本博客地址:https://security.blog.csdn.net/article/details/122831540
一、引子
PDCA是指计划
(Plan)、实施
(Do)、检查
(Check)、处理
(Action)的缩写,是一个循环改进过程,PDCA最早用于企业的全面质量管理,企业先把各项工作按照计划、实施、检查、处理这个流程来执行,如果效果好,就将其标准化。
这一工作方法,不仅可以用于企业质量管理,也可以用于各项管理工作。比如ISO 27001信息安全管理体系,就引入了PDCA模式。
二、计划
如果考虑快速启动,我们可以采取如下方法。
首先,我们需要了解现状,识别出问题或风险所在,比如,数据安全领域主要面临入侵、数据泄露风险等,隐私保护领域将主要面临法律合规风险。
其次,我们要对主要的风险进行根因分析,找出主要的问题所在,如缺乏相关的管理政策、标准、规范,或缺乏安全防御防御设施、支撑系统,或缺乏针对风险的度量反馈与持续改进机制等。对找到的原因还需要进行排序,分清主次,以便确定解决方案的优先级。
然后,需要设定改进的目标,并为此制定整体的解决方案与计划。这里的解决方案,不仅仅是技术层面的系统建设,也包括管理、运营等各种手段,如制定发布管理类文件、标准/规范类文件、意识教育宣传、培训、考试、流程建设、响应机制等等。可以将目标分解为一个个小目标,安排不同的团队来完成,并设定时间限制。
对于大型企业来说,我们首先需要参考数据安全治理的几个主要领域:战略、组织、政策总纲/最佳实践框架,制定这些领域的建议稿,并筹备下一步计划,在各利益干系人之间达成共识,之后对其进行发布,在已经具备部分政策文件的前提下,可以同步启动风险识别活动。
三、执行
在数据安全治理方面的基石已经确定的情况下,可以执行具体的数据安全管理活动,如项目建设、运营、合规与风险管理。确定整体解决方案和计划之后,按照预定的计划,设计出具体的行动方案,按计划的进度执行。比如分工协作,分别完成不同的任务。
对于数据安全来说,通常包括如下任务:
● 项目建设,如安全防御基础设施的建设(抗DDoS、HIDS、WAF等)、安全支持系统的建设(SSO、KMS、日志平台等)、流程建设、工具建设(如扫描器)。
● 安全运营,包括意识教育活动、培训、宣传等。
● 合规与风险管理,包括政策、标准、规范等文件体系的建设,以及基于合规政策的风险改进活动(政策、标准、规范等文件的内容也是需要落地的,发现风险后,通过风险闭环流程驱动改进直至关闭)。
四、检查
阶段性地检查计划执行的效果,对风险进行度量(即风险量化),评估执行效果,及时纠偏。例如:
● 检查业务对内部文件的符合性(合规性),以及改进的情况。
● 风险度量,即用数据来描述当前的风险,以及风险的改进趋势。
● 发起扫描或渗透测试,看看实际防御效果。
● 发起专项审计。
检查、度量的目的就是发现问题,并反馈到安全体系的改进中去,作为安全体系持续改进的输入。
度量数据,特别是风险收敛数据,常用来作为团队绩效考核的依据。
五、处理
这一环节,是对之前的工作加以深度思考的总结,作为下一步决策和管理问责的参考,并在下一步工作中进行巩固或纠正。
做得好的地方,可以视为成功的经验,为巩固成绩,可将其作为标准,文档化记录下来,并整合到相关的管理、规范、流程文件中去。
做得还不够的地方,作为遗留问题,将在下一个循环中重新作为风险项输入,并再次考虑新的解决方案去决它。
就这样,通过不断的计划、执行、检查、复盘纠正,让整体数据安全能力水平上一个新台阶。放在其他工作领域,同样可运用PDCA方法,让我们的工作做得更好。