PDCA 管理循环方法

2023-10-19 09:59
文章标签 方法 管理 循环 pdca

本文主要是介绍PDCA 管理循环方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

PDCA(Plan-Do-Check-Act)管理循环,即“计划一实施一检查一改进”管理循环,是一种经典的信息安全过程管理方式。PDCA 管理循环由美国质量管理专家休哈特博士首先提出,由美国质量管理专家戴明采纳、宣传并获得普及,所以又称作“戴明环”。
在 ISO/IEC27001-2005 中,PDCA 管理循环成为标准所强调的,用于建立、实施信息安全管理体系并持续改进其有效性的方法。PDCA 管理循环被 ISO9001、ISO14001 等国际管理体系标准广泛采用,是保证管理体系持续改进的有效模式。
PDCA 管理循环鼓励其用户强调下列内容的重要性:理解组织的信息安全要求,以及为信息安全建立方针和目标的需求;在管理组织整体业务风险背景下实施和运行控制;监控并评审信息安全管理体系的业绩和有效性;在目标测量的基础上持续改进。PDCA 管理循环如图 1-2所示,“计划一实施一检查一改进”四个步骤组成一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
在这里插入图片描述

PDCA 管理循环的四个阶段可简单描述如下:

1)计划(Plan)阶段——建立信息安全管理体系环境

计划阶段是 PDCA 管理循环的“启动器”,目的是确保正确建立信息安全管理体系的范围和详略程度,识别并评估所有的信息安全风险,为这些风险制定适当的处理计划,给出风险评估和最终的信息系统安全控制方案。计划阶段所有重要活动都应当记录,并形成文档,以备将来追溯和控制更改情况。
在计划阶段,需要在安全策略的指导下对信息安全管理体系所涉及范围进行风险评估,通过安全设计产生最终的信息系统安全控制方案,用于指导随后的实施阶段。安全设计的任务之一是获取系统安全组件。系统安全组件可以是技术的,也可以是非技术的。非技术组件一般指制度方面,包括各种规章、条例、操作守则等;技术组件在物理形态上一般是计算机软/硬件,这些软/硬件可以自行开发或委托开发,也可以以商业采购或政府采购形式获得。对于需要商业采购或政府采购的产品,在安全控制方案中应给出候选产品列表。

2)实施(Do)阶段——实施并运行信息安全管理体系

实施阶段的任务是以适当的优先权进行管理运作,执行所选择的控制,用以管理计划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险,可以不必采取进一步的措施;对于不可接受的风险,则需要实施所选择的控制。计划的成功实施需要有效的管理系统,并且要依据规定的方式方法监控这些活动。在不可接受的风险被降低或转移之后,还会有一部分剩余风险,应对这部分风险进行监视,确保风险导致的影响和破坏被快速识别并得到适当管理。
实施阶段需要分配适当的资源(人员、时间和资金等)运行信息安全管理体系以及所有的安全控制。这包括将所有已实施的控制文件化,以及对信息安全管理体系文件的积极维护。在实施阶段需要监视风险变化,识别新的风险可能对业务产生的影响。

3)检查(Check)阶段——监视并评审信息安全管理体系

检查阶段是 PDCA 管理循环的关键阶段,是信息安全管理体系分析运行效果、寻求改进机会的阶段。应通过多种方式检查信息安全管理体系是否运行良好,如果发现某些控制措施不合理、不充分,就要采取纠正措施,防止信息系统处于不可接受的风险状态。例如,执行程序和其他控制,以快速检测处理结果中存在的错误,评审信息安全管理体系的有效性,评估剩余风险和可接受风险的等级,审核执行管理程序是否适当、是否符合标准以及是否按照预期的目的进行工作,评审记录并报告可能影响信息安全管理体系有效性的所有活动、事件。
检查阶段与计划阶段相辅相成。从管理循环的角度讲,这两个阶段是管理循环的主要驱动。从信息保障的角度讲,检查体现了主动防御的理念。检查阶段的实质是在运行期检查已实施的风险控制措施是否行之有效,这实质上也是风险评估活动,因此风险评估在信息安全管理中并不是仅在计划阶段才会用到。

4)改进(Act)阶段——改进信息安全管理体系

改进阶段是根据检查阶段的结论来改进系统。如果评审无问题,则继续执行;若评审有问题,则按照既定方案修正;如果存在不符合项,则采用纠正措施,就是另一次的 PDCA 管理循环。要把改进放在信息安全管理体系持续完善的大背景下,以长远的眼光来谋划,确保改进不仅能够解决眼前问题,还要杜绝类似事故再发生,或者降低其再发生的可能性。

这篇关于PDCA 管理循环方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/239082

相关文章

判断PyTorch是GPU版还是CPU版的方法小结

《判断PyTorch是GPU版还是CPU版的方法小结》PyTorch作为当前最流行的深度学习框架之一,支持在CPU和GPU(NVIDIACUDA)上运行,所以对于深度学习开发者来说,正确识别PyTor... 目录前言为什么需要区分GPU和CPU版本?性能差异硬件要求如何检查PyTorch版本?方法1:使用命

Qt实现网络数据解析的方法总结

《Qt实现网络数据解析的方法总结》在Qt中解析网络数据通常涉及接收原始字节流,并将其转换为有意义的应用层数据,这篇文章为大家介绍了详细步骤和示例,感兴趣的小伙伴可以了解下... 目录1. 网络数据接收2. 缓冲区管理(处理粘包/拆包)3. 常见数据格式解析3.1 jsON解析3.2 XML解析3.3 自定义

SpringMVC 通过ajax 前后端数据交互的实现方法

《SpringMVC通过ajax前后端数据交互的实现方法》:本文主要介绍SpringMVC通过ajax前后端数据交互的实现方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价... 在前端的开发过程中,经常在html页面通过AJAX进行前后端数据的交互,SpringMVC的controll

Java中的工具类命名方法

《Java中的工具类命名方法》:本文主要介绍Java中的工具类究竟如何命名,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java中的工具类究竟如何命名?先来几个例子几种命名方式的比较到底如何命名 ?总结Java中的工具类究竟如何命名?先来几个例子JD

Spring Security自定义身份认证的实现方法

《SpringSecurity自定义身份认证的实现方法》:本文主要介绍SpringSecurity自定义身份认证的实现方法,下面对SpringSecurity的这三种自定义身份认证进行详细讲解,... 目录1.内存身份认证(1)创建配置类(2)验证内存身份认证2.JDBC身份认证(1)数据准备 (2)配置依

python获取网页表格的多种方法汇总

《python获取网页表格的多种方法汇总》我们在网页上看到很多的表格,如果要获取里面的数据或者转化成其他格式,就需要将表格获取下来并进行整理,在Python中,获取网页表格的方法有多种,下面就跟随小编... 目录1. 使用Pandas的read_html2. 使用BeautifulSoup和pandas3.

Spring 中的循环引用问题解决方法

《Spring中的循环引用问题解决方法》:本文主要介绍Spring中的循环引用问题解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录什么是循环引用?循环依赖三级缓存解决循环依赖二级缓存三级缓存本章来聊聊Spring 中的循环引用问题该如何解决。这里聊

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Pandas统计每行数据中的空值的方法示例

《Pandas统计每行数据中的空值的方法示例》处理缺失数据(NaN值)是一个非常常见的问题,本文主要介绍了Pandas统计每行数据中的空值的方法示例,具有一定的参考价值,感兴趣的可以了解一下... 目录什么是空值?为什么要统计空值?准备工作创建示例数据统计每行空值数量进一步分析www.chinasem.cn处

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi