將信息安全指標(biāo)納入企業(yè)績效考核的有效性分析

1、將信息安全指標(biāo)納入企業(yè)績效考核的有效性分析1 引言經(jīng)過近幾年的發(fā)展，中國鐵建股份有限公司（以下簡稱中國鐵建）的信息化工作全面展開，眾多信息化項目的實施，大量信息系統(tǒng)的上線應(yīng)用，有力地促進(jìn)了企業(yè)核心競爭力的提升。隨著信息系統(tǒng)不斷建成與投入應(yīng)用，信息資源擁有量快速增長，對信息安全的保障需求日顯強(qiáng)烈，信息安全管控建設(shè)的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據(jù)國內(nèi)外成熟的信息安全標(biāo)準(zhǔn)和方法，結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點，構(gòu)建符合本公司業(yè)務(wù)實際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級保護(hù)制度作為國家在信息安全保障管理上的根本制度，具有

2、強(qiáng)制性的特征，也要求企業(yè)認(rèn)真加以貫徹落實。在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護(hù)制度得到切實執(zhí)行，成為亟待需要解決的問題。為此，結(jié)合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點，經(jīng)過初步探索，將信息安全指標(biāo)納入了中國鐵建信息化績效評價體系，與各子分公司領(lǐng)導(dǎo)考核掛鉤，從信息安全事故;和等級保護(hù);兩個維度、四項指標(biāo)，通過定量對比分析，對各單位的信息安全工作進(jìn)行評價，以推進(jìn)信息安全持續(xù)改進(jìn)。2 考核原則（1）公開、公平、公正。嚴(yán)格按照考核細(xì)則對被考核單位，在公開、公平、公正的環(huán)境中，進(jìn)行客觀的評價。（2）實事求是。被考核單位應(yīng)如實反映信息安全工作情況，提供的相關(guān)資

3、料和數(shù)據(jù)真實可信。（3）遵循規(guī)劃、貫徹制度、檢查效果、保障安全?？己酥笜?biāo)的提出以信息安全規(guī)劃、制度為依據(jù)，重點在信息化建設(shè)效果并保障信息安全。（4）區(qū)別對待，逐步演進(jìn)。根據(jù)子公司規(guī)模、成長階段、業(yè)務(wù)特點的不同，區(qū)別對待；根據(jù)信息安全建設(shè)重點，不同年度有不同的考核重點，逐步演進(jìn)。3 考核指標(biāo)中國鐵建大量的信息系統(tǒng)處于建設(shè)時期，因此每年對指標(biāo)進(jìn)行調(diào)整。目前，根據(jù)信息系統(tǒng)等級保護(hù)評價指標(biāo)體系的原則要求， 選擇具有可操作性、可以量化的指標(biāo)，從信息安全事故和信息系統(tǒng)安全等級保護(hù)兩個維度，信息安全事件、等級保護(hù)定級率、等級保護(hù)備案率、等級保護(hù)測評通過率四項指標(biāo)進(jìn)行了考核。3.1 信息安全事件信息安全事件及

4、分級以中國鐵建信息安全事件管理規(guī)定定義為準(zhǔn)。信息安全事件分為特別重大事件（I級）、重大事件（級）和一般事件（級）三個級別。指標(biāo)要點（1）信息系統(tǒng)安全事件級別的確定。從類別劃分，信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種；從級別劃分，信息安全事件分為特別重大事件（I級）、重大事件（級）和一般事件（級）三個級別。（2）信息安全事件的瞞報。對于發(fā)生信息安全事件后，隱瞞事故，在規(guī)定時限內(nèi)不主動向上級部門如實報告的情況，除扣除其該項考核成績外，按照股份公司有關(guān)規(guī)定進(jìn)行通報并嚴(yán)肅處理；對多次發(fā)生信息安全事件的單位，將加強(qiáng)監(jiān)督檢查，并責(zé)令其徹底整改。3.

5、2 等保定級率考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報的定級報告不重復(fù)累計數(shù)之比。指標(biāo)要點（1）信息系統(tǒng)定級準(zhǔn)確性。部分單位認(rèn)為信息系統(tǒng)定級級別越高，就要花費(fèi)更多的資金、精力，加重單位負(fù)擔(dān)，因此將基礎(chǔ)信息網(wǎng)絡(luò)、門戶網(wǎng)站、郵件、財務(wù)等重要信息系統(tǒng)定為一級，以逃避備案、測評。針對這種情況，股份公司按照信息系統(tǒng)安全等級保護(hù)區(qū)域劃分原則與定級指南，對信息系統(tǒng)定級進(jìn)行規(guī)范，并對定為一級、二級的信息系統(tǒng)進(jìn)行重點檢查，避免定級不準(zhǔn)確。（2）信息系統(tǒng)數(shù)量準(zhǔn)確性。部分單位在實施等保工作時，上報的信息系統(tǒng)數(shù)量小于實際建設(shè)數(shù)量。因此，在實際操作中，本考核項的分母信息系統(tǒng)數(shù);以該單位編制信息化項目預(yù)算時上

6、報的信息系統(tǒng)數(shù)量為準(zhǔn)。（3）需提供加蓋本單位公章的定級報告掃描件。3.3 等保備案率考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報的備案證書不重復(fù)累計數(shù)之比。指標(biāo)要點（1）備案公安機(jī)關(guān)的選擇。針對部分單位未根據(jù)國家法律法規(guī)選擇合適公安機(jī)關(guān)備案的情況，股份公司在發(fā)布的信息系統(tǒng)安全等級保護(hù)管理辦法中規(guī)定：股份公司統(tǒng)建系統(tǒng)，三級及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級系統(tǒng)向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統(tǒng)向當(dāng)?shù)厥屑壖耙陨瞎矙C(jī)關(guān)備案。（2）等保備案率的確定。等保備案率中的分母信息系統(tǒng)數(shù);，指的是該單位編制信息化項目預(yù)

7、算時上報的信息系統(tǒng)數(shù)量，并非已定級的信息系統(tǒng)數(shù)量。（3）需提供公安機(jī)關(guān)出具的備案證明掃描件。3.4 等保測評通過率歷年上報的定級備案證書不重復(fù)累計數(shù)與歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)之比。指標(biāo)要點（1）測評報告符合率。為防止部分單位將工作精力側(cè)重于取得測評報告，而忽視了對測評中反映出的安全問題的整改，在實際工作中，重點對測評不符合率較高的信息系統(tǒng)進(jìn)行抽查，責(zé)令單位定期進(jìn)行整改。（2）需提供合格測評機(jī)構(gòu)出具的加蓋測評機(jī)構(gòu)公章的安全等級測評報告掃描件。4 考核權(quán)重4.1 信息安全事件附加分項，最高減K分。出現(xiàn)一次I級信息安全事件、減K分；出現(xiàn)一次級信息安全事件、減K/2分，最多減K分。4.2 等

8、保定級率基本分項，滿分K分?？己四甓仍诮ㄖ硫炇胀度霊?yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報的定級報告不重復(fù)累計數(shù)為B，定級率M=B/A，平均定級率∑M=∑B/∑A。定級率得分S=min（M/∑M）xK，K。4.3 等保備案率基本分項，滿分K分。考核年度在建至驗收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報的備案證書不重復(fù)累計數(shù)為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min（M/∑M）xK，K。4.4 等保通過率基本分項，滿分K分。歷年上報的定級備案證書不重復(fù)累計數(shù)為C，歷年測評通過的信息系統(tǒng)不重復(fù)累計數(shù)為D，測評通過率M=D/C，平均測評通過率∑M=∑D/∑C。測評通過率得分S=min（M/∑M）xK，K。5 指標(biāo)計算考核指標(biāo)項分基本分項、附加分項兩類。以本單位基本分項滿分（Ai）為基數(shù)，用實際得分（Bi）計算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績效指標(biāo)分（C），即為信息安全工作考核實際得分（Si=CxMi/Mmax）。6 結(jié)束語本文對中國鐵建將信息安全指標(biāo)納入信息化績效評價體系進(jìn)行了概述， 提出了綜合評價的方法，希望能借以推進(jìn)本企業(yè)信息安全工作的開展，提高信息系統(tǒng)的