将信息安全指标纳入企业绩效考核的实践.docVIP

将信息安全指标纳入企业绩效考核的实践 　　【 摘 要 】 随着现代企业管理水平的提高，绩效管理作为提升企业竞争力的有效手段，被越来越多的重视和应用。本文分析了用绩效管理手段提升企业信息化特别是信息安全保障水平的真实案例，探讨了用管理手段提高信息安全管控水平的可行性。 　　【 关键词 】 信息安全；企业管理；绩效考核 　　1 引言 　　经过近几年的发展，中国铁建股份有限公司（以下简称中国铁建）的信息化工作全面展开，众多信息化项目的实施，大量信息系统的上线应用，有力地促进了企业核心竞争力的提升。 　　随着信息系统不断建成与投入应用，信息资源拥有量快速增长，对信息安全的保障需求日显强烈，信息安全管控建设的滞后与日益增长的信息安全需求的矛盾日益突出。中国铁建根据国内外成熟的信息安全标准和方法，结合企业业务发展战略和企业特点，构建符合本公司业务实际和安全需要的信息安全管控体系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等级保护制度作为国家在信息安全保障管理上的根本制度，具有强制性的特征，也要求企业认真加以贯彻落实。 　　在实际工作中利用怎样的手段来保障信息安全管控体系、信息安全等级保护制度得到切实执行，成为亟待需要解决的问题。 　　为此，结合中国铁建所属各单位地域分布广、信息化水平差距大的特点，经过初步探索，将信息安全指标纳入了中国铁建信息化绩效评价体系，与各子分公司领导考核挂钩，从“信息安全事故”和“等级保护”两个维度、四项指标，通过定量对比分析，对各单位的信息安全工作进行评价，以推进信息安全持续改进。 　　2 考核原则 　　（1）公开、公平、公正。严格按照考核细则对被考核单位，在公开、公平、公正的环境中，进行客观的评价。 　　（2）实事求是。被考核单位应如实反映信息安全工作情况，提供的相关资料和数据真实可信。 　　（3）遵循规划、贯彻制度、检查效果、保障安全。考核指标的提出以信息安全规划、制度为依据，重点在信息化建设效果并保障信息安全。 　　（4）区别对待，逐步演进。根据子公司规模、成长阶段、业务特点的不同，区别对待；根据信息安全建设重点，不同年度有不同的考核重点，逐步演进。 　　3 考核指标 　　中国铁建大量的信息系统处于建设时期，因此每年对指标进行调整。目前，根据信息系统等级保护评价指标体系的原则要求， 选择具有可操作性、可以量化的指标，从信息安全事故和信息系统安全等级保护两个维度，信息安全事件、等级保护定级率、等级保护备案率、等级保护测评通过率四项指标进行了考核。 　　3.1 信息安全事件 　　信息安全事件及分级以中国铁建《信息安全事件管理规定》定义为准。信息安全事件分为特别重大事件（I级）、重大事件（Ⅱ级）和一般事件（Ⅲ级）三个级别。 　　指标要点 　　（1）信息系统安全事件级别的确定。从类别划分，信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施安全功能故障、灾害性事件等五种；从级别划分，信息安全事件分为特别重大事件（I级）、重大事件（Ⅱ级）和一般事件（Ⅲ级）三个级别。 　　（2）信息安全事件的瞒报。对于发生信息安全事件后，隐瞒事故，在规定时限内不主动向上级部门如实报告的情况，除扣除其该项考核成绩外，按照股份公司有关规定进行通报并严肃处理；对多次发生信息安全事件的单位，将加强监督检查，并责令其彻底整改。 　　3.2 等保定级率 　　考核年度在建至验收投入应用各阶段的信息系统与历年上报的定级报告不重复累计数之比。 　　指标要点 　　（1）信息系统定级准确性。部分单位认为信息系统定级级别越高，就要花费更多的资金、精力，加重单位负担，因此将基础信息网络、门户网站、邮件、财务等重要信息系统定为一级，以逃避备案、测评。 　　针对这种情况，股份公司按照《信息系统安全等级保护区域划分原则与定级指南》，对信息系统定级进行规范，并对定为一级、二级的信息系统进行重点检查，避免定级不准确。 　　（2）信息系统数量准确性。部分单位在实施等保工作时，上报的信息系统数量小于实际建设数量。因此，在实际操作中，本考核项的分母“信息系统数”以该单位编制信息化项目预算时上报的信息系统数量为准。 　　（3）需提供加盖本单位公章的《定级报告》扫描件。 　　3.3 等保备案率 　　考核年度在建至验收投入应用各阶段的信息系统数与历年上报的备案证书不重复累计数之比。 　　指标要点 　　（1）备案公安机关的选择。针对部分单位未根据国家法律法规选择合适公安机关备案的情况，股份公司在发布的《信息系统安全等级保护管理办法》中规定：股份公司统建系统，三级及以上系统向公安部网络安全保卫局备案、二级系统向北京市公安局铁道建筑公安局备案；驻京单位自建信息系统向北京市公安局铁道建筑公安局