不停歇的脚步

有一种鸟是没有脚的，它只能够一直的飞呀飞呀
飞累了就在风里面睡觉，这种鸟一辈子只能下地一次，那一次就是它死亡的时候...

导航

• 首页
• 联系
• RSS
• 登录

随笔分类

• 信息管理 (rss)
• 感悟人生 (rss)
• 所谓技术 (rss)
• 服务之为人民 (rss)
• 轻松一下 (rss)
• 项目管理 (rss)

存档

• 2005年12月 (3)
• 2005年11月 (7)
• 2005年10月 (5)
• 2005年6月 (2)
• 2005年3月 (1)
• 2005年2月 (2)
• 2004年7月 (1)
• 2004年5月 (6)
• 2004年3月 (1)
• 2004年2月 (2)
• 2004年1月 (6)
• 2003年12月 (15)

相册

• 声色犬马

统计

• 随笔 - 51
• 文章 - 0
• 评论 - 469
• Trackbacks - 72

狐朋狗友

• 偶的烂页子

网络安全

• 公司网页

从PDCA说起

在我所涉及的很多知识领域中，PDCA都是一个被人津津乐道的工具，很多时候，我都不敢说自己真正了解这个模型，今天就在此对PDCA做一个分析吧，用我仅有的知识，来对PDCA做一个简单的解剖。

这个循环并不是我们通常所说的戴明提出的，而是由其导师休哈特（Shewhart）最早提出的（20世纪30年代），之前是PDSA（计划、执行、研究、行动），后来戴明演绎成PDSA（计划、执行、研究、行动）-SDCA（标准化、执行、检查、调整）循环，直至现在的PDCA（计划、做、检查、行动）循环，戴明博士也把这个工具归功于其导师休哈特。

前面的话有一些学究气了，其实个人觉得PDSA从字面意思上来说比PDCA更加贴切一些，Check给我的感觉经常是非自动的，但是现在这个大环境我跟别人说PDSA就有点特立独行了，我自认自己还没那么前卫，还是来边查资料边学习，争取尽量把PDCA搞得更加明白一点吧。

1、P（Plan）--计划，确定方针和目标，确定活动计划；
2、D（Do）--执行，实地去做，实现计划中的内容；
3、C（Check）--检查，总结执行计划的结果，注意效果，找出问题；
4、A（Action）--行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。

说道戴明，很多情况下是和质量管理相关的，现在把它拿到各行各业肯定也有其原因，在此我不做考究，但需要说清楚这个PDCA不是“一个简单的平面环”（这个词俺总结得还真不错，把这个循环的几个特点都含进去了）。
1、首先解释PDCA不是一个环，它是大环套小环，就如同项目管理的项目管理过程一般，在各个层面上都应该参照这个循环，并组成一个大的循环。
2、再来说说PDCA不是一个平面环，它是阶梯式上升的，这个循环走完一遍应该就已经解决一部分问题，取得一部分成果，到了循环的下一个周期，在范围上就应该产生了变化，所以说它不是一个平面环。
3、最后看看PDCA的不简单，在循环中有应有一系列的工具和方法来辅助PDCA的进行工作和发现、解决问题。

信息安全的PDCA循环是在7799里提出来的，信息安全的PDCA对应的是ISMS的建立、实施和运作、监控和检查、维护和提高，我们再来看看咨询行业里面常见的方法论：我们的目标何在、我们现在所处的位置/状态、我们如何达到目标、如何知道我们是否到达目标，其实，方法论都是差不多的，站的角度不同，对不同环节的重视度不同，就有了不同的学派、学说，到了我们这些具体干活的人呢，名词是不管用的，所以个人并不赞成去熟读所有标准的，那样只会浪费自己的时间，当然，这么做对了解各个管理学派的侧重点是有帮助的，但对于我们而言，照准一种最佳的方法，那种方法往往是能够被所有标准所认同的，因此我认为，世界上只有一种轮子啊。站在客户的角度，用你最熟悉的方法，协助客户建立好自己的安全体系，还要注意的是尽管自己的屁股是坐在安全行业上，但一定要使用Rightsize（刚学的一词）的方式来管理风险，不要吓唬客户，也不要因为客户意识不够就放弃你的忽悠，替客户思考，从长期的角度来看，于人于己都是好的。

似乎又跑题了，没事，咱们再回过头来说PDCA，我们将PDCA的四个阶段的八个步骤写下来，再来看看我们怎么来实施。
Plan阶段：
1、分析现状，找出问题。此时可以使用的方法就是风险评估了，不要在乎风险评估方法是否完备，我们并非指望靠这个找出所有问题，也不必要找出一个完整的风险列表，Rightsize就好。
2、分析各种问题因素或原因，这个阶段工作靠的是群策群力，因为我们可以使用因果图。
3、使用排列图和相关图找出主要影响因素，在信息安全行业使用排列就差不多已经到位了，排列图是Pareto发明的，还不知道的话，你就理解一个二八法则就好了，这个图不象因果图，不是拍脑袋拍出来的，因为这个涉及到你应该告诉客户他最需要解决的是什么问题，而不是象现在行业里的有什么就上什么，但从商业的角度，如果我们只解决20％，我们可能就没有钱赚了，粮食是很现实的问题啊。
4、针对主要原因，制定措施计划。这个就是考验你良心的时候了，大多数的信息安全售前都是从这个阶段开始介入的，可见咱们信息安全能发展到这个阶段已经是非常不错了。定计划就用5w1h方法就ok了，为什么制定这个措施，达到什么目标，在哪里执行，有谁负责完成，什么时候完成，怎么完成，只要你能说清楚子丑寅卯，客户不是傻子，个顶个的都比你强。

Do阶段：
5、执行、实施计划，这个没什么好说的，计划啥就做啥，做到什么程度就依靠乙方的项目管理能力和技术水平了。

Check阶段：
6、检查计划执行结果。每个标书其实都会写到验收标准，其实为了提高执行力，借用人力资源管理里的方法，如果乙方能自己对自己的目标结果和过程结果都重视起来，提高就会很明显的，在关注结果的同时更关注一下质量该有多好呢，我更喜欢一句话的前半句——“质量是计划出来的”。

Act阶段：
7、总结成功经验，制定相应标准。前面这个傻子都知道非常重要，将成功经验固化，提高工作效率。后面这个制定相应标准这块，我自己有一些想法，有的时候真的很希望有足够的魄力来限制自己的项目，为乙方来制定一合适的SLA来限制我自己，相关的东西也想了很多，但国内的奖励合同似乎在我们这个级别用得太少了，我们现阶段有这个必要么？
8、把未解决或新出现问题转入下一个PDCA循环。这里就算over了吧

我也就写这么多了，时刻提醒自己在这个浮躁的行业里保持清醒，明天还要上班呢，Good night。

发表于 2005年12月5日 0:25

评论