第一篇：PDCA学习总结

PDCA学习总结-刘伟

首先感谢公司给我们培训学习的机会，个人认为培训是企业给员工最大的福利。就像重庆九建会议室上说的：“适应岗位发展的员工就是企业的人才，人才的成长需要好的平台支持”。既然公司提供了支撑我们发展的平台，我们就应该竭尽全力去做一个高标准的车身人。

这次培训是PDCA循环工作法，是以plan（计划）、do（执行）、check（检查/分析/学习）、action（改善）这样的顺序进行工作，并循环不止的进行下去。结合公司的实际情况，浅谈自己的看法：

P阶段：在日常工作中，我们主要负责的是现场施工的清洁维护和施工安全看护。每天工作几乎都是按部就班，没有一个详细的工作计划。哪儿脏了就去扫一扫，违章作业了拍照上报。却很少制定计划主动的预防。

D阶段：这个阶段我们有些执行不到位，有时违章作业就在眼前却没有去制止。有时看护的时候垃圾就在脚下，却视而不见。有时几个负责人安排的活交叉了，活干不好了。

C阶段：这个阶段我们自己还有待加强。工作做完后效果有时候并不好，特别是现场清洁维护，天天做几次还是脏。还有就是施工质量，经常出现设备安装出现错误后不知道情况。

A阶段：许多问题都堆积到了这个阶段。都知道问题所在，原因都清楚。但是没有自己去行动，去改善，对施工管理不到位。

所以，在现场我们应该知道有哪些施工单位？在哪儿？做什么？做多久？是否涉及危险作业？他们怎么去做的？是否存在违规作业，所遇到的问题是紧急重要的？紧急不重要的？重要不紧急的？不紧急不重要的？都需自己去区别好。通过培训，感觉越学习越不满足，越学习越不深刻，越学习越觉得自己知识贫乏。希望以后将PDCA灵活运用到施工现场中。

第二篇：学习pdca的心得体会

学习PDCA后的心得体会

昨天，很荣幸地在李总的带领下学习了PDCA管理方法，现将本人对PDCA的认识和学习后的一些心得体会汇报如下。

PDCA又叫戴明环，它将一个解决问题需要的四个阶段，即计划、实施、检查、处理完美有序地揉和在一起，形成一个闭合园。通过处理这个阶段又引出解决此问题需要解决的诸多彼问题。大圆套小圆，小圆无极限，直到最底层的小圆中不再引出问题为止。如此周而复始的循环，与中国古代的八卦相挥印。形象的说，就如同两位武林高手对招一样，出第一招就想把对方解决，但情况显然不会如此简单，于是就不得不出第二招、第三招…..直到将对方解决为止。

再从PDCA中的四个字母含义来分析。

P—Plan, 计划的意思。我认为这是做成一件事情，解决一个问题的关键所在。它是四个阶段中的指南针，倘若方向出错，无论后面的三阶段完成的如何完美，结果肯定会与初衷背道而驰。它启示我们在日后的工作生活当中，要做成一个事情，首先要理清思路，找对方向再去做。用中国的一句古话来说就是：磨刀不误砍柴工。

D—Do, 实施的意思。任何事情都是赶出来的，无论你思路如何清晰，方向如何正确，计划如何完美，倘若不去实施，一切皆为空谈，问题决然不会得到解决。它启示我们在日后的工作生

活当中，既然已经想清楚如何去做一件事情，那么就要即刻行动。用中国的一句古语来说就是：空谈误国，实干兴邦。

C—Check, 检查的意思。无论每个人的思维如何缜密，但百密必有一疏，而且思维必然都会有相对的局限性，因此，在实施的过程中，必须经常检查自己当初的思路能够指导正在实施的行为，是否偏离了解决问题的初衷。它启示我们，在日后的工作生活当中，在解决一个问题，办成一件事情的过程中，要注意回头看，否则必然进入死胡同或者偏离了当初的路线。用中国的一句俗话来说就是：不能一条路走到黑。

A—Action, 反馈、总结、处理的意思。就如同高中生做题一样，与其搞题海战术，同类型的题目做上一百遍，还不如只做一道题，然后将解决这种问题的方法归类总结来得好，这样就可以举一反三。同样的，它启示我们在日常的工作生活当中，要善于反馈处理，对好的经验要加以推广，失败的教训加以总结。用中国的一句俗话来说就是：得规律者得天下。

总而言之，PDCA是一个教我们解决问题的一个闭合步骤，无论做什么事情，只要按照此方法来实施，都能达到理想的效果。以上即为学习PDCA的心得体会，不妥之处请领导批评指正。

武朝鹏

202_-4-19

第三篇：PDCA

P、D、C、A PDCA循环把工作过程分为四个阶段：计划（P）阶段、实施或执行（D）阶段、检查（C）阶段和总结或处置（A）阶段。又把四个阶段细分为八个步骤，即计划阶段中的现状调查、原因分析、要因确认、制订对策；实施阶段中的执行对策；检查阶段的效果对策和总结阶段中的巩固对策、遗留问题。应当明确，主只是一般情况下的概括性划分，在实际工作中四个阶段必须保证，而八个步骤要根据工作的复杂程度以及采用的方法不同而异。例如在202_年版ISO 9000标准中多处强调“水平对比法”，其计划阶段就可以分为以下6个步骤：（1）确定对比项目；（2）确定对比对象；（3）收集资料；（4）整理资料；（5）进行对比找出差距；（6）制定措施计划。计划（P）阶段

主要任务是制订问题的切实可行的措施计划。

1、现状调查

主要任务是认识问题的特征。要求要从不同的角度以不同的观点去广泛而深入调查问题特定的特性。调查要求：

（1）调查过程中至少要从时间、地点、类型、症状四个角度去发现问题的特征。（2）调查应从不同的着眼光去发现问题的变化状况。（3）调查必须到现场收集数据及各种必要的信息。（4）调查应取得问题的充分背景资料以及经历的过程。（5）调查的结果要用具体的词语把结果表达出来。展示不良结果所导致的损失以及改进到什么程度可以获得的改进效果。

（6）调查结束时必须制订出解决问题后的改进目标以及实现目标的依据和可能性。目标值既具有先进性又要可实现。

2、原因分析

原因分析是根据现状调查所掌握的问题的特定特性或特征，探索解决问题的线索。

原因分析可以应用因果图、因素展开型系统图、并联图等工具。但无论是应用哪一种工具，应力求找出影响问题的全部原因。原因分析的结果是找到的原因数量越多越好。

确切地讲，原因分析包括分析和验证两个内容。原因分析基础是掌握事实，但一个人或少数人的知识和经验往往具有片面性或局限性，所以原因分析必须要作到集思广益和科学验证。

3、要因确认

要因确认要保证科学上的正确性，统计技术提供的很多的方法如排列图、矩阵图、散布图、方差分析、假设检验避免采用“举手表决”的方式。要因确认的最终结果是确定的主要原因数量越少越好。

4、制定对策

制订对策的目的在于消除主要原因。针对主要原因制订有效的解决措施，形成一个改进工作的日程计划，必要时还应从经济的角度对改进提出一个概算。

制订措施的目的在于消除主要原因，因此必须针对主要原因。制定措施考虑：

（1）采取的措施要充分考虑是否可能产生其它问题，对预料到的可能产生的其它问题，应同时制订消除措施，杜绝副作用的发生。

（2）对制定的措施要检查其有利及不利之处，尽可能取得所有参与改进的成员的一致同意。（3）解决问题的措施与以后的巩固措施有所不同。

通常制定措施计划大多采用对策表的方式，但在具备某些条件时亦可采用网络计划（矢线图）或PDPC法（过程决策程序图法）等工具。实施（D）阶段

措施计划的实施不是简单的执行，是工作量极大的过程。对措施计划的实施应做到执行、控制和调整。

执行：措施计划是经过充分调查研究后南而制定的，原则上是切实右行的，所以主观上要努力做到严格按措施计划去执行。

控制：应采取必要的措施，控制措施计划的实施。如人力、物力、财力的保证以及各相关部门之间的协调等。调整：当原订措施计划由于受到因素、条件的变化而无法执行时，必须及时对原订措施计划进行调整。调整是指调整措施（工作内容、手段和方法）确保计划目标的实现。因此，当计划调整必须要验证调整后的措施能否保证目标值的实现。检查（C）阶段

检查措施实施后的实际效果。如：不希望的结果（问题）减少到什么程度，目标值实现的程度以及相关指标的改善等。检查必须是明确的，往往要采用对比的手法，如排列图、柱状图、波动图、统计描述等。所以要求采用这些方法，是强调要用数据说话。要求：

（1）效果检查与现状调查最好用同一种图表对比采取措施前后问题的改进状况。（2）用经济价值不计算效果，更能反映问题的实质，这对管理层是非常重要的。（3）所有的相关效果都应当列出来，不论大小。

（4）当效果并不预料的那样令人满意，或达不到目标值时，应重新回到现状调查的步骤从头开始。总结（A）阶段

1、采取巩固措施（防止已经解决的问题再发生）要求：

（1）对策表是按5W1H设计的，何人、何时、何地、什么、为什么及如何。如果措施是成功的，就应将其纳入标准（技术标准或规章制度）。

（2）新标准的制订一定要按企业文件管理规定的制度去办理，要有标准的通报及必要的培训教育。（3）新标准的建立要由责任制积保证得到贯彻执行，要有必要的检查手段。

2、遗留问题

（1）根据取得的效果估量还存在什么问题。（2）计划还应当继续做些什么（新的计划），去解决什么问题。

（3）总结前面的工作，什么事情做得好，什么事情做得不好。对解决问题本身进行反思，有助于提高以后的改进工作的质量。

综上所述可理解到PDCA循环有以下特点：

（1）PDCA循环是连续的循环过程。每经过一个循环质量水平就得到一步提高警惕。若干循环的连续是一步一个台阶，不断的提高就是持续不断的改进，最终可达到高境界的质量水平。

（2）PDCA循环的四个阶段中关键在于总结阶段。总结阶段起到承上（巩固措施）启下（遗留问题）的作用，保证了PDCA循环不断地进行。

（3）PDCA循环各步骤之间一环套一环，具有很强的逻辑性。

（4）PDCA循环过程中枞周围众多的问题中选取最重要的问题去着手改进，针对影响的众多原因要确认最重要的原因在解决问题，体现了抓重点的思想。

（5）PDCA循环是大环套小环，小环保证大环。附：202_个版ISO 9000标准关于PDCA循环的要求： 改进环的使用

质量改进是指，是指为改善产品的特征和特性，提高生产和交付产品的过程的有效性和效率所采用的措施。改进过程可包括：

确定、分析和测量现状； 确定改进目标；

研究可能改进的方案； 评价这些方案；

实施进行验证、分析和测量； 将过程更改纳入文件。

改进过程是持续的，并且永无止境。必要时，对过程进行评审，以确定改进的机会。质量管理体系评审和管理体系审核可以识别这些机会。

计划、实施、检查、改进（PDCA）改进环（由戴明提出）是一具改进循规的实例。为了强调改进过程的持续的、循环的性质，它被表这为一个旋转的或螺旋的过程。

第四篇：PDCA

目的：探索 PDCA 循环法在绘制体温单中的应用效果。方法：随机抽查 202_年 1-2月外二病历体温单 200 份，在此基础上于202_年 3-4 月将 PDCA 循环运用于体温单绘制之中。对比两份体温单的缺陷情况。结果：将 202_ 年 1-2 月体温单缺陷率为 50.0%，202_ 年 3-4月体温单缺陷率为 9.5%，两个时期进行检查对比，发现通过培训、细化责任标准、督导等管理后体温单上的缺陷率明显降低。结论：PDCA 循环法是提高体温单绘制准确率的有效方法。

PDCA 循环(戴明循环)是一种全面质量保证管理体系运转的基本方式，由美国管理学家爱德华·戴明提出，是一种护理质量管理的基本方法。分为 4 个阶段：计划 Plan、实施 Do、检查 Cheek、总结处理Action 4 个阶段的科学工作流程进行管理。

护理文件是医疗文件的重要组成部分，而体温单为护理文件重要组成部分，是护理工作者记录患者治疗期间生命体征的客观资料，护理文件在患者疾病处置，解决重大疑难杂病以及正确处理医疗纠纷问题上都起着极其重要的作用。自 202_ 年《医疗事故处理条例》提出： “护理文件作为病历的一个重要组成部

分，可作为法律依据，患者可以复印”后，体温单成为了护患双方举证的依据。体温单的重要性得到了极大的提高，因此正确绘制体温单无论对于医院、护理人员自身、还是对于患者来说都是非常重要的。分析 202_ 年 1-4 月体温单绘制质量基础上，于 202_年3月起对体温单绘制质量应用 PDCA 循环进行控制，取得良好的效果，现报道如下。准备工作 建立体温表质控团队。建立一个由护士长、体温表质控员和组员组成的体温表绘制质控小组。护士长负责正确绘制体温表方案的制订和落实，在体温表绘制中起主导作用，组织并实施以体温表绘制为主的培训课程，提高护士对正确绘制体温表的掌握，在工作中监督、审核及反馈绘制体温表情况。体温表 质控员由高年资具备主管护师以上职称的护士担任，与组员共同完成对患者从入院到出院的体温表绘制，并对体温表正确绘制进行评价，还指导、协调、督促和评价组员，及时发现绘制体温表中的问题，及时反馈与沟通，协调护士长做好体温表管理工作。组员则具体落实体温表测量及绘制。2 PDCA循环管理方法 2.1 计划阶段(P)2.1.1 现状调查(1)对象：202_ 年 1-2 月随机选取 200 份病历中的体温单作为研究对象。(2)依据护理病历书写格式及说明上对体温单绘制的要求，发现有50.0%病历体温单绘制存在不合格现象，详见表1。

2.1.2 原因分析(1)人员问题：护理人员对体温单绘制重要性的认识未提到法律高度；护理人员忙，电脑绘制不及时，容易遗忘；护理人员对正确绘制体温单掌握不熟练，特别是年轻护理人员；核对医嘱不认真，没有做到班班核对，责任未到人质控小组及护士长检查不到位。(2)物品：打印机时常出故障修理人员修理不及时；护理人员没有专用打印机；患者多时电脑不够用。

表1 202_年11-12月随机抽查200份病历体温单上的缺陷情况 项目 份数(份)发生率(%)漏记皮试 8 4.0 漏记体温 15 7.5 漏记手术时间 6 3.0 缺页 9 4.5 体温单上的脉搏与患者实际不符合 40 20.0 灌肠标识不正确 5 2.5 缺体重 7 3.5 次体温间有“外出” “拒测”出现连线现象 10 5.0 3 确定目标 体温单漏记皮试 0；漏测体温 <5%；漏记手术时间 0；体温单缺页 0 ；体温单上的脉搏与患者实际脉搏符合率 >95%；灌肠在体温单上做正确标示 100%；体重填写100%；两次体温之间有“外出” “拒测”出现连线现象 <2%。2.1.4 具体实施计划(1)202_ 年 1 月完成绘制体温表相关知识培训及完成责任标准的制定。(2)202_ 年3-4 月具体实施、评价、完成体温表绘制流程。(3)202_年4月底总结、分析、再改进。

2.1.5 改进计划(1)加强法律法规知识的培训，提高护理人员的法律意识和自我保护意识。(2)加强对正确绘制体温单的培训，尤其对年轻护理人员。(3)做好体温单绘制流程在电脑台板醒目地方，以提醒绘制体温单的护士。(4)加强查对制度的落实，做到班班核对，每日总核对一次。(5)每周质控小组检查两次，护士长最少每周查一次。(6)督促打印机修理员对故障打印机及时维修，定期检修，必要时护理人员有专用打印机。2.2 实施阶段(D)2.2.1 培训(1)科室组织学习： 定期组织全科护理人员学习《医疗事故处理条例》 《病历书写规范(试行)》等相关文件，举办体温单绘制培训，对体温单中潜在的法律问题进行全科分析讨论，使护士领会举证倒置的实质，严格从法律的角度去审视体温单绘制的严谨性和重要性，树立正确绘制体温单的责任意识。

(2)熟练掌握查对制度，落实查对制度执行情况。

2.2.2 细化责任标准(1)每班护理人员每天按要求测量体温、脉搏、大便等，要求一定与实际相符合，并及时绘制到体温单上。(2)体温单上的皮试有治疗班看完结果后在体温单上做好记录，当天中午班及夜班护士核对，第2天办公班护士对第1天医嘱上的皮试进行全面核对。(3)接手术患者的护理人员在护理单上做好记录并在体温单上记录手术时间，第2天上午责任护士核对第1天手术患者体温单。(4)体温单由责任班绘制完下午体温后对满页体温单及时打印，并做好夜班测体温标识。(5)护士灌肠后及时在体温单相应栏内填写，并做好交接，责任护士核对。(6)体重入院时填写，并有责任班核对。(7)护士长及质控小组每日对出院病历进行总检查，并每周对住院患者体温单进行两次检查。2.3 检查阶段(1)根据《病历书写规范(试行)》体温单上的绘制标准进行检查。(2)护士长和体温表质控员，每周对在院患者体温表进行两次检查监督，科室每周二晨会上进行体温表绘制管理阶段小结，护士长对目前科室体温表管理情况进行反馈，并制订下一步工作的计划。检查方法采取定期检查法和不定期检查法，对检查中发现的问题及时反馈并改进措施。2.4 处理阶段(A)

根据评价反馈结果，对不足之处寻找原因，将成功的经验和存在的不足，作为推动下一循环的动力。PDCA 循环管理实施两个月中，根据质控小组的检查结果分析 PDCA 循环管理中存在的问题：为漏记体温，体温表上的脉搏与患者 实际脉搏不相符合及两次体温有“外出” “拒测”出现连线现象的问题。护士长根据存在不足，召开体温表质控小组会议。查找漏记体温现象主要为小夜班新来的患者，小夜班护士未做标识，大夜班护士未核实，结果漏记早上体温，护士长及体温表质控员及时提醒大小夜班护士，加强查对制度落实，并作为差错记在差错事故本上，及时提醒其他护士不要犯同样问题；体温表上的脉搏与患者实际脉搏不相符合，主要为护士自身素质问题，护士长要加强检查、监督，使护士自觉养成良好慎独精神；两次体温间有“外出”、“拒测”出现连线，主要原因为电脑绘制体温单整体提交时，护士没有到体温单上及时修改“外出”、“拒测”两次体温的连线，体温质控组长每天提醒绘制体温表护士，及时修改。根据存在的问题，提出改进措施，转入新的循环，在不断循环往复中不断修正，完善管理措施。3 结果

202_ 年 2 月底质控小组对 1-2 月随机抽查 200 份病历体温单进行检查分析，缺陷率为 9.5%，结果详见表2。4 讨论

PDCA 循环法是促进护理管理的有效手段，通过计划、实施、检查和处理，形成环环相扣，在不断循环往复中，每次赋予新的内容，及时发现问题，及时改进工作 [6]，在这种螺旋式上升的过程使各项护理工作质量都得到了提升，笔者所在科室自 202_ 年 1 月应用 PDCA 循环法开展护理工作以来，极大地提 高了护理人员正确绘制体温单准确度。运用 PDCA 循环法进行体温单管理前要对管理小组成员进行严格的培训，再组织全科护理人员认真学习绘制标准，让全员参与和质控，让每位护理人员在质控中能参照标准来解决小循环中的问题 [7]，护士长要随时给予指导。每个大循环完成后将解决的问题纳入规范中，使 PDCA 循环能持续不断地运转。

表2 202_年1-2月随机抽查200份病历体温单上的缺陷情况 项目 份数(份)发生率(%)漏记皮试 0 0 漏记体温 5 2.5 漏记手术时间 0 0 缺页 0 0 体温单上的脉搏与患者实际不符合 11 5.5 灌肠标识不正确 0 0 缺体重 0 0 两次体温间有“外出” “拒测”出现连线现象 3 1.5 PDCA 循环是广泛应用于质量管理的标准化、科学化的循环体系。本研究结果显示，在绘制体温单缺陷方面，PDCA循环管理法明显优于常规管理，使体温单绘制缺陷率明显降低，确保了护理文件质量始终处在一个良性循环轨道中。

PDCD 的每一次循环都将起点提到一个新的水平，并且具有连续性的特点。本研究借鉴了 PDCA 循环的理论进行体温表绘制的持续质量改进，以该理论为管理框架，在工作中总结反馈，找出不足之处，不断的改进措施，不断完善。在当前患者的自我保护意识完全苏醒甚至过敏的今天，在“举证责任倒置”的医疗环境下，医护人员应不断规范自己的行为，善于保护自身及同行，为正确施治、施护提供有力的书面证据。而且护理文件的质量也一定能够迎接病历公开这一新规则对护理学科正面与负性影响的挑战，防范医疗纠纷或医疗事故于未然 [9]。

第五篇：PDCA

PDCA过程模式在信息安全管理体系的应用

科飞管理咨询有限公司 吴昌伦 王毅刚

BS 7799是国际上具有代表性的信息安全管理体系标准，其第二部分《信息安全管理体系规范》，是组织评价信息安全管理体系有效性、符合性的依据。它的最新版本（BS 7799-2:202_）是202_年9月5日修订的，引入了PDCA（Plan-Do-Check-Action）过程模式，作为建立、实施信息安全管理体系并持续改进其有效性的方法。

PDCA过程模式被ISO 9001、ISO 14001等国际管理体系标准广泛采用，是保证管理体系持续改进的有效模式。依据BS 7799-2:202_建立信息安全管理体系时，过程方法鼓励其用户强调下列内容的重要性：

1、理解组织的信息安全要求，以及为信息安全建立方针和目标的需求；

2、在管理组织整体业务风险背景下实施和运行控制；

3、监控并评审信息安全管理体系的业绩和有效性；

4、在目标测量的基础上持续改进。

BS 7799-2:202_的PDCA过程模式

BS 7799-2:202_所采用的过程模式如图1所示，“计划-实施-检查-措施”四个步骤可以应用于所有过程。PDCA过程模式可简单描述如下：

图1 PDCA过程模式

◆ 策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

◆ 实施：实施和运作方针（过程和程序）。

◆ 检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

◆ 措施：采取纠正和预防措施进一步提高过程业绩。

四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。

应用PDCA建立、保持信息安全管理体系

P（策划）—建立信息安全管理体系环境（context）&风险评估

要启动PDCA循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

1．确定范围和方针

信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：a.确立信息安全管理体系范围和体系环境所需的过程；b.战略性和组织化的信息安全管理环境；c.组织的信息安全风险管理方法；d.信息安全风险评价标准以及所要求的保证程度；e.信息资产识别的范围。

信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：

◆ 下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动；

◆ 下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。

安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

2、定义风险评估的系统性方法

确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；b.威胁及薄弱点的识别；c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

3、识别风险

识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

4、评估风险

根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

5、识别并评价风险处理的方法

对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

6、为风险的处理选择控制目标与控制方式

选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。BS 7799-2:202_附录A提供了可供选择的控制目标与控制方式。

不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。

这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。

在形式上，组织可以通过设计风险处理计划来完成步骤5和6。

风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

7、获得最高管理者的授权批准

剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

D（实施）—实施并运行信息安全管理体系

PDCA循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。

对于那些被评估认为是可接受的风险，不需要采取进一步的措施。

对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。

本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。

本阶段还应该实施并保持策划了的探测和响应机制。

C（检查）—监视并评审信息安全管理体系

检查阶段，又叫学习阶段，是PDCA循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

1、执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

2、常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

3、评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:202_标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

管理者应该确保有证据证明：a.信息安全方针仍然是业务要求的正确反映；b.正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标；c.有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效；d.剩余风险已被正确评估，并且是组织管理可以接受的；e.前期审核和评审所认同的措施已经被实施；

审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。

5、正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。

6、记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

A（措施）—改进信息安全管理体系

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA循环。

在这个过程中组织可能持续的进行一下操作：a.测量信息安全管理体系满足安全方针和目标方面的业绩。b.识别信息安全管理体系的改进，并有效实施。c.采取适当的纠正和预防措施。d.沟通结果及活动，并与所有相关方磋商。e.必要时修订信息安全管理体系。f.确保修订达到预期的目标。

在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

不符合、纠正措施和预防措施是本阶段的重要概念。

不符合：是指实施、维持并改进所要求的一个或多哥管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：a.识别信息安全管理体系实施、运作过程中的不符合；b.确定不符合的原因；c.评价确保不符合不再发生的措施要求；d.取定并实施所需的纠正措施；e.记录所采取措施的结果；f.评审所采取措施的有效性。

预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。

预防措施的文件化程序应该规定以下方面的要求：a.识别潜在不符合及其原因；b.确定并实施所需的预防措施；c.记录所采取措施的结果；d.评审所采取的预防措施；e.识别已变化的风险，并确保对发生重大变化的风险予以关注。

PDCA持续改进循环

PDCA(策划—实施—检查—措施)是由休哈特(Walter Shewhart)在19世纪30年代构想，随后被戴明(Edwards Deming)采纳、宣传，获得普及，所以它经常也被称为“休哈特环”或者“戴明环”。此概念的提出是为了持续改善产品质量的，随着全面质量管理理念的深入，该循环在质量管理领域得到广泛使用，取得良好效果。

PDCA循环将一个过程抽象为策划、实施、检查、措施四个阶段，每个阶段都有阶段任务和目标（如图2），四个阶段为一个循环，通过这样一个持续的循环，使过程的目标业绩持续改进(如图3)

图2 PDCA循环示意图

图3 PDCA循环持续改进示意图

由于PDCA持续改进循环把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，所以这个循环具有广泛的通用性，现已被多个管理领域所采纳，例如质量管理体系(QMS)、环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(信息安全管理体系)等。每一项活动，不论多么简单或多么复杂，都适用这一持续改进循环。

以下举一个PDCA的生活实例。健身俱乐部李先生作为专业减肥师在协助希望减肥的王女士制定并实施一套行之有效的训练方法。他们的目标是设计一套能够在每周有四天出差的情况下可行的训练时间表。

如何知道获得了改进呢？改进可以用她训练的频次、坚持的时间、血压的变化三个指标来衡量。如何才能获得改进呢？两人需要制定一个计划，并且这个计划在她旅行期间也要得到实施。

第一次PDCA循环

策划：考虑到王女士每周四天出差在外，李先生建议王女士进行每天20分钟跑步训练。为了能够在旅行期间不间断训练，王女士需要预定有健身房的宾馆。

实施：李先生讲解了跑步过程中的注意事项，王女士尝试每天20分钟的跑步训练，她发现这个训练对她来说有些剧烈，跑步结束后，身体有不舒服的感觉，而且不是每家宾馆都有健身房。

检查：王女士两周只练习了10天，有两天因为出差没预定上有健身房的宾馆，没有训练，最后两天由于感觉比较累，没有训练。她训练的积极性不是很高，而且预约不到有健身房的宾馆也是个问题。王女士需要改进这个训练计划。

措施：李先生建议以户外散步的方式避免剧烈运动的不适。

第二次PDCA循环

策划：每天散步。为了提高散步的兴致，改善散步时的心情，王女士决定买一条狗。在家时候，每天早晨散步溜狗；如果出差，狗由她先生照顾。

实施：王女士几乎每天都可以散步，她发现溜狗感觉很不错，如果在家，每天都能大约坚持45分钟，在出差时，她经常在市里转转，差不多每次都有这样的机会。

检查：王女士两周练习了13天，每天最少20分钟。早晨的新鲜空气让她感觉溜狗非常愉快，她的血压也开始降低了。

措施：王女士现在已经发现了可行有效的训练计划，她决定继续保持这个练习—溜狗+步行市内观光。

就这样，王女士经过两次PDCA循环，找到了可行有效的训练计划。这个例子或许能够说明PDCA循环是如何为管理体系的每个过程提供改进框架的。

另外，朱兰提出的“质量三步曲”、摩托罗拉提出的“七步骤法”和PDCA模式很相似，在管理上也有不同程度的应用，有兴趣的朋友可以借鉴阅读，以更好的理解PDCA的精神、地位和作用。