PDCA过程模式在信息安全管理体系的应用

PDCA模型是质量管理大师戴明提出来的,在很多场合都可以使用,在ISMS中,该模型也可以发扬光大,被BSI和IEC/ISO等组织推荐,PDCA模型和基于过程的方法成为ISO27000系列的核心框架.我看过国内的一些业界人士写过PDCA在ISMS方面的介绍,但都比较简略,往往一带而过,而科飞安全咨询管理公司的两位顾问对此作了深入浅出的风险,非常值得我们认真学习欣赏.------看了他们写的文章好,一再肯定我的想法:没有深入的研究,怎么有独到的见解呢?

                                                                                                   -------danby 2008.6.9中午 广州天河

作者:科飞管理咨询有限公司 吴昌伦 王毅刚

　　BS 7799是国际上具有代表性的信息安全管理体系标准，其第二部分《信息安全管理体系规范》，是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本（BS 7799-2:2002）是2002年9月5日修订的，引入了PDCA（Plan-Do-Check-Action）过程模式，作为建立、实施信息安全管理体系并持续改进其有效性的方法。

　　PDCA过程模式被ISO 9001、ISO 14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。依据BS 7799-2:2002建立信息安全管理体系时，过程方法鼓励其用户强调下列内容的重要性：

　　1、理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；

　　2、在管理组织整体业务风险背景下实施和运行控制；

　　3、监控并评审信息安全管理体系的业绩和有效性；

　　4、在目标测量的基础上持续改进。


　　BS 7799-2:2002的PDCA过程模式


　　BS 7799-2:2002所采用的过程模式如图1所示，“计划-实施-检查-措施”四个步骤可以应用于所有过程。PDCA过程模式可简单描述如下：


图1 PDCA过程模式

　　◆ 策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

　　◆ 实施：实施和运作方针（过程和程序）。

　　◆ 检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

　　◆ 措施：采取纠正和预防措施进一步提高过程业绩。

　　四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。


　　应用PDCA建立、保持信息安全管理体系


　　P（策划）—建立信息安全管理体系环境（context）&风险评估

　　要启动PDCA循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

　　1．确定范围和方针

　　信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：a.确立信息安全管理体系范围和体系环境所需的过程；b.战略性和组织化的信息安全管理环境；c.组织的信息安全风险管理方法；d.信息安全风险评价标准以及所要求的保证程度；e.信息资产识别的范围。

　　信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：

　　◆ 下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动；

　　◆ 下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。

　　安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

　　2、定义风险评估的系统性方法

　　确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；b. 威胁及薄弱点的识别；c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

　　3、识别风险

　　识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

　　4、评估风险

　　根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

　　5、识别并评价风险处理的方法

　　对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

　　6、为风险的处理选择控制目标与控制方式

　　选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。BS 7799-2:2002附录A提供了可供选择的控制目标与控制方式。

　　不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。

　　这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。

　　在形式上，组织可以通过设计风险处理计划来完成步骤5和6。

　　风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

　　7、获得最高管理者的授权批准

　　剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

　　D（实施）—实施并运行信息安全管理体系

　　PDCA循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。

　　对于那些被评估认为是可接受的风险， 不需要采取进一步的措施。

　　对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

　　在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。

　　本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

　　提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。

　　本阶段还应该实施并保持策划了的探测和响应机制。

　　C（检查）—监视并评审信息安全管理体系

　　检查阶段，又叫学习阶段，是PDCA循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

　　1、执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

　　2、常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

　　3、评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

　　4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

　　管理者应该确保有证据证明：a.信息安全方针仍然是业务要求的正确反映；b.正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标；c.有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效；d.剩余风险已被正确评估，并且是组织管理可以接受的；e.前期审核和评审所认同的措施已经被实施；

　　审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。

　　5、正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。

　　6、记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

　　A（措施）—改进信息安全管理体系

　　经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA循环。

　　在这个过程中组织可能持续的进行一下操作：a.测量信息安全管理体系满足安全方针和目标方面的业绩。b.识别信息安全管理体系的改进，并有效实施。c.采取适当的纠正和预防措施。d.沟通结果及活动，并与所有相关方磋商。e.必要时修订信息安全管理体系。f.确保修订达到预期的目标。

　　在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

　　不符合、纠正措施和预防措施是本阶段的重要概念。

　　不符合：是指实施、维持并改进所要求的一个或多哥管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

　　纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：a.识别信息安全管理体系实施、运作过程中的不符合；b.确定不符合的原因；c.评价确保不符合不再发生的措施要求；d.取定并实施所需的纠正措施；e.记录所采取措施的结果；f.评审所采取措施的有效性。

　　预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。

　　预防措施的文件化程序应该规定以下方面的要求：a.识别潜在不符合及其原因；b.确定并实施所需的预防措施；c.记录所采取措施的结果；d.评审所采取的预防措施；e.识别已变化的风险，并确保对发生重大变化的风险予以关注。


　　PDCA持续改进循环


　　PDCA(策划—实施—检查—措施)是由休哈特(Walter Shewhart)在19世纪30年代构想，随后被戴明(Edwards Deming)采纳、宣传，获得普及，所以它经常也被称为“休哈特环”或者“戴明环”。此概念的提出是为了持续改善产品质量的，随着全面质量管理理念的深入，该循环在质量管理领域得到广泛使用，取得良好效果。

　　PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段，每个阶段都有阶段任务和目标（如图2），四个阶段为一个循环，通过这样一个持续的循环，使过程的目标业绩持续改进(如图3)


图2 PDCA循环示意图


图3 PDCA循环持续改进示意图

　　由于PDCA持续改进循环把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，所以这个循环具有广泛的通用性，现已被多个管理领域所采纳，例如质量管理体系(QMS)、环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(信息安全管理体系)等。每一项活动，不论多么简单或多么复杂，都适用这一持续改进循环。

　　以下举一个PDCA的生活实例。健身俱乐部李先生作为专业减肥师在协助希望减肥的王女士制定并实施一套行之有效的训练方法。他们的目标是设计一套能够在每周有四天出差的情况下可行的训练时间表。

　　如何知道获得了改进呢？改进可以用她训练的频次、坚持的时间、血压的变化三个指标来衡量。如何才能获得改进呢？两人需要制定一个计划，并且这个计划在她旅行期间也要得到实施。

　　第一次PDCA循环

　　策划：考虑到王女士每周四天出差在外，李先生建议王女士进行每天20分钟跑步训练。为了能够在旅行期间不间断训练，王女士需要预定有健身房的宾馆。

　　实施：李先生讲解了跑步过程中的注意事项，王女士尝试每天20分钟的跑步训练，她发现这个训练对她来说有些剧烈，跑步结束后，身体有不舒服的感觉，而且不是每家宾馆都有健身房。

　　检查：王女士两周只练习了10天，有两天因为出差没预定上有健身房的宾馆，没有训练，最后两天由于感觉比较累，没有训练。她训练的积极性不是很高，而且预约不到有健身房的宾馆也是个问题。王女士需要改进这个训练计划。

　　措施：李先生建议以户外散步的方式避免剧烈运动的不适。

　　第二次PDCA循环

　　策划：每天散步。为了提高散步的兴致，改善散步时的心情，王女士决定买一条狗。在家时候，每天早晨散步溜狗；如果出差，狗由她先生照顾。

　　实施：王女士几乎每天都可以散步，她发现溜狗感觉很不错，如果在家，每天都能大约坚持45分钟，在出差时，她经常在市里转转，差不多每次都有这样的机会。

　　检查：王女士两周练习了13天，每天最少20分钟。早晨的新鲜空气让她感觉溜狗非常愉快，她的血压也开始降低了。

　　措施：王女士现在已经发现了可行有效的训练计划，她决定继续保持这个练习—溜狗+步行市内观光。

　　就这样，王女士经过两次PDCA循环，找到了可行有效的训练计划。这个例子或许能够说明PDCA循环是如何为管理体系的每个过程提供改进框架的。

　　另外，朱兰提出的“质量三步曲”、摩托罗拉提出的“七步骤法”和PDCA模式很相似，在管理上也有不同程度的应用，有兴趣的朋友可以借鉴阅读，以更好的理解PDCA的精神、地位和作用。