- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
8.2 安全考核对象
作为企业考核体系中的一个分支,安全考核分为团队考核和个人考核两部分,具体如图 8-1 所示。
1.团队考核
(1)总部 IT 部门
企业内部一般由人力资源部(或薪酬绩效委员会)负责整个企业内部的考核体系、考核标准,以及每年下达各部门的绩效目标书。总部 IT 部门的绩效目标书通常会包含信息安全考核指标,考核权重为 5%~20%,一般不会超过 20%。信息安全考核内容通常既包括结果指标,又包括过程指标。典型的指标包括:
·安全事件数(有的也称为安全运行率),属于结果指标。这个指标主要考核一年内安全防护情况,通俗讲就是不出事。该指标也代表风险偏好和容忍度。根据企业的实际情况不同,有的企业愿意安全投入少一点,能适当容忍一些安全事件发生。有的企业要求比较高,投入大,不太能容忍安全事件,甚至不接受发生安全事件的结果。安全事件数的考核,又分两类,一类是区分原因,比如安全事件数只计算因 IT 部门管理失职导致的;另一类是不区分原因,只要公司发生安全事件就计算在内。实际中还是区分原因的指标比较合理。
图 8-1 企业安全考核分支图
·合规率,属于结果指标。这个指标一般指监管标准达标率(内规承接外规比例),制度建设完备情况,以及合规报送合格率(及时率、差错率)等,反映的是监管合规工作质量。
·安全建设项目完成率,属于过程指标。这个指标指 IT 部门每年的建设项目中,安全项目建设完成情况。
·扣分项,属于结果指标。主要是公司内控合规、稽核审计部门,在内外部安全检查、安全审计中发现问题的扣分。
通常情况下,总部 IT 部门考核会分解成细项指标,由总部 IT 部门安全团队和非安全团队承接,安全团队承接的比重不超过 20%。
(2)总部非 IT 部门
总部非 IT 部门,包括业务部门和职能部门,除风控部门外,通常没有信息安全考核指标,只有在发生安全事件,责任归属于上述部门时,才通过扣分机制进行考核。比如,发现非 IT 部门员工泄露客户资料数据,需要对该员工所在部门进行安全考核扣分处罚,严重的甚至进行内部问责。
(3)分支机构 IT 部门(或有)
金融企业一般会有总部和分支机构。分支机构不一定会有 IT 部门,所以是“或有”。分支机构 IT 部门(或有)信息安全考核,和总部 IT 部门类似,分为结果指标和过程指标。
(4)分支机构非 IT 部门(或有)
分支机构非 IT 部门的考核,通常和总部机构非 IT 部门考核类似,主要在安全事件发生且定责为本部门时列入扣分项。
2.个人考核
(1)企业安全负责人
有的企业设有专人担任企业安全负责人,即首席安全官(Chief Security Ofticer,CSO)。目前大部分金融企业都没有独立的 CSO 岗位(预计未来 5~10 年会迎来爆发),一般由总行行长、公司总裁或者公司分管 IT 领导兼任。企业安全负责人的“终极”考核,是由《网络安全法》明确规定的。《网络安全法》第三十四条规定,“关键信息基础设施的运营者还应当履行下列安全保护义务:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查”,第七十四条规定,“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。可见企业安全负责人承担着多么重大的责任。
(2)总部 IT 部门负责人
总部 IT 部门负责人的考核是 360 度综合评分,考核通常采用比较复杂的方式,主要权重还是在于 IT 对业务发展的支撑、IT 引领业务发展等方面。信息安全考核和运维考核一样,属于底线考核(不能出事)。
(3)总部 IT 部门安全团队负责人
在企业高管层、部门总经理的层面,安全考核都只有一个指标—别出事情,出了事情等着“背锅”,说白了就是要对结果负责。所以考核设计中,无论是对部门内其他团队的安全考核,还是对安全团队的考核,结果指标都要占到考核的 50%以上。
例如,对其他团队考核,就两个指标—风险发现和安全合规要求落实,简单有效。其中风险发现包括漏洞和事件、内外部审计发现等;安全合规要求落实是指安全部门部署工作的完成情况。
安全团队考核两类指标—安全事件数和安全建设工作完成率。安全事件数应该包括整个部门的安全事件数,因为 IT 部门内其他团队对自己的安全结果负责,安全团队对整个部门的安全结果负责。安全建设包括安全项目、安全合规、安全宣传等工作,也都是承诺具体指标数据的。当然,对于一个团队负责人来说,还应该承担其他指标,例如,安全团队人才培养、团队企业文化建设、安全团队满意度等。
(4)总部 IT 部门安全团队成员
对于安全团队成员一般考核以下指标:安全性、安全建设重点项目、督办事项、技术创新、常态化工作、人才成长、满意度。(具体内容见 8.3.4 节“个人考核”)
(5)分支机构 IT 部门负责人(或有)
负责承接总部下达的本分支机构安全考核任务完成。
(6)分支机构 IT 部门安全团队负责人(或有)
负责承接分支机构 IT 部门负责人安排的本分支机构安全考核任务目标完成。
(7)企业其他员工
企业其他员工主要承担安全职责,没有安全考核。安全职责主要是保守公司秘密,保护公司分配的账户密码、双因素动态令牌 Token 卡等重要敏感信息。一般属于出事后的责任追究范畴。
综上所述,信息安全考核的重点是总部 IT 部门安全团队、总部 IT 部门非安全团队、总部 IT 部门安全团队负责人、总部 IT 部门安全团队成员四部分。下面分别探讨面向总部 IT 部门安全团队和非安全团队以及个人的考核方案。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论