;
審覈會包括對文件和記錄的抽樣檢查,以及口頭審覈管理者和員工。
5、正式評審:爲確保範圍保持充分性,以及信息安全管理體系過程的持續改進得到識別和實施,組織應定期對信息安全管理體系進行正式的評審(最少一年評審一次)。
6、記錄並報告能影響信息安全管理體系有效性或業績的所有活動、事件。
A(措施)—改進信息安全管理體系
經過了策劃、實施、檢查之後,組織在措施階段必須對所策劃的方案給以結論,是應該繼續執行,還是應該放棄重新進行新的策劃?當然該循環給管理體系帶來明顯的業績提升,組織可以考慮是否將成果擴大到其他的部門或領域,這就開始了新一輪的PDCA循環。
在這個過程中組織可能持續的進行一下操作:a.測量信息安全管理體系滿足安全方針和目標方面的業績。b.識別信息安全管理體系的改進,並有效實施。c.採取適當的糾正和預防措施。d.溝通結果及活動,並與所有相關方磋商。e.必要時修訂信息安全管理體系。f.確保修訂達到預期的目標。
在這個階段需要注意的是,很多看起來單純的、孤立的事件,如果不及時處理就可能對整個組織產生影響,所採取的措施不僅具有直接的效果,還可能帶來深遠的影響。組織需要把措施放在信息安全管理體系持續改進的大背景下,以長遠的眼光來打算,確保措施不僅致力於眼前的問題,還要杜絕類似事故再發生或者降低其在放生的可能性。
不符合、糾正措施和預防措施是本階段的重要概念。
不符合:是指實施、維持並改進所要求的一個或多哥管理體系要素缺乏或者失效,或者是在客觀證據基礎上,信息安全管理體系符合安全方針以及達到組織安全目標的能力存在很大不確定性的情況。
糾正措施:組織應確定措施,以消除信息安全管理體系實施、運作和使用過程中不符合的原因,防止再發生。組織的糾正措施的文件化程序應該規定以下方面的要求:a.識別信息安全管理體系實施、運作過程中的不符合;b.確定不符合的原因;c.評價確保不符合不再發生的措施要求;d.取定並實施所需的糾正措施;e.記錄所採取措施的結果;f.評審所採取措施的有效性。
預防措施:組織應確定措施,以消除潛在不符合的原因,防止其發生。預防措施應與潛在問題的影響程度相適應。
預防措施的文件化程序應該規定以下方面的要求:a.識別潛在不符合及其原因;b.確定並實施所需的預防措施;c.記錄所採取措施的結果;d.評審所採取的預防措施;e.識別已變化的風險,並確保對發生重大變化的風險予以關注。
PDCA持續改進循環
PDCA(策劃—實施—檢查—措施)是由休哈特(Walter Shewhart)在19世紀30年代構想,隨後被戴明(Edwards Deming)採納、宣傳,獲得普及,所以它經常也被稱爲“休哈特環”或者“戴明環”。此概念的提出是爲了持續改善產品質量的,隨着全面質量管理理念的深入,該循環在質量管理領域得到廣泛使用,取得良好效果。
PDCA循環將一個過程抽象爲策劃、實施、檢查、措施四個階段,每個階段都有階段任務和目標(如圖2),四個階段爲一個循環,通過這樣一個持續的循環,使過程的目標業績持續改進(如圖3)
圖2 PDCA循環示意圖
圖3 PDCA循環持續改進示意圖
由於PDCA持續改進循環把相關的資源和活動抽象爲過程進行管理,而不是針對單獨的管理要素開發單獨的管理模式,所以這個循環具有廣泛的通用性,現已被多個管理領域所採納,例如質量管理體系(QMS)、環境管理體系(EMS)、職業健康安全管理體系(OHSMS)和信息安全管理體系(信息安全管理體系)等。每一項活動,不論多麼簡單或多麼複雜,都適用這一持續改進循環。
以下舉一個PDCA的生活實例。健身俱樂部李先生作爲專業減肥師在協助希望減肥的王女士制定並實施一套行之有效的訓練方法。他們的目標是設計一套能夠在每週有四天出差的情況下可行的訓練時間表。
如何知道獲得了改進呢?改進可以用她訓練的頻次、堅持的時間、血壓的變化三個指標來衡量。如何才能獲得改進呢?兩人需要制定一個計劃,並且這個計劃在她旅行期間也要得到實施。
第一次PDCA循環
策劃:考慮到王女士每週四天出差在外,李先生建議王女士進行每天20分鐘跑步訓練。爲了能夠在旅行期間不間斷訓練,王女士需要預定有健身房的賓館。
實施:李先生講解了跑步過程中的注意事項,王女士嘗試每天20分鐘的跑步訓練,她發現這個訓練對她來說有些劇烈,跑步結束後,身體有不舒服的感覺,而且不是每家賓館都有健身房。
檢查:王女士兩週只練習了10天,有兩天因爲出差沒預定上有健身房的賓館,沒有訓練,最後兩天由於感覺比較累,沒有訓練。她訓練的積極性不是很高,而且預約不到有健身房的賓館也是個問題。王女士需要改進這個訓練計劃。
措施:李先生建議以戶外散步的方式避免劇烈運動的不適。
第二次PDCA循環
策劃:每天散步。爲了提高散步的興致,改善散步時的心情,王女士決定買一條狗。在家時候,每天早晨散步溜狗;如果出差,狗由她先生照顧。
實施:王女士幾乎每天都可以散步,她發現溜狗感覺很不錯,如果在家,每天都能大約堅持45分鐘,在出差時,她經常在市裏轉轉,差不多每次都有這樣的機會。
檢查:王女士兩週練習了13天,每天最少20分鐘。早晨的新鮮空氣讓她感覺溜狗非常愉快,她的血壓也開始降低了。
措施:王女士現在已經發現了可行有效的訓練計劃,她決定繼續保持這個練習—溜狗+步行市內觀光。
就這樣,王女士經過兩次PDCA循環,找到了可行有效的訓練計劃。這個例子或許能夠說明PDCA循環是如何爲管理體系的每個過程提供改進框架的。
另外,朱蘭提出的“質量三步曲”、摩托羅拉提出的“七步驟法”和PDCA模式很相似,在管理上也有不同程度的應用,有興趣的朋友可以借鑑閱讀,以更好的理解PDCA的精神、地位和作用。