Question

1.信息安全事件分级示例

信息安全事件分级包括：重大事件、较大事件、一般事件。

重大事件：

·被行业监管部门、公司内控部门通报或批评。

·被行业权威部门发现系统漏洞或风险（如公共漏洞平台等），且存在重大隐患或已造成重大损失。

·行业《信息安全事件报告及调查处理办法》中定义的特别重大事件、重大事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的重大安全隐患或高风险系统漏洞。

较大事件：

·被外部单位发现系统漏洞或风险，且存在较大隐患。

·行业《信息安全事件报告及调查处理办法》中定义的较大事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的较大安全隐患或中风险系统漏洞。

一般事件：

·部门内部通报。

·行业《信息安全事件报告及调查处理办法》中定义的一般事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的一般安全隐患。

2.安全合规不符合项（含内审、风险评估等）分级示例

按不符合项对应标准的相关级别分为：严重、一般、轻微。

严重不符合：

·不符合监管部门发布的相关制度、办法及指引中操作类要求。

·不符合公司发布的相关制度、办法中相关要求。

·不符合安全规范要求，且存在重大隐患。

一般不符合：

·不符合公司发布的各类操作指引、技术规范。

·不符合安全规范要求，且存在较大隐患。

轻微不符合：

·不符合部门发布的各类细则、指引、规范。

·不符合部门内部安全管理要求。

3.信息系统漏洞分级标准示例

信息系统漏洞级别分为：严重、高危、中危、低危。具体描述如表 8-3 所示。

表 8-3　信息系统漏洞分级标准

4.定量（客观性）KPI 设置建议

定量考核指标库中的可选指标建议如下。企业可以先建立一个整体 KPI 指标库（见表 8-4），然后根据安全团队、平行团队等工作重点，从指标库中选择对应的指标衡量，通常选取指标 3~5 个为宜。

表 8-4　安全团队绩效 KPI 指标

此外，还可以设置重大信息安全事件、重大信息安全攻击事件、监管通报重大风险、监管评级降级等一票否决型指标，一旦触发则整个考核期内的分数可以一朝归零。

5.定性（主观性）指标设置建议

定性指标的设置，主要是因为 KPI 指标有限，不能完全衡量一个人的所有业绩，特别是工作态度和工作能力方面，需要上级给出一个主观性的衡量。但定性指标设置通常不宜过多，一般不超过 5 个为宜，而且在整个考核分值中的占比不宜超过 40%。

表 8-5 为定性指标供参考。

表 8-5　安全团队绩效主观评价指标