PDCA与数据安全治理

本博客地址:https://security.blog.csdn.net/article/details/122831540

一、引子

PDCA是指计划(Plan)、实施(Do)、检查(Check)、处理(Action)的缩写,是一个循环改进过程,PDCA最早用于企业的全面质量管理,企业先把各项工作按照计划、实施、检查、处理这个流程来执行,如果效果好,就将其标准化。

这一工作方法,不仅可以用于企业质量管理,也可以用于各项管理工作。比如ISO 27001信息安全管理体系,就引入了PDCA模式。

二、计划

如果考虑快速启动,我们可以采取如下方法。

首先,我们需要了解现状,识别出问题或风险所在,比如,数据安全领域主要面临入侵、数据泄露风险等,隐私保护领域将主要面临法律合规风险。

其次,我们要对主要的风险进行根因分析,找出主要的问题所在,如缺乏相关的管理政策、标准、规范,或缺乏安全防御防御设施、支撑系统,或缺乏针对风险的度量反馈与持续改进机制等。对找到的原因还需要进行排序,分清主次,以便确定解决方案的优先级。

然后,需要设定改进的目标,并为此制定整体的解决方案与计划。这里的解决方案,不仅仅是技术层面的系统建设,也包括管理、运营等各种手段,如制定发布管理类文件、标准/规范类文件、意识教育宣传、培训、考试、流程建设、响应机制等等。可以将目标分解为一个个小目标,安排不同的团队来完成,并设定时间限制。

对于大型企业来说,我们首先需要参考数据安全治理的几个主要领域:战略、组织、政策总纲/最佳实践框架,制定这些领域的建议稿,并筹备下一步计划,在各利益干系人之间达成共识,之后对其进行发布,在已经具备部分政策文件的前提下,可以同步启动风险识别活动。

三、执行

在数据安全治理方面的基石已经确定的情况下,可以执行具体的数据安全管理活动,如项目建设、运营、合规与风险管理。确定整体解决方案和计划之后,按照预定的计划,设计出具体的行动方案,按计划的进度执行。比如分工协作,分别完成不同的任务。

对于数据安全来说,通常包括如下任务:

● 项目建设,如安全防御基础设施的建设(抗DDoS、HIDS、WAF等)、安全支持系统的建设(SSO、KMS、日志平台等)、流程建设、工具建设(如扫描器)。
● 安全运营,包括意识教育活动、培训、宣传等。
● 合规与风险管理,包括政策、标准、规范等文件体系的建设,以及基于合规政策的风险改进活动(政策、标准、规范等文件的内容也是需要落地的,发现风险后,通过风险闭环流程驱动改进直至关闭)。

四、检查

阶段性地检查计划执行的效果,对风险进行度量(即风险量化),评估执行效果,及时纠偏。例如:

● 检查业务对内部文件的符合性(合规性),以及改进的情况。
● 风险度量,即用数据来描述当前的风险,以及风险的改进趋势。
● 发起扫描或渗透测试,看看实际防御效果。
● 发起专项审计。

检查、度量的目的就是发现问题,并反馈到安全体系的改进中去,作为安全体系持续改进的输入。

度量数据,特别是风险收敛数据,常用来作为团队绩效考核的依据。

五、处理

这一环节,是对之前的工作加以深度思考的总结,作为下一步决策和管理问责的参考,并在下一步工作中进行巩固或纠正。

做得好的地方,可以视为成功的经验,为巩固成绩,可将其作为标准,文档化记录下来,并整合到相关的管理、规范、流程文件中去。

做得还不够的地方,作为遗留问题,将在下一个循环中重新作为风险项输入,并再次考虑新的解决方案去决它。

就这样,通过不断的计划、执行、检查、复盘纠正,让整体数据安全能力水平上一个新台阶。放在其他工作领域,同样可运用PDCA方法,让我们的工作做得更好。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值