將信息安全指標納入企業(yè)績效考核的實踐

【 摘 要 】 隨著現(xiàn)代企業(yè)管理水平的提高，績效管理作為提升企業(yè)競爭力的有效手段，被越來越多的重視和應用。本文分析了用績效管理手段提升企業(yè)信息化特別是信息安全保障水平的真實案例，探討了用管理手段提高信息安全管控水平的可行性。

【 關(guān)鍵詞 】 信息安全；企業(yè)管理；績效考核

1 引言

經(jīng)過近幾年的發(fā)展，中國鐵建股份有限公司（以下簡稱中國鐵建）的信息化工作全面展開，眾多信息化項目的實施，大量信息系統(tǒng)的上線應用，有力地促進了企業(yè)核心競爭力的提升。

隨著信息系統(tǒng)不斷建成與投入應用，信息資源擁有量快速增長，對信息安全的保障需求日顯強烈，信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據(jù)國內(nèi)外成熟的信息安全標準和方法，結(jié)合企業(yè)業(yè)務發(fā)展戰(zhàn)略和企業(yè)特點，構(gòu)建符合本公司業(yè)務實際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級保護制度作為國家在信息安全保障管理上的根本制度，具有強制性的特征，也要求企業(yè)認真加以貫徹落實。

在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執(zhí)行，成為亟待需要解決的問題。

為此，結(jié)合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點，經(jīng)過初步探索，將信息安全指標納入了中國鐵建信息化績效評價體系，與各子分公司領(lǐng)導考核掛鉤，從“信息安全事故”和“等級保護”兩個維度、四項指標，通過定量對比分析，對各單位的信息安全工作進行評價，以推進信息安全持續(xù)改進。

2 考核原則

（1）公開、公平、公正。嚴格按照考核細則對被考核單位，在公開、公平、公正的環(huán)境中，進行客觀的評價。

（2）實事求是。被考核單位應如實反映信息安全工作情況，提供的相關(guān)資料和數(shù)據(jù)真實可信。

（3）遵循規(guī)劃、貫徹制度、檢查效果、保障安全。考核指標的提出以信息安全規(guī)劃、制度為依據(jù)，重點在信息化建設效果并保障信息安全。

（4）區(qū)別對待，逐步演進。根據(jù)子公司規(guī)模、成長階段、業(yè)務特點的不同，區(qū)別對待；根據(jù)信息安全建設重點，不同年度有不同的考核重點，逐步演進。

3 考核指標

中國鐵建大量的信息系統(tǒng)處于建設時期，因此每年對指標進行調(diào)整。目前，根據(jù)信息系統(tǒng)等級保護評價指標體系的原則要求， 選擇具有可操作性、可以量化的指標，從信息安全事故和信息系統(tǒng)安全等級保護兩個維度，信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。

3.1 信息安全事件

信息安全事件及分級以中國鐵建《信息安全事件管理規(guī)定》定義為準。信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

指標要點

（1）信息系統(tǒng)安全事件級別的確定。從類別劃分，信息安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種；從級別劃分，信息安全事件分為特別重大事件（I級）、重大事件（Ⅱ級）和一般事件（Ⅲ級）三個級別。

（2）信息安全事件的瞞報。對于發(fā)生信息安全事件后，隱瞞事故，在規(guī)定時限內(nèi)不主動向上級部門如實報告的情況，除扣除其該項考核成績外，按照股份公司有關(guān)規(guī)定進行通報并嚴肅處理；對多次發(fā)生信息安全事件的單位，將加強監(jiān)督檢查，并責令其徹底整改。

3.2 等保定級率

考核年度在建至驗收投入應用各階段的信息系統(tǒng)與歷年上報的定級報告不重復累計數(shù)之比。

指標要點

（1）信息系統(tǒng)定級準確性。部分單位認為信息系統(tǒng)定級級別越高，就要花費更多的資金、精力，加重單位負擔，因此將基礎信息網(wǎng)絡、門戶網(wǎng)站、郵件、財務等重要信息系統(tǒng)定為一級，以逃避備案、測評。

針對這種情況，股份公司按照《信息系統(tǒng)安全等級保護區(qū)域劃分原則與定級指南》，對信息系統(tǒng)定級進行規(guī)范，并對定為一級、二級的信息系統(tǒng)進行重點檢查，避免定級不準確。

（2）信息系統(tǒng)數(shù)量準確性。部分單位在實施等保工作時，上報的信息系統(tǒng)數(shù)量小于實際建設數(shù)量。因此，在實際操作中，本考核項的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項目預算時上報的信息系統(tǒng)數(shù)量為準。

（3）需提供加蓋本單位公章的《定級報告》掃描件。

3.3 等保備案率

考核年度在建至驗收投入應用各階段的信息系統(tǒng)數(shù)與歷年上報的備案證書不重復累計數(shù)之比。

指標要點

（1）備案公安機關(guān)的選擇。針對部分單位未根據(jù)國家法律法規(guī)選擇合適公安機關(guān)備案的情況，股份公司在發(fā)布的《信息系統(tǒng)安全等級保護管理辦法》中規(guī)定：股份公司統(tǒng)建系統(tǒng)，三級及以上系統(tǒng)向公安部網(wǎng)絡安全保衛(wèi)局備案、二級系統(tǒng)向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統(tǒng)向當?shù)厥屑壖耙陨瞎矙C關(guān)備案。

（2）等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”，指的是該單位編制信息化項目預算時上報的信息系統(tǒng)數(shù)量，并非已定級的信息系統(tǒng)數(shù)量。

（3）需提供公安機關(guān)出具的《備案證明》掃描件。

3.4 等保測評通過率

歷年上報的定級備案證書不重復累計數(shù)與歷年測評通過的信息系統(tǒng)不重復累計數(shù)之比。

指標要點

（1）測評報告符合率。為防止部分單位將工作精力側(cè)重于取得測評報告，而忽視了對測評中反映出的安全問題的整改，在實際工作中，重點對測評不符合率較高的信息系統(tǒng)進行抽查，責令單位定期進行整改。

（2）需提供合格測評機構(gòu)出具的加蓋測評機構(gòu)公章的《安全等級測評報告》掃描件。

4 考核權(quán)重endprint

4.1 信息安全事件

附加分項，最高減K分。出現(xiàn)一次I級信息安全事件、減K分；出現(xiàn)一次級信息安全事件、減K/2分，最多減K分。

4.2 等保定級率

基本分項，滿分K分。考核年度在建至驗收投入應用各階段的信息系統(tǒng)數(shù)為A，歷年上報的定級報告不重復累計數(shù)為B，定級率M=B/A，平均定級率∑M=∑B/∑A。定級率得分S=min{（M/∑M）×K，K}。

4.3 等保備案率

基本分項，滿分K分。考核年度在建至驗收投入應用各階段的信息系統(tǒng)數(shù)為A，歷年上報的備案證書不重復累計數(shù)為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{（M/∑M）×K，K}。

4.4 等保通過率

基本分項，滿分K分。歷年上報的定級備案證書不重復累計數(shù)為C，歷年測評通過的信息系統(tǒng)不重復累計數(shù)為D，測評通過率M=D/C，平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{（M/∑M）×K，K}。

5 指標計算

考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分（Ai）為基數(shù)，用實際得分（Bi）計算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績效指標分（C），即為信息安全工作考核實際得分（Si=C×Mi/Mmax）。

6 結(jié)束語

本文對中國鐵建將信息安全指標納入信息化績效評價體系進行了概述， 提出了綜合評價的方法，希望能借以推進本企業(yè)信息安全工作的開展，提高信息系統(tǒng)的安全性，并切實將國家法律法規(guī)落到實處。從實際執(zhí)行效果看，已經(jīng)取得了一定的成效。

參考文獻

[1] GB/T 22239—2008，信息系統(tǒng)安全等級保護基本要求.

[2] GB 17859-1999，安全等級保護劃分準則.

[3] GB/T 22240—2008，信息系統(tǒng)安全保護等級定級指南.

作者簡介：

李棟（1984-），男，山東兗州人，山東大學計算機科學與技術(shù)專業(yè)畢業(yè)，本科，工學學士學位，中國鐵建股份有限公司信息中心，工程師，中國鐵建信息安全管控體系建設項目負責人，從事信息化及信息安全技術(shù)與管理工作，對信息網(wǎng)絡系統(tǒng)與信息安全管理體系方面進行過較長時間的研究。endprint