PDCA 管理循环方法

PDCA（Plan-Do-Check-Act）管理循环，即“计划一实施一检查一改进”管理循环，是一种经典的信息安全过程管理方式。PDCA 管理循环由美国质量管理专家休哈特博士首先提出，由美国质量管理专家戴明采纳、宣传并获得普及，所以又称作“戴明环”。
在 ISO/IEC27001-2005 中，PDCA 管理循环成为标准所强调的，用于建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA 管理循环被 ISO9001、ISO14001 等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。
PDCA 管理循环鼓励其用户强调下列内容的重要性：理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；在管理组织整体业务风险背景下实施和运行控制；监控并评审信息安全管理体系的业绩和有效性；在目标测量的基础上持续改进。PDCA 管理循环如图 1-2所示，“计划一实施一检查一改进”四个步骤组成一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。

PDCA 管理循环的四个阶段可简单描述如下：

1）计划（Plan）阶段——建立信息安全管理体系环境

计划阶段是 PDCA 管理循环的“启动器”，目的是确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划，给出风险评估和最终的信息系统安全控制方案。计划阶段所有重要活动都应当记录，并形成文档，以备将来追溯和控制更改情况。
在计划阶段，需要在安全策略的指导下对信息安全管理体系所涉及范围进行风险评估，通过安全设计产生最终的信息系统安全控制方案，用于指导随后的实施阶段。安全设计的任务之一是获取系统安全组件。系统安全组件可以是技术的，也可以是非技术的。非技术组件一般指制度方面，包括各种规章、条例、操作守则等；技术组件在物理形态上一般是计算机软/硬件，这些软/硬件可以自行开发或委托开发，也可以以商业采购或政府采购形式获得。对于需要商业采购或政府采购的产品，在安全控制方案中应给出候选产品列表。

2）实施（Do）阶段——实施并运行信息安全管理体系

实施阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，用以管理计划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险，可以不必采取进一步的措施；对于不可接受的风险，则需要实施所选择的控制。计划的成功实施需要有效的管理系统，并且要依据规定的方式方法监控这些活动。在不可接受的风险被降低或转移之后，还会有一部分剩余风险，应对这部分风险进行监视，确保风险导致的影响和破坏被快速识别并得到适当管理。
实施阶段需要分配适当的资源（人员、时间和资金等）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施的控制文件化，以及对信息安全管理体系文件的积极维护。在实施阶段需要监视风险变化，识别新的风险可能对业务产生的影响。

3）检查（Check）阶段——监视并评审信息安全管理体系

检查阶段是 PDCA 管理循环的关键阶段，是信息安全管理体系分析运行效果、寻求改进机会的阶段。应通过多种方式检查信息安全管理体系是否运行良好，如果发现某些控制措施不合理、不充分，就要采取纠正措施，防止信息系统处于不可接受的风险状态。例如，执行程序和其他控制，以快速检测处理结果中存在的错误，评审信息安全管理体系的有效性，评估剩余风险和可接受风险的等级，审核执行管理程序是否适当、是否符合标准以及是否按照预期的目的进行工作，评审记录并报告可能影响信息安全管理体系有效性的所有活动、事件。
检查阶段与计划阶段相辅相成。从管理循环的角度讲，这两个阶段是管理循环的主要驱动。从信息保障的角度讲，检查体现了主动防御的理念。检查阶段的实质是在运行期检查已实施的风险控制措施是否行之有效，这实质上也是风险评估活动，因此风险评估在信息安全管理中并不是仅在计划阶段才会用到。

4）改进（Act）阶段——改进信息安全管理体系

改进阶段是根据检查阶段的结论来改进系统。如果评审无问题，则继续执行；若评审有问题，则按照既定方案修正；如果存在不符合项，则采用纠正措施，就是另一次的 PDCA 管理循环。要把改进放在信息安全管理体系持续完善的大背景下，以长远的眼光来谋划，确保改进不仅能够解决眼前问题，还要杜绝类似事故再发生，或者降低其再发生的可能性。