2024-11-13

PDCA循环是美国质量管理专家沃特·阿曼德·休哈特（Walter A. Shewhart）首先提出的，由戴明采纳、宣传，获得普及，所以又称戴明环。信息安全管理体系中的思想基础和方法依据就是PDCA循环。PDCA循环的含义是将信息安全管理分为四个阶段，即策划（Plan）、执行（Do）、检查（Check）和 处理（Act）。

1、策划（Plan）——建立信息安全管理体系环境&风险评估

依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

2、执行（Do）—实施并运行

这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。

3、检查（Check）—监视并评审

又叫学习阶段，是PDCA 循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。

4、处理（Act）—改进

采取纠正和预防措施进一步提高过程业绩。

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA 循环。

四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。