Question

团队考核最重要的是两部分：总部 IT 部门安全团队和总部 IT 部门非安全团队。个人考核最重要的是总部 IT 部门安全团队负责人和总部 IT 部门安全团队成员。

为了促使金融企业安全工作的目标更为清晰和一致，可按以下步骤设置考核方案：

1）根据企业风险防控的要求，确定安全团队的整体绩效指标。

2）将整体绩效指标分解为总部 IT 部门安全团队和非安全团队的指标。特别是对于安全团队，可分为安全管理和安全技术两个团队各自的绩效指标。最终要确保各个团队的“合力”能满足整体绩效指标要求。

3）确定各个指标的计算口径、数据收集方式、监测频率等。

8.3.1　考核方案设计原则

1.既要设置过程指标，又要设置结果指标

过程指标主要衡量做到还是没有做到，因为有些规定动作，不管结果怎样，都必须要做；结果指标主要衡量做得好还是不好。

例如，安全工作计划达成率（每季度开展一次全面的漏洞扫描，每年开展两次渗透测试，互联网应用系统投产前必须开展渗透测试等这些规定动作是否做到位），就是一个常见的过程指标，可以把每年的主要安全工作列出来，规定达成的比例，按比例计分。

再比如，安全整改完成率，是一个结果指标，分子为按时完成的信息安全整改工作数量，分母为所有信息安全整改工作数量。可以设置一定的容忍度，例如完成 90%以上就可以得满分，90%以下再按档次计分。

2.既要设置客观性指标（定量指标），又要设置主观性指标（定性指标）

安全工作，态度决定一切，所以要在客观指标的基础上，补充一些主观指标，衡量工作态度和岗位胜任能力。例如，可以在工作技能、工作主动性、团队意识、执行力、服务态度、学习意愿和学习能力、工作量、工作质量等方面，设置优、良、中、差等几个等级，由上级给出等级判断和评分。

3.既要设置衡量安全团队自身工作情况的指标，又要设置衡量其他团队开展安全工作情况的指标

安全工作，大部分其实都不是安全团队自己动手完成的，而是要协调和调动开发、运维等其他团队来完成。所以需要衡量安全事件发生数、主动发现风险数等安全团队直接达成的目标，还要衡量其他团队风险整改率、其他团队违规次数等需要配合才可完成的工作。

4.既要在安全团队设置安全类考核指标，也要在开发、运维等其他团队设置安全类考核指标

鉴于安全工作是信息安全团队组织其他团队一起达成目标的，所以除了在安全团队建立绩效考核指标外，在其他团队的绩效考核指标中也纳入一两项安全工作相关指标，才有利于工作的开展，有利于促进整个信息科技大团队的眼往一处看、劲往一处使。

在上述总体原则的指导下，便可针对各类团队和个人，设置不同的考核方案。

8.3.2　总部 IT 部门安全团队

1.考核内容

（1）结果项

结果项包括安全事件数量、安全合规不符合项、信息系统漏洞整改率等结果指标。

安全事件数量，包括全年由行业监管部门通报且安全团队未主动发现的高、中危安全事件数量。安全事件类型包括：应用系统漏洞、直接获取重要系统权限、敏感信息泄露等。

安全合规不符合项，是指安全合规检查不符合项（含内审、风险评估、安全专项任务等）以及合规安全任务未落实情况。

信息系统漏洞整改率，所有内外部发现的信息系统高、中危漏洞整改修复应大于一定比例。

有关信息安全事件与安全合规不符合项分级定义见 8.5 节。

有关信息系统漏洞分级标准示例见表 8-3“信息系统漏洞分级标准”。

（2）过程项

过程项包括安全建设、安全运营、安全检查、安全意识宣贯、监管合规落实等指标。

（3）加减分项

加分项包括：在完成各项安全任务的同时，为公司或部门带来良好声誉，或避免了安全事件发生；按计划提前完成且质量达到要求，或按计划完成且质量超预期。

减分项包括：给公司造成不良影响的，在原有扣分标准上加倍；由于主观原因，未按计划完成，在原有扣分标准上加倍。

2.考核周期、考核权重、考核分数

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重中，结果指标一般至少占安全团队绩效的 50%，以百分制计算为 50 分。

有关考核的一些具体定量和定性指标设置，详见 8.5 节。

8.3.3　总部 IT 部门非安全团队（平行团队）

1.考核内容

（1）结果项

结果项包括安全事件数量，信息系统漏洞整改率、安全合规检查风险发现数量等结果指标。安全合规检查风险发现主要考核安全合规检查不符合项（含内审、风险评估、安全专项任务等）。

信息系统漏洞风险分级：漏洞级别采用信息安全通用风险定义标准（见表 8-3），分为严重、高危、中危、低危四个级别。漏洞分级综合考虑了漏洞的危害及实际被利用的难易程度。

漏洞考核标准（漏洞扣分按 100 分制计算）如表 8-1 所示。

表 8-1　漏洞考核标准

漏洞考核计算方式如表 8-2 所示。

表 8-2　漏洞考核计算

在表 8-2 中：

·发现即考核的漏洞，检测发现时按漏洞等级扣分，在修复周期内修复减免 50%；修复时间超过 1 周期按 100%扣分，超过 2 周期按 200%扣分，以此类推。

·仅考核修复的漏洞，检测发现时不考核，在漏洞等级修复周期内修复不考核；修复时间超过 1 周期按漏洞风险级别按 100%扣分，超过 2 周期时按 200%扣分，以此类推。

·如遇特殊情况，可申请延期修复，审核通过后可获得最高 2 个周期的延期。

（2）过程项

过程项包括安全任务落实情况（正向指标），通过 OA 流程发起的落实合规监管、安全推动等任务的完成情况，每次任务完成情况的综合评价（时间、质量）。

2.考核周期、考核权重、考核分数

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重一般占 IT 部门各团队的 5%~10%绩效，以百分制计算为 5~10 分。

8.3.4　个人考核

个人考核，主要是制订安全团队成员的个人考核指标。一般遵循以下原则：

·结果第一，过程是为结果服务的，能力必须通过结果体现。

·职责和职级匹配，如果一个员工是 10 万薪酬的职级，却和 20 万、30 万薪酬的员工的职责相同，放在同一级别池子里考核，这是不公平的。薪酬高的员工，就应承担与薪酬匹配的职责和绩效考核。如果是骨干员工、发展对象，除了上述职责职级匹配外，还需要额外付出。

·建设性与事务性工作相结合，工作和学习相结合，多维度考核。

在上述原则指导下，每年会和员工沟通，确定绩效考核年度目标，包含安全性（30%）、安全建设重点项目（30%）、技术创新（10%）、督办事项（5%）、常态化工作（5%）、人才成长（10%）、满意度（10%）。此外，还可以设置上级的主观性评分。

·安全性，和整个安全团队安全事件数量等安全结果指标挂钩，同时和该员工负责的领域的安全结果挂钩。

·安全建设重点项目，来自于前一年修订的“安全三年规划”，以及实际中爆发的安全威胁。每人承担 2~3 项安全重点建设项目。考核时兼顾项目完成质量、取得的收益（效率提升，还是安全管控质量提升等）、获得部门认可等。

·技术创新，激励安全团队员工进行新技术跟踪、撰写研究报告并分享，测试新技术并引入等，哪怕是开展一次有质量的头脑风暴和组织一次有效果的安全活动，都转换成技术创新积分，获得技术创新绩效。

·督办事项，大部分工作在年初制订绩效考核目标时能确定，但是总会临时出现一些工作，比如检查配合、应急处置等。这部分工作放入督办事项中考核。

·常态化工作，安全工作中有很多常态化工作，每位安全团队成员都应承担一部分常态化工作，比如日常报表、安全事件日例会等。常态化工作主要考核差错情况。

·人才成长，除了工作，还要督促团队成员参加各类培训，考取各类认证，以及看书学习。企业安全建设的安全人员，容易脱离实战，因此定期参加攻防对抗的培训，考取诸如 CEH 等实战类的认证，对安全团队成员发展有利。同时，还应鼓励团队成员提升非安全技能的软性技能，比如沟通、逻辑、表达、战略、规划等方面能力，督促员工多看书、多学习。

·满意度，在团队协作、沟通配合等方面的考核中放入满意度，满意度是考核的一个维度，也是员工专业性、协作、态度等多方面的综合表现。

·主观性评分，包括执行力、工作技能、工作态度、工作量、工作质量、学习意愿和学习能力、工作主动性等方面的主观评分，通常由上级直接打分。

8.3.5　一些细节

1.考核注意点

实际安全考核中有几点需要注意：

·防止恶性竞争，比如有的考核项是计算数量的，要设置一个数量上限，防范恶性竞争的问题。比如设置了一个安全知识库数量的考核项，要同时设置一个数量上限，以团队为考核单位，最多 2 条，超过 2 条即可拿满分，否则容易造成各团队恶性竞争。

·团队规模不均带来的公平性问题，漏洞考核时一般会给各团队漏洞数量豁免，豁免数量要考虑团队规模、维护的系统数量等实际情况，不能“一刀切”。

2.防止秋后算账

考核是手段，而非目的。考核的目的是，通过考核，促进各团队的安全规则落地。因此在发生安全事件，出现安全漏洞、不合规情况时，要立即进行考核通报，防止年终一次性计算。要即时结账、不要秋后算账的另一好处是，落后的团队看到排名和不好的结果，还可以努力补救，这也达到了考核的目的。

3.利用 5%实现 100%的效果

安全考核对平行团队考核虽然只有 5%，但要发挥出 100%的效果。这需要整个考核体系的支持和配合。在笔者经历过的企业中，就可以达到这个效果，因为强制排名。每个团队是强制排名的，也就是说即使只比前一名的团队少 0.1 分，但因为是强制排名，最终可能获得的优秀指标就会少于 50%，从而每个团队对 0.1 分的考核项都不敢掉以轻心，5%实现 100%的效果。

4.正向还是负向激励

多用正向激励，慎用负向激励。负向激励可转化为正向激励。有两种转化方式：

·如果考核在[-X，+Y]区间，那么设置考核分数为[0，X+Y]的效果要比[-X，+Y]好很多。因为[0，X+Y]全部为得分项，属于正向激励。

·考核在规定时间内完成，要么减免 50%扣分，要么增加一倍加分。比如在修复周期内完成修复，漏洞考核减免 50%扣分。这样起到了正向激励的作用，既督促了大家，也达到了安全考核目标。