На мой взгляд, цикл непрерывного совершенствования PDCA должен понимать, а лучше еще и применять каждый специалист по ИБ. Он кажется простым и понятным, но, на самом деле, идеи заложенная в нем наделены глубоким смыслом. Одним прочтением ISO 27001 для понимания модели не обойтись... Кстати, в версии 2013 года цикл PDCA не упоминается, авторы стандарта предлагают использовать любую модель непрерывного совершенствования, например, мою любимую из COBIT5 (про это писал тут и тут ). Но еще лучше для понимания модели PDCA изучить книги Деминга ( вот тут я делал небольшой обзор основных идей ) и прочитать рекомендации по внедрению СУИБ в ISO 27003.Но недавно нашел еще один полезный текст по теме PDCA в книге " BPM CBOK 3.0. Свод знаний по управлению бизнес-процессами ". Привожу его практически полностью ниже.
Организации, обладающие зрелыми способностями к управлению процессами, управляют ими по замкнутому циклу с обратной связью, включающему планирование, проектирование, внедрение, исполнение, измерение, контроль и непрерывное совершенствование.
Литература изобилует жизненными циклами бизнес-процессов, описывающими управление с обратной связью. Независимо от числа фаз цикла и присвоенных им названий подавляющее большинство можно свести к циклу «Планирование - Действие - Проверка - Корректировка» (PDCA), популяризированного доктором Эдвардом Демингом в 1950е годы.
Plan
Назначение стадии «Планирования» цикла PDCA - убедится, что как контекст бизнес-процесса, так и внутреннее устройство процесса соответствуют стратегическим целям организации.
Описание бизнес-контекста - это способ достичь глубокого понимания связи между процессом и его внешним окружением ( еще посмотрите эту мою заметку про контекст в ИБ ). Этот критически важный шаг в понимании целей процесса завершен тогда, когда получена как минимум следующая информация:
- Потребитель процесса.
- Выход процесса и ясное понимание того, почему он представляет ценность для потребителя.
- Как процесс и его выход соответствуют миссии организации и работают на его стратегические цели (то есть как с точки зрения контекста процесс встраивается в вышестоящую процессу архитектуру).
- Вход(ы) процесса и событие(-я), запускающие исполнение процесса, и каналы, по которым этот запуск может происходить.
- Регулирующие положения - внешние или внутренние политики и правила, накладывающие ограничения на проектирование и исполнение процесса.
- Исходные значения показателей результативности и эффективности (если речь идет о существующем бизнес-процессе).
- Целевые показатели результативности и эффективности будущей версии процесса.
После того как бизнес-контекст зафиксирован, можно приступить к проектированию внутреннего устройства процесса. Если он хорошо спроектирован, то в результате мы получим как минимум следующие четко сформулированные пункты:
- Действия, составляющие процесс.
- Осязаемые результаты и артефакты, создаваемые в ходе процесса, и состояния, через которые они проходят.
- Информационные системы, задействованные в выполнении процесса.
- Места выполняемых действий и места хранения относящихся к процессу материальных результатов и артефактов.
- Специфические события, ограничивающие исполнение процесса.
- Метрики и точки измерения показателей производительности процесса.
В дополнение к этому в хорошо спроектированном процессе расписаны связи между перечисленными выше компонентами процесса. Например, такие:
- Какие роли отвечают за исполнение каких действий.
- Какие действия производят какие результаты.
- какие события какие действия запускают.
- Какие действия выполняются на каких местах.
- Какие результаты хранятся в каких местах.
- Какие информационные системы обеспечивают какие действия.
В организации, которым недостает способности правильно организовать планирование, разработка процесса опирается на предположения и интуицию. Такие организации часто страдают от разнонаправленности усилий, политической борьбы, операционных конфликтов, разрывов цепочки создания ценности на функциональные анклавы, чувства оторванности от менеджмента, которое испытывают работники, и от неспособности добиться прогресса.
Do
Назначение стадии «Действие» цикла PDCA - внедрить процесс в соответствии со спецификацией, разработанной на стадии «Планирование», и приступить к его эксплуатации.
Внедрение процесса не ограничено каким-то определенным форматом, но, как правило, оно включает следующие действия:
- Создание новых ролей и полномочий или модификация существующих.
- Проектирование или реструктуризация функциональных подразделений.
- Разработка или доработка информационных систем, включая функциональные приложения и автоматизацию процессов и потоков работ.
- Разработка и внедрение вспомогательных средств, таких как стандарты на операционные процедуры, инструкции и руководства.
- Открытие новых каналов и точек взаимодействия с клиентами.
- Создание и внедрение мониторинг показателей эффективности процесса, панелей показателей для контроля производительности, а также механизмов эскалации.
Стадия «Действие» цикла PDCA включает в себя также исполнение процесса с момента внедрения его в эксплуатацию. Другими словами:
- процесс запускается инициирующими событиями;
- процесс получает входы;
- выполняются действия;
- производятся промежуточные результаты;
- конечные результаты процесса производятся и передаются по назначению.
Check
Назначение стадии «Проверка» цикла PDCA - измерить показатели эффективности процесса и сравнить их с ожидаемой эффективностью.
Секрет полезности метрик на стадии «Планирование» - правильная архитектура процесса на стадии «Планирование». Показатели эффективности процесса определяются ожиданиями потребителя.
Секрет полезности метрик на стадии «Планирование» - правильная архитектура процесса на стадии «Планирование». Показатели эффективности процесса определяются ожиданиями потребителя.
Стадия «Проверка» цикла PDCA служит механизмом измерения и сопоставления показателей с целевыми значениями.
Традиционные категории показателей эффективности:
- Временные: пропускная способность, время цикла, доставка в срок.
- Качество продукции: отсутствие дефектов, объем переделок, надежность продукции.
- Качество услуги: гибкость, добросовестность, надежность.
- Стоимость: трудозатраты, материальные затраты накладные затраты, стоимость переделок.
- Удовлетворенность потребителя: соответствие восприятия продукции ли услуги ожиданиям.
Act
Назначение стадии «Корректировка» цикла PDCA - проанализировать и отреагировать в соответствии с собранными на стадии «Проверка» данными по эффективности процесса. Эта стадия обеспечивает качественное функционирование процесса, несмотря на изменения окружающей сред, и в ходе таких измерений гарантирует, что процесс можно непрерывно совершенствовать, добиваясь соответствия целевым показателям эффективности, которые тоже меняются во времени.
Могут выполнятся корректировки двух видов:
- Действия с отдельными экземплярами процессов (вмешательство в реальном или близком к реальному времени).
- Выявление и планирование изменений в описании и реализации процесса (то есть измерение того, как экземпляры процесса должны исполняться в будущей версии).
Стадия «Корректировка» включает в себя следующие действия:
- Сбор и агрегирование данных и наблюдений, собранных на стадии «Проверка».
- Анализ этих данных и составление списка критичных замечаний из списка (то есть требования к проекту будущей версии процесса).
- Ранжирование и приоретизацию всех требований к будущей версии внутреннего устройства процесса, которые должны быть реализованы на следующей стадии «Планирование» цикла PDCA.
