运用PDCA循环法完善信息安全管理体系.docVIP

运用PDCA循环法完善信息安全管理体系 中国公共安全?学术版网络安全 ChinaPublicS~ufiW.AcademyEditionNetworkS~ufiW 总第5期 6,2006,NO.02 运用PDCA循环法 完善信息安全管理体系 杨辉 (河南省信阳市质量技术监督局,信阳464000) 【摘要1ISO14001标准的管理模式是遵循PDCA的思想而建立的.本文简要介绍了PDCA循环法的基本知识和运用 PDCA循环法完善安全管理体系及应注意的几点问题. 【关键词1PDCA法;安全管理体系;完善 【中图分类号1$9012【文献标识码】A【文章编号11672.2396[2006105.0078.04 人类正进入信息化社会,社会发展对信息资源的 依赖程度越来越大,从人们日常生活,组织运作到国 家管理信息资源都是不可或缺的重要资源,没有各种 信息的支持,现代社会将不能生存和发展.在信息社 会中,一方面信息已成为人类重要资产,在政治,经 济,军事,教育,科技,生活等方面发挥着重要作用, 另一方面计算机技术的迅猛发展而带来的信息安全问 题正变得日益突出,信息资产比传统的实物资产更加 脆弱,更容易受到损害,需要加以妥善保护. BS7799是国际上具有代表性的信息安全管理体 系标准,其第二部分信息安全管理体系规范》,是组 织评价信息安全管理体系有效性,符合性的依据.它 的最新版本(BS7799-2:2002)是2002年9月5日修 订的,引入了PDCA(Plan-Do-Check-Action)过程 模式,作为建立,实施信息安全管理体系并持续改进 其有效性的方法.安全管理体系是个动态的,需不断 发展和完善的体系,建立程序与其运作模式没有本质 的区别,都遵循着名的策划一实施一检查一改进管 理循环理论(简称PDCA循环). 1.PDCA循环法概述 PDCA循环是由美国统计学家戴明博士提出来的, 因此,也叫戴明环.它反映了质量管理活动的规律.戴 明认为:一般人做工作总是先有个设想,计划和目标, 然后根据这个计划目标去做,在做的过程中还要看看 是否达到了原来的计划目标,以修正自己的行为或目 标,直至计划目标得以实现,再提出更高一层次的目 标.PDCA循环法就是按照计J~,J(Plan),实施(Do),检 查(Check),处理(Action)这四个阶段按顺序开展管理工 作,并且不断循环进行的一处科学方法.P(Plan)表 示计划;D(Do)表示执行;C(Check)表示检查; A(Action)表示处理.PDCA循环是提高产品质量, 改善企业经营管理的重要方法,是质量保证体系运转 的基本方式.PDCA管理法的核心在于通过持续不断 的改进,使企业的各项事务在有效控制的状态下向预 定目标发展. PDCA循环的特点是PDCA表明了质量管理活动 的四个阶段,每个阶段又分为若干步骤. 在计划阶段,要通过市场调查,用户访问等,摸清 用户对产品质量的要求,确定质量政策,质量目标和 质量计划等.它包括现状调查,原因分析,确定要因和 制定计划四个步骤. 在执行阶段,要实施上一阶段所规定的内容,如 根据质量标准进行产品设计,试制,试验,其中包括计 划执行前的人员培训.它只有一个步骤:执行计划. 在检查阶段,主要是在计划执行过程之中或执行 之后,检查执行情况,看是否符合计划的预期结果.该 阶段也只有一个步骤:效果检查. 在处理阶段,主要是根据检查结果,采取相应的 措施.巩固成绩,把成功的经验尽可能纳入标准,进行 标准化,遗留问题则转入下一个PDCA循环去解决.它 包括两个步骤:巩固措施和下一步的打算. 任何管理活动都是一个不断运动,不断循环的动 态过程,都是企业使用一定的管理方法和手段,对企 收稿日期:2006.04.22 作者简介:杨辉,河南省信阳市质量技术监督局,注册质量工程师. ? 78? 总第5期 6,2006,No.02 网络安全 NetworkSecurity 中国公共安全?学术版 ChinaPublicSecurity.AcademyEdition 业质量管理活动也是如此.正如戴明先生提出的 PDCA循环一样,这个过程以对未来的计划为起点,经 过对各种要素的组织和对经营活动的指挥,使计划付 诸实施,再通过检查,了解计划的执行和企业目标的 实现情况,最后,通过处理,使企业经营管理过程中的 经验,教训及时得到总结和提炼.在总结过程中,发现 问题,分析原因,制定目标和对策,以进入下一个管理 循环.企业质量管理工作中,我们可以引用PDCA循 环法指导企业质量管理体系的运行.在应用PDCA循 环法的过程中,恰当地使用各种技术方法,又可大大 提高企业质量管理工作的速度和效果. 2.PDCA循环法在安全管理体系中的应用 2.1P(策划)—建立信息安全管理体系(cont