这个循环且不是我们通常所说的戴明提出的,而是由其导师休哈特(Shewhart)最早提出的(20世纪30年代),之前是PDSA(计划、执行、研究、行动),后来戴明演绎成PDSA(计划、执行、研究、行动)-SDCA(标准化、执行、检查、调整)循环,直至当下的PDCA(计划、做、检查、行动)循环,戴明博士也把这个工具归功于其导师休哈特。
前面的话有壹些学究气了,其实个人觉得PDSA从字面意思上来说比PDCA更加贴切壹些,Check给我的感觉经常是非自动的,可是当下这个大环境我跟别人说PDSA就有点特立独行了,我自认自己仍没那么前卫,仍是来边查资料边学习,争取尽量把PDCA搞得更加明白壹点吧。
1、P(Plan)--计划,确定方针和目标,确定活动计划; 2、D(Do)--执行,实地去做,实现计划中的内容;
3、C(Check)--检查,总结执行计划的结果,注意效果,找出问题;
4、A(Action)--行动,对总结检查的结果进行处理,成功的经验加以肯定且适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下壹个PDCA循环。
说道戴明,很多情况下是和质量管理关联的,当下把它拿到各行各业肯定也有其原因,于此我不做考究,但需要说清楚这个PDCA不是“壹个简单的平面环”(这个词俺总结得仍真不错,把这个循环的几个特点均含进去了)。
1、首先解释PDCA不是壹个环,它是大环套小环,就如同项目管理的项目管理过程壹般,于各个层面上均应该参照这个循环,且组成壹个大的循环。
2、再来说说PDCA不是壹个平面环,它是阶梯式上升的,这个循环走完壹遍应该就已经解决壹部分问题,取得壹部分成果,到了循环的下壹个周期,于范围上就应该产生了变化,所以说它不是壹个平面环。
3、最后见见PDCA的不简单,于循环中有应有壹系列的工具和方法来辅助PDCA的进行工作和发现、解决问题。
信息安全的PDCA循环是于7799里提出来的,信息安全的PDCA对应的是ISMS的建立、实施和运作、监控和检查、维护和提高,我们再来见见咨询行业里面常见的方法论:我们的目标何于、我们当下所处的位置/状态、我们如何达到目标、如何知道我们是否到达目标,其实,方法论均是差不多的,站的角度不同,对不同环节的重视度不同,就有了不同的学派、学说,到了我们这些具体干活的人呢,名词是不管用的,所以个人且不赞成去熟读所有标准的,那样只会浪费自己的时间,当然,这么做对了解各个管理学派的侧重点是有帮助的,但对于我们而言,照准壹种最佳的方法,那种方法往往是能够被所有标准所认同的,因此我认为,世界上只有壹种轮子啊。站于客户的角度,用你最熟悉的方法,协助客户建立好自己的安全体系,仍要注意的是尽管自己的屁股是坐于安全行业上,但壹定要使用Rightsize(刚学的壹词)的方式来管理风险,不要吓唬客户,也不要因为客户意识不够就放弃你的忽悠,替客户思考,从长期的角度来见,于人于己均是好的。
似乎又跑题了,没事,咱们再回过头来说PDCA,我们将PDCA的四个阶段的八个步骤写下来,再来见见我们怎么来实施。
Plan阶段:
1、分析现状,找出问题。此时能够使用的方法就是风险评估了,不要于乎风险评估方法是否完备,我们且非指望靠这个找出所有问题,也不必要找出壹个完整的风险列表,Rightsize就好。
2、分析各种问题因素或原因,这个阶段工作靠的是群策群力,因为我们能够使用因果图。
3、使用排列图和关联图找出主要影响因素,于信息安全行业使用排列就差不多已经到位了,排列图是Pareto发明的,仍不知道的话,你就理解壹个二八法则就好了,这个图不象因果图,不是拍脑袋拍出来的,因为这个涉及到你应该告诉客户他最需要解决的是什么问题,而不是象当下行业里的有什么就上什么,但从商业的角度,如果我们只解决20%,我们可能就没有钱赚了,粮食是很现实的问题啊。
4、针对主要原因,制定措施计划。这个就是考验你良心的时候了,大多数的信息安全售前均是从这个阶段开始介入的,可见咱们信息安全能发展到这个阶段已经是非常不错了。定计划就用5w1h方法就ok了,为什么制定这个措施,达到什么目标,于哪里执行,有谁负责完成,什么时候完成,怎么完成,只要你能说清楚子丑寅卯,客户不是傻子,个顶个的均比你强。
Do阶段:
5、执行、实施计划,这个没什么好说的,计划啥就做啥,做到什么程度就依靠乙方的项目管理能力和技术水平了。
Check阶段:
6、检查计划执行结果。每个标书其实均会写到验收标准,其实为了提高执行力,借用人力资源管理里的方法,如果乙方能自己对自己的目标结果和过程结果均重视起来,提高就会很明显的,于关注结果的同时更关注壹下质量该有多好呢,我更喜欢壹句话的前半句——“质量是计划出来的”。
Act阶段:
7、总结成功经验,制定相应标准。前面这个傻子均知道非常重要,将成功经验固化,提高工作效率。后面这个制定相应标准这块,我自己有壹些想法,有的时候真的很希望有足够的魄力来限制自己的项目,为乙方来制定壹合适的SLA来限制我自己,关联的东西也想了很多,但国内的奖励合同似乎于我们这个级别用得太少了,我们现阶段有这个必要么?
8、把未解决或新出现问题转入下壹个PDCA循环。这里就算over了吧
[绩效考核]PDCA绩效管理讲义
