PDCA与数据安全治理

本博客地址：https://security.blog.csdn.net/article/details/122831540

一、引子

PDCA是指计划（Plan）、实施（Do）、检查（Check）、处理（Action）的缩写，是一个循环改进过程，PDCA最早用于企业的全面质量管理，企业先把各项工作按照计划、实施、检查、处理这个流程来执行，如果效果好，就将其标准化。

这一工作方法，不仅可以用于企业质量管理，也可以用于各项管理工作。比如ISO 27001信息安全管理体系，就引入了PDCA模式。

二、计划

如果考虑快速启动，我们可以采取如下方法。

首先，我们需要了解现状，识别出问题或风险所在，比如，数据安全领域主要面临入侵、数据泄露风险等，隐私保护领域将主要面临法律合规风险。

其次，我们要对主要的风险进行根因分析，找出主要的问题所在，如缺乏相关的管理政策、标准、规范，或缺乏安全防御防御设施、支撑系统，或缺乏针对风险的度量反馈与持续改进机制等。对找到的原因还需要进行排序，分清主次，以便确定解决方案的优先级。

然后，需要设定改进的目标，并为此制定整体的解决方案与计划。这里的解决方案，不仅仅是技术层面的系统建设，也包括管理、运营等各种手段，如制定发布管理类文件、标准/规范类文件、意识教育宣传、培训、考试、流程建设、响应机制等等。可以将目标分解为一个个小目标，安排不同的团队来完成，并设定时间限制。

对于大型企业来说，我们首先需要参考数据安全治理的几个主要领域：战略、组织、政策总纲/最佳实践框架，制定这些领域的建议稿，并筹备下一步计划，在各利益干系人之间达成共识，之后对其进行发布，在已经具备部分政策文件的前提下，可以同步启动风险识别活动。

三、执行

在数据安全治理方面的基石已经确定的情况下，可以执行具体的数据安全管理活动，如项目建设、运营、合规与风险管理。确定整体解决方案和计划之后，按照预定的计划，设计出具体的行动方案，按计划的进度执行。比如分工协作，分别完成不同的任务。

对于数据安全来说，通常包括如下任务：

● 项目建设，如安全防御基础设施的建设（抗DDoS、HIDS、WAF等）、安全支持系统的建设（SSO、KMS、日志平台等）、流程建设、工具建设（如扫描器）。
● 安全运营，包括意识教育活动、培训、宣传等。
● 合规与风险管理，包括政策、标准、规范等文件体系的建设，以及基于合规政策的风险改进活动（政策、标准、规范等文件的内容也是需要落地的，发现风险后，通过风险闭环流程驱动改进直至关闭）。

四、检查

阶段性地检查计划执行的效果，对风险进行度量（即风险量化），评估执行效果，及时纠偏。例如：

● 检查业务对内部文件的符合性（合规性），以及改进的情况。
● 风险度量，即用数据来描述当前的风险，以及风险的改进趋势。
● 发起扫描或渗透测试，看看实际防御效果。
● 发起专项审计。

检查、度量的目的就是发现问题，并反馈到安全体系的改进中去，作为安全体系持续改进的输入。

度量数据，特别是风险收敛数据，常用来作为团队绩效考核的依据。

五、处理

这一环节，是对之前的工作加以深度思考的总结，作为下一步决策和管理问责的参考，并在下一步工作中进行巩固或纠正。

做得好的地方，可以视为成功的经验，为巩固成绩，可将其作为标准，文档化记录下来，并整合到相关的管理、规范、流程文件中去。

做得还不够的地方，作为遗留问题，将在下一个循环中重新作为风险项输入，并再次考虑新的解决方案去决它。

就这样，通过不断的计划、执行、检查、复盘纠正，让整体数据安全能力水平上一个新台阶。放在其他工作领域，同样可运用PDCA方法，让我们的工作做得更好。