信息安全績(jī)效測(cè)量體系研究

董亦兵 張林山

(中國(guó)人民銀行清算總中心，北京 100048)

1 引 言

信息安全績(jī)效管理是組織信息安全的重要管理手段之一，設(shè)計(jì)出良好的測(cè)量指標(biāo)體系是業(yè)內(nèi)熱點(diǎn)問(wèn)題。本文基于一般績(jī)效管理流程的基礎(chǔ)上，結(jié)合信息安全相關(guān)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)，設(shè)計(jì)信息安全績(jī)效測(cè)量體系的流程和方法，并結(jié)合實(shí)例介紹設(shè)計(jì)步驟，在信息安全管理實(shí)際工作過(guò)程中為讀者提供參考。

2 信息安全績(jī)效管理概述

2.1 信息安全績(jī)效管理

在組織層面，績(jī)效管理涉及組織的所有部門或領(lǐng)域績(jī)效，包括經(jīng)營(yíng)績(jī)效、財(cái)務(wù)績(jī)效、人事績(jī)效、IT績(jī)效等。IT績(jī)效按照管理領(lǐng)域劃分，又包括IT項(xiàng)目績(jī)效、IT開(kāi)發(fā)質(zhì)量績(jī)效、運(yùn)維績(jī)效、信息安全績(jī)效等。信息安全績(jī)效是組織IT績(jī)效的重要組成部分，由于發(fā)生信息安全事件對(duì)組織經(jīng)營(yíng)、財(cái)務(wù)、聲譽(yù)等產(chǎn)生較大影響，甚至?xí)l(fā)客戶對(duì)組織的信任危機(jī)，危及企業(yè)的生存，通常占信息IT部門整體績(jī)效較大比重,其關(guān)系如圖1所示。

圖1 績(jī)效管理與信息安全績(jī)效管理的關(guān)系Fig.1 The relationship between performance management and information security performance management

在國(guó)家層面，信息安全已經(jīng)成為國(guó)家安全的一部分，當(dāng)代國(guó)家安全包括11個(gè)方面的基本內(nèi)容，即國(guó)民安全、領(lǐng)土安全、主權(quán)安全、政治安全、軍事安全、經(jīng)濟(jì)安全、文化安全、科技安全、生態(tài)安全、信息安全和核安全。越來(lái)越多的行業(yè)監(jiān)管部門要求將信息安全績(jī)效納入對(duì)高級(jí)管理層的考核，甚至信息安全績(jī)效考核不合格，對(duì)晉升、薪資調(diào)整等一票否決，嚴(yán)重時(shí)需要追究領(lǐng)導(dǎo)責(zé)任。2016年12月9日，中共中央國(guó)務(wù)院發(fā)布了《關(guān)于推進(jìn)安全生產(chǎn)領(lǐng)域改革發(fā)展的意見(jiàn)》，提出了“黨政同責(zé)、一崗雙責(zé)、齊抓共管、失職追責(zé)”的要求。這是新中國(guó)成立以來(lái)第一個(gè)以黨中央、國(guó)務(wù)院名義出臺(tái)的安全生產(chǎn)工作的綱領(lǐng)性文件。文件提出的一系列改革舉措和任務(wù)要求，為當(dāng)前和今后一個(gè)時(shí)期我國(guó)安全生產(chǎn)領(lǐng)域的改革發(fā)展指明了方向和路徑。2019年3月1日國(guó)務(wù)院國(guó)資委發(fā)布《中央企業(yè)負(fù)責(zé)人經(jīng)營(yíng)業(yè)績(jī)考核辦法》，首次將網(wǎng)絡(luò)安全納入中央企業(yè)負(fù)責(zé)人考核內(nèi)容，涉及對(duì)相關(guān)責(zé)任人的降級(jí)、扣分、追責(zé)、紀(jì)律處分、移送國(guó)家監(jiān)察機(jī)關(guān)或司法機(jī)關(guān)的處罰措施。

2.2 信息安全績(jī)效測(cè)量體系

績(jī)效測(cè)量體系是績(jī)效管理生命周期中“績(jī)效計(jì)劃制定”的產(chǎn)物，在對(duì)組織文化、經(jīng)營(yíng)理念、組織管理目標(biāo)、組織現(xiàn)狀和未來(lái)發(fā)展路線充分理解的基礎(chǔ)上，設(shè)計(jì)的一套績(jī)效測(cè)量方法。績(jī)效測(cè)量體系通常包括績(jī)效目標(biāo)、績(jī)效指標(biāo)、績(jī)效指標(biāo)責(zé)任主體、績(jī)效測(cè)量對(duì)象、績(jī)效測(cè)量方法、績(jī)效測(cè)量頻率、組織風(fēng)險(xiǎn)容忍度和期望等。

信息安全測(cè)量指標(biāo)設(shè)計(jì)應(yīng)當(dāng)遵照SMART原則[1]，具體包括五條原則:1)S原則：明確性，即測(cè)量指標(biāo)必須是具體的(Specific)；2)M原則：可衡量性，即測(cè)量指標(biāo)必須可衡量的(Measurable)；3)A原則：可實(shí)現(xiàn)性，即測(cè)量指標(biāo)必須是可達(dá)到的(Attainable)；4)R原則：相關(guān)性，即測(cè)量指標(biāo)是要與其他目標(biāo)具有一定相關(guān)性(Relevant)；5)T原則：時(shí)限性，即測(cè)量指標(biāo)必須有明確的截止期限(Time-bound)。

信息安全測(cè)量指標(biāo)設(shè)計(jì)除了遵循SMART原則外，設(shè)計(jì)過(guò)程中還應(yīng)全面考慮信息安全的管理特點(diǎn)、組織信息安全管理目標(biāo)、組織架構(gòu)、團(tuán)隊(duì)能力、管理成熟度、組織風(fēng)險(xiǎn)偏好等諸多因素。科學(xué)的信息安全測(cè)量指標(biāo)應(yīng)具有以下特征。

1)風(fēng)險(xiǎn)導(dǎo)向：測(cè)量指標(biāo)應(yīng)與組織信息安全管理體系保持一致，應(yīng)能反映管理體系中重要領(lǐng)域、關(guān)鍵環(huán)節(jié)、主要活動(dòng)的成熟度和當(dāng)前組織對(duì)風(fēng)險(xiǎn)的承受能力；

2)明確測(cè)量方法：所有指標(biāo)應(yīng)有明確的測(cè)量方法，測(cè)量方法盡量采用客觀指標(biāo)，避免主觀因素影響測(cè)量效果；

3)全面涵蓋：測(cè)量指標(biāo)應(yīng)能覆蓋治理層、管理層和執(zhí)行崗位。測(cè)量指標(biāo)應(yīng)能覆蓋信息安全管理過(guò)程、技術(shù)管理過(guò)程和管理結(jié)果。

3 信息安全績(jī)效測(cè)量體系設(shè)計(jì)方法

信息安全績(jī)效測(cè)量體系設(shè)計(jì)流程如圖2所示。

圖2 信息安全績(jī)效測(cè)量體系設(shè)計(jì)流程Fig.2 Design process of information security performance measurement system

3.1 確定測(cè)量目標(biāo)

信息安全績(jī)效的測(cè)量目標(biāo)是通過(guò)定期的測(cè)量活動(dòng)，評(píng)價(jià)組織信息安全管理目標(biāo)的達(dá)成情況和控制的有效性，信息安全績(jī)效測(cè)量目標(biāo)應(yīng)與信息安全管理目標(biāo)保持一致。

設(shè)計(jì)信息安全績(jī)效測(cè)量體系前，組織應(yīng)建立一套適合自身需要的信息安全管理體系(Information Security Management System，即ISMS)。很多組織按照ISO/IEC 27001:2013標(biāo)準(zhǔn)或其他標(biāo)準(zhǔn)建立信息安全管理體系，本文介紹兩種常見(jiàn)的信息安全測(cè)量目標(biāo)框架，并結(jié)合這兩種目標(biāo)框架分析信息安全績(jī)效測(cè)量體系的設(shè)計(jì)思路。

3.1.1GB/T22080—2016信息安全管理目標(biāo)

GB/T 22080—2016是我國(guó)國(guó)家標(biāo)準(zhǔn)化組織根據(jù)ISO/IEC27001:2013制定的國(guó)家標(biāo)準(zhǔn)，用于指導(dǎo)組織建立符合ISO/IEC27001:2013的信息安全管理體系，該標(biāo)準(zhǔn)第五章至第十八章列示了35個(gè)信息安全控制目標(biāo)，其目標(biāo)框架如圖3所示[2]。

圖3 ISO27001信息安全控制目標(biāo)Fig.3 Information security control objective

3.1.2GB/T31495.2—2015信息安全測(cè)量目標(biāo)

GB/T 31495.2—2015是信息安全保障指標(biāo)體系及評(píng)價(jià)方法的指標(biāo)體系部分，適用于組織規(guī)模較大、信息安全成熟度較高的組織。GB/T 31495.2—2015從信息安全保障的視角，通過(guò)十三類指標(biāo)評(píng)價(jià)組織信息化建設(shè)、運(yùn)行和安全態(tài)勢(shì)層面評(píng)價(jià)組織信息安全保障能力[3]，其測(cè)量目標(biāo)框架如圖4所示。

3.2 設(shè)計(jì)績(jī)效指標(biāo)體系

確定指標(biāo)體系框架后，就進(jìn)入績(jī)效指標(biāo)設(shè)計(jì)階段，通過(guò)設(shè)計(jì)具體的績(jī)效指標(biāo)用于衡量指標(biāo)框架每個(gè)部分的績(jī)效情況。例如GB/T 31495.2—2015一共定義了25個(gè)具體指標(biāo)[3]，其指標(biāo)體系如圖5所示。

圖4 信息安全保障指標(biāo)體系框架Fig.4 Framework of information security assurance indicator system

圖5 信息安全保障指標(biāo)體系Fig.5 Information security assurance indicator system

國(guó)際標(biāo)準(zhǔn)化組織根據(jù)ISO/IEC27001:2013信息安全管理體系要求，設(shè)計(jì)了35個(gè)測(cè)量指標(biāo)體系，形成了ISO/IEC27004:2016。該35個(gè)測(cè)量指標(biāo)主要測(cè)量組織是否滿足ISO/IEC27001：2013，但并沒(méi)有反映組織的成熟度、組織風(fēng)險(xiǎn)偏好和容忍度、管理薄弱環(huán)節(jié)，組織在設(shè)計(jì)績(jī)效指標(biāo)時(shí)，可結(jié)合ISO/IEC27004:2016、GB/T 31495.2—2015和組織自身的情況，設(shè)計(jì)績(jī)效指標(biāo)體系。限于篇幅本文并不詳細(xì)闡述35個(gè)指標(biāo)，讀者可以參考ISO/IEC27004:2016。

3.3 設(shè)計(jì)績(jī)效測(cè)量方法

接下來(lái)應(yīng)定義每個(gè)指標(biāo)，包括測(cè)量指標(biāo)基本信息、測(cè)度信息、導(dǎo)出測(cè)度說(shuō)明、測(cè)量值說(shuō)明、容忍度和期望等內(nèi)容。以GB/T 31495.2—2015的ZB10關(guān)鍵IT設(shè)備國(guó)產(chǎn)化指標(biāo)為例，其指標(biāo)設(shè)計(jì)見(jiàn)表1[3]。

表1 信息安全績(jī)效指標(biāo)測(cè)量體系設(shè)計(jì)實(shí)例Tab.1 An example of information security performance indicator measurement system design測(cè)量指標(biāo)指標(biāo)名稱關(guān)鍵IT設(shè)備國(guó)產(chǎn)化指標(biāo)測(cè)量目標(biāo)合規(guī)目標(biāo),促進(jìn)組織關(guān)鍵IT設(shè)備國(guó)產(chǎn)化符合公安部要求測(cè)量頻率每年1次,第二季度實(shí)施測(cè)量對(duì)象資產(chǎn)登記表屬性所采購(gòu)關(guān)鍵IT設(shè)備的國(guó)產(chǎn)化情況備注關(guān)鍵IT設(shè)備國(guó)產(chǎn)化指標(biāo)主要考察操作系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、核心通信設(shè)備等的國(guó)產(chǎn)率基本測(cè)度說(shuō)明基本測(cè)度1)國(guó)產(chǎn)設(shè)備的采購(gòu)總額;2)所有設(shè)備的采購(gòu)總額測(cè)量方法1)查看國(guó)產(chǎn)設(shè)備的采購(gòu)總額;2)查看所有設(shè)備的采購(gòu)總額測(cè)量方法類型客觀類標(biāo)度從0到無(wú)窮大的整數(shù)測(cè)量單位萬(wàn)元導(dǎo)出測(cè)度說(shuō)明導(dǎo)出測(cè)度—測(cè)量函數(shù)—測(cè)量值說(shuō)明測(cè)量值關(guān)鍵IT設(shè)備國(guó)產(chǎn)化率分析模型將國(guó)產(chǎn)設(shè)備的采購(gòu)總額除以所有設(shè)備的采購(gòu)總額乘以100%決策準(zhǔn)則說(shuō)明決策準(zhǔn)則測(cè)量值宜大于或等于90%測(cè)量結(jié)果指標(biāo)值1)當(dāng)測(cè)量值>90%時(shí),指標(biāo)ZB10的值為1;2)當(dāng)測(cè)量值≤90%時(shí),指標(biāo)ZB10的值=測(cè)量值/90%

注：本表在GB/T 31495.2—2015基礎(chǔ)上，結(jié)合作者的設(shè)計(jì)思路進(jìn)行了適當(dāng)調(diào)整。

3.4 確定指標(biāo)責(zé)任主體

信息安全是“一把手工程”，責(zé)任主體應(yīng)該包括組織信息安全相關(guān)的高級(jí)管理層。如果高級(jí)管理層對(duì)信息安全不重視，信息安全工作很難在組織內(nèi)部推進(jìn)實(shí)施。信息安全是“三分技術(shù)七分管理”，責(zé)任主體應(yīng)包括信息安全管理和信息安全技術(shù)相關(guān)崗位。信息安全是“全員工程”，責(zé)任主體應(yīng)包括組織全體員工，必要時(shí)應(yīng)涉及第三方人員。

指標(biāo)設(shè)計(jì)完成后，應(yīng)將指標(biāo)分配給不同的責(zé)任主體。根據(jù)指標(biāo)的責(zé)任歸屬將責(zé)任分配給治理層、管理層和執(zhí)行層，每個(gè)層級(jí)承擔(dān)不同的責(zé)任。因每個(gè)組織的架構(gòu)層級(jí)、崗位設(shè)計(jì)、匯報(bào)關(guān)系不同，分配方法也不盡一樣。結(jié)合生產(chǎn)安全相關(guān)法律法規(guī)，可以對(duì)責(zé)任主體按表2方式劃分。

表2 責(zé)任主題設(shè)計(jì)實(shí)例Tab.2 An example of responsibility subject design標(biāo)識(shí)責(zé)任層級(jí)責(zé)任類型對(duì)應(yīng)崗位名稱■□公司領(lǐng)導(dǎo)主要領(lǐng)導(dǎo)責(zé)任信息安全分管領(lǐng)導(dǎo),如副行長(zhǎng)主要領(lǐng)導(dǎo)責(zé)任首席信息安全官▲△部門領(lǐng)導(dǎo)直接管理責(zé)任開(kāi)發(fā)、測(cè)試、運(yùn)維、建設(shè)等部門負(fù)責(zé)人直接管理責(zé)任數(shù)據(jù)中心、測(cè)試中心等中心負(fù)責(zé)人◆崗位人員直接責(zé)任指標(biāo)相關(guān)各責(zé)任崗位

以GB/T 31495.2—2015的ZB10關(guān)鍵IT設(shè)備國(guó)產(chǎn)化指標(biāo)為例，責(zé)任主體矩陣見(jiàn)表3。

3.5 溝通、評(píng)審與簽發(fā)

完成上述四個(gè)步驟后，信息安全績(jī)效測(cè)量體系基本形成，接下來(lái)應(yīng)與相關(guān)部門進(jìn)行必要的溝通，促使績(jī)效指標(biāo)責(zé)任主體對(duì)指標(biāo)的理解和認(rèn)同，并取得相關(guān)層級(jí)領(lǐng)導(dǎo)的批準(zhǔn)。

3.6 績(jī)效指標(biāo)改進(jìn)

信息安全管理部門應(yīng)制定績(jī)效改進(jìn)計(jì)劃。可以根據(jù)相關(guān)責(zé)任主體對(duì)績(jī)效指標(biāo)的接受程度，視情況進(jìn)行試運(yùn)行或直接正式運(yùn)行，并根據(jù)責(zé)任主體反饋的情況進(jìn)行持續(xù)改進(jìn)。

4 結(jié)束語(yǔ)

信息安全績(jī)效管理是組織績(jī)效管理的重要組織部分，本文重點(diǎn)研究了信息安全績(jī)效測(cè)量體系的設(shè)計(jì)方法，分享設(shè)計(jì)經(jīng)驗(yàn)。本文并未對(duì)信息安全績(jī)效管理的生命周期的其他環(huán)節(jié)進(jìn)行闡述。讀者可結(jié)合自身組織的情況設(shè)計(jì)信息安全績(jī)效測(cè)量體系。基于批準(zhǔn)的信息安全績(jī)效測(cè)量體系，績(jī)效管理部門日常應(yīng)對(duì)責(zé)任主體實(shí)施績(jī)效輔導(dǎo)和溝通，定期實(shí)施績(jī)效考評(píng)，并將考評(píng)結(jié)果集成到組織的績(jī)效管理體系中，與獎(jiǎng)懲、晉升、加薪等掛鉤，形成閉環(huán)并持續(xù)改進(jìn)，績(jī)效測(cè)量體系才能發(fā)揮作用。