企业安全建设指南 | 安全架构（八）

 

 

编者按：

《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著，资深信安专家十余年实战经验的结晶，安全领域多位专家联袂推荐。

本书系统化介绍金融行业中企业信息安全的架构与技术实践，总结了作者在金融行业多年的信息安全实践经验，致力于解决金融企业信息安全“最后一公里”问题，内容丰富，实践性强。

   第一部分 安全架构  

第八章 安全考核

安全考核，属于金融企业整体考核评价体系的一部分。在企业资源受限的情况下，如何通过安全考核这个指挥棒，最大化地激励团队与员工，实现安全目标，是需要企业安全负责人认真思考的问题。

8.1 考核评价体系与原则

笔者所经历过的金融企业，均比较重视考核评价体系与奖惩机制、人才选拔机制以及管理者在考核中的作用。

考核评价体系

金融企业的考核评价体系尊崇“赛马胜相马”，应该让员工在实际的工作岗位中竞争，通过考核，选出最终脱颖而出的人才。

德、能、勤、绩是企业评价员工的四要素，德代表思想品行，能代表能力，勤代表工作表现，绩代表绩效。比如，这活给钱我干，不给钱我也干，就是德；别人不行，我行，就是能；别人休息了，我拼搏，就是勤；白猫黑猫，抓了老鼠，就是绩。我们用人所长，绝不求全责备，普通员工和初级管理者主要考核绩和勤，中级管理者主要考核绩和能，高级管理者主要考核德和能。

金融企业通常采用绩效评估和考核，实现对员工德、能、勤、绩的整体评价。考核是上级、下级、同级（相关者）的多维考核体系，力求真实反映各团队和员工的综合绩效。KPI考核是常见的一种考核方式，通常根据组织战略，制定各团队和条线的KPI，再由团队或条线逐层分解到员工KPI。但KPI通常与其他的评分结合使用，例如，通过KPI和上级打分可以实现上级的利益诉求，通过互评和协助评分可以实现同级相关团队利益诉求，通过员工满意度评分可以实现下级利益诉求。KPI的考核成绩可以说就是德、能、勤的函数在概率分布下的结果，上级打分、同级互评和员工满意度是第三者对员工德、能、勤的主观感受。没有团队精神的员工，不爱部下的领导，再有能力也不可能在互评和满意度评估中获得高分，因此也不可能在综合评分中达到高分。

绩效考核结果运用遵循长短期利益相结合的原则：现金收入是短期利益，是个人价值贡献回馈体系的一部分；企业提供的承担重要领域、重要任务的机会，以及因此而让员工实现的个人价值提升，属于长期利益，优秀员工必然会从长期利益中获得丰厚回馈。不管是长期还是短期利益，都是和员工日常工作中完成的每一项工作、每一次重要会议、每一个项目分不开的，只有日常工作的辛勤积累，才能造就每年的丰硕果实，体验奋斗带来的丰收喜悦。

企业应该将部门利益和个人利益挂钩，如果部门因为某个员工的努力获取了利益，就应该以某种形式反馈为员工利益；如果因某个团队的努力使部门获取了利益，也应该以某种形式反馈给团队，再由团队以公平的形式反馈给员工。

奖惩机制

企业的奖惩机制遵循以下原则：

一是奖励与惩罚并重的原则。企业为每个人提供充分的长期创新动力或制度激励，同时，为每个人提供行为选择的制度罚单和约束条件，从而构建起奖励与惩罚并重的有效均衡机制；

二是物质奖惩与精神奖惩相结合的原则。物质奖惩和精神奖惩分别针对每个人的基本物质需求和精神需求，是双向强化的方式，各自承担不同的功能，要充分利用好人的趋利主义动机和精神主义作用。

人才选拔机制

企业的人才选拔原则为：择优和奋斗。择优包括品德、绩效、能力、贡献、合作、责任；奋斗包括额外工作时间的投入。我们不单纯任人唯贤，也任人唯“亲”，这里的“亲”不是指血缘关系，而是指是否认同我们的企业文化。企业应当创造多种机会以便于人才的脱颖而出，包括虚拟条线、轮岗锻炼、跨界学习等。

管理者的权利和义务

管理者具有本条线人力资源管理职责，各级管理者有责任记录、指导、支持、激励与评价下属员工的工作，负有帮助下属员工成长的责任，下属优秀员工的数量和质量是管理者绩效的重要指标。

8.2 安全考核对象

作为企业考核体系中的一个分支，安全考核分为团队考核和个人考核两部分，具体如图8-1所示。

团队考核

（1）总部IT部门

企业内部一般由人力资源部（或薪酬绩效委员会）负责整个企业内部的考核体系、考核标准，以及每年下达各部门的绩效目标书。总部IT部门的绩效目标书通常会包含信息安全考核指标，考核权重为5%~20%，一般不会超过20%。信息安全考核内容通常既包括结果指标，又包括过程指标。典型的指标包括：

·安全事件数（有的也称为安全运行率），属于结果指标。这个指标主要考核一年内安全防护情况，通俗讲就是不出事。该指标也代表风险偏好和容忍度。根据企业的实际情况不同，有的企业愿意安全投入少一点，能适当容忍一些安全事件发生。有的企业要求比较高，投入大，不太能容忍安全事件，甚至不接受发生安全事件的结果。安全事件数的考核，又分两类，一类是区分原因，比如安全事件数只计算因IT部门管理失职导致的；另一类是不区分原因，只要公司发生安全事件就计算在内。实际中还是区分原因的指标比较合理。

图8-1企业安全考核分支图

·合规率，属于结果指标。这个指标一般指监管标准达标率(内规承接外规比例),制度建设完备情况，以及合规报送合格率(及时率、差错率)等，反映的是监管合规工作质量。

·安全建设项目完成率，属于过程指标。这个指标指IT部门每年的建设项目中，安全项目建设完成情况。

·扣分项，属于结果指标。主要是公司内控合规、稽核审计部门，在内外部安全检查、安全审计中发现问题的扣分。

通常情况下，总部IT部门考核会分解成细项指标，由总部IT部门安全团队和非安全团队承接，安全团队承接的比重不超过20%。

(2)总部非IT部门

总部非IT部门，包括业务部门和职能部门，除风控部门外，通常没有信息安全考核指标，只有在发生安全事件，责任归属于上述部门时，才通过扣分机制进行考核。比如，发现非IT部门员工泄露客户资料数据，需要对该员工所在部门进行安全考核扣分处罚，严重的甚至进行内部问责。

（3）分支机构IT部门（或有）

金融企业一般会有总部和分支机构。分支机构不一定会有IT部门，所以是“或有”。分支机构IT部门（或有）信息安全考核，和总部IT部门类似，分为结果指标和过程指标。

（4）分支机构非IT部门（或有）

分支机构非IT部门的考核，通常和总部机构非IT部门考核类似，主要在安全事件发生且定责为本部门时列入扣分项。

个人考核

（1）企业安全负责人

有的企业设有专人担任企业安全负责人，即首席安全官（ChiefSecurityOfticer，CSO）。目前大部分金融企业都没有独立的CSO岗位（预计未来5~10年会迎来爆发），一般由总行行长、公司总裁或者公司分管IT领导兼任。企业安全负责人的“终极”考核，是由《网络安全法》明确规定的。《网络安全法》第三十四条规定，“关键信息基础设施的运营者还应当履行下列安全保护义务：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查”，第七十四条规定，“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任”。可见企业安全负责人承担着多么重大的责任。

（2）总部IT部门负责人

总部IT部门负责人的考核是360度综合评分，考核通常采用比较复杂的方式，主要权重还是在于IT对业务发展的支撑、IT引领业务发展等方面。信息安全考核和运维考核一样，属于底线考核（不能出事）。

（3）总部IT部门安全团队负责人

在企业高管层、部门总经理的层面，安全考核都只有一个指标—别出事情，出了事情等着“背锅”，说白了就是要对结果负责。所以考核设计中，无论是对部门内其他团队的安全考核，还是对安全团队的考核，结果指标都要占到考核的50%以上。

例如，对其他团队考核，就两个指标—风险发现和安全合规要求落实，简单有效。其中风险发现包括漏洞和事件、内外部审计发现等；安全合规要求落实是指安全部门部署工作的完成情况。

安全团队考核两类指标—安全事件数和安全建设工作完成率。安全事件数应该包括整个部门的安全事件数，因为IT部门内其他团队对自己的安全结果负责，安全团队对整个部门的安全结果负责。安全建设包括安全项目、安全合规、安全宣传等工作，也都是承诺具体指标数据的。当然，对于一个团队负责人来说，还应该承担其他指标，例如，安全团队人才培养、团队企业文化建设、安全团队满意度等。

（4）总部IT部门安全团队成员

对于安全团队成员一般考核以下指标：安全性、安全建设重点项目、督办事项、技术创新、常态化工作、人才成长、满意度。（具体内容见8.3.4节“个人考核”）

（5）分支机构IT部门负责人（或有）

负责承接总部下达的本分支机构安全考核任务完成。

（6）分支机构IT部门安全团队负责人（或有）

负责承接分支机构IT部门负责人安排的本分支机构安全考核任务目标完成。

（7）企业其他员工

企业其他员工主要承担安全职责，没有安全考核。安全职责主要是保守公司秘密，保护公司分配的账户密码、双因素动态令牌Token卡等重要敏感信息。一般属于出事后的责任追究范畴。

综上所述，信息安全考核的重点是总部IT部门安全团队、总部IT部门非安全团队、总部IT部门安全团队负责人、总部IT部门安全团队成员四部分。下面分别探讨面向总部IT部门安全团队和非安全团队以及个人的考核方案。

8.3 考核方案

团队考核最重要的是两部分：总部IT部门安全团队和总部IT部门非安全团队。个人考核最重要的是总部IT部门安全团队负责人和总部IT部门安全团队成员。

为了促使金融企业安全工作的目标更为清晰和一致，可按以下步骤设置考核方案：

1）根据企业风险防控的要求，确定安全团队的整体绩效指标。

2）将整体绩效指标分解为总部IT部门安全团队和非安全团队的指标。特别是对于安全团队，可分为安全管理和安全技术两个团队各自的绩效指标。最终要确保各个团队的“合力”能满足整体绩效指标要求。

3）确定各个指标的计算口径、数据收集方式、监测频率等。

8.3.1 考核方案设计原则

既要设置过程指标，又要设置结果指标

过程指标主要衡量做到还是没有做到，因为有些规定动作，不管结果怎样，都必须要做；结果指标主要衡量做得好还是不好。

例如，安全工作计划达成率（每季度开展一次全面的漏洞扫描，每年开展两次渗透测试，互联网应用系统投产前必须开展渗透测试等这些规定动作是否做到位），就是一个常见的过程指标，可以把每年的主要安全工作列出来，规定达成的比例，按比例计分。

再比如，安全整改完成率，是一个结果指标，分子为按时完成的信息安全整改工作数量，分母为所有信息安全整改工作数量。可以设置一定的容忍度，例如完成90%以上就可以得满分，90%以下再按档次计分。

既要设置客观性指标（定量指标），又要设置主观性指标（定性指标）

安全工作，态度决定一切，所以要在客观指标的基础上，补充一些主观指标，衡量工作态度和岗位胜任能力。例如，可以在工作技能、工作主动性、团队意识、执行力、服务态度、学习意愿和学习能力、工作量、工作质量等方面，设置优、良、中、差等几个等级，由上级给出等级判断和评分。

既要设置衡量安全团队自身工作情况的指标，又要设置衡量其他团队开展安全工作情况的指标

安全工作，大部分其实都不是安全团队自己动手完成的，而是要协调和调动开发、运维等其他团队来完成。所以需要衡量安全事件发生数、主动发现风险数等安全团队直接达成的目标，还要衡量其他团队风险整改率、其他团队违规次数等需要配合才可完成的工作。

既要在安全团队设置安全类考核指标，也要在开发、运维等其他团队设置安全类考核指标

鉴于安全工作是信息安全团队组织其他团队一起达成目标的，所以除了在安全团队建立绩效考核指标外，在其他团队的绩效考核指标中也纳入一两项安全工作相关指标，才有利于工作的开展，有利于促进整个信息科技大团队的眼往一处看、劲往一处使。

在上述总体原则的指导下，便可针对各类团队和个人，设置不同的考核方案。

8.3.2 总部IT部门安全团队

考核内容

（1）结果项

结果项包括安全事件数量、安全合规不符合项、信息系统漏洞整改率等结果指标。

安全事件数量，包括全年由行业监管部门通报且安全团队未主动发现的高、中危安全事件数量。安全事件类型包括：应用系统漏洞、直接获取重要系统权限、敏感信息泄露等。

安全合规不符合项，是指安全合规检查不符合项（含内审、风险评估、安全专项任务等）以及合规安全任务未落实情况。

信息系统漏洞整改率，所有内外部发现的信息系统高、中危漏洞整改修复应大于一定比例。有关信息安全事件与安全合规不符合项分级定义见8.5节。

有关信息系统漏洞分级标准示例见表8-3“信息系统漏洞分级标准”。

（2）过程项

过程项包括安全建设、安全运营、安全检查、安全意识宣贯、监管合规落实等指标。

（3）加减分项

加分项包括：在完成各项安全任务的同时，为公司或部门带来良好声誉，或避免了安全事件发生；按计划提前完成且质量达到要求，或按计划完成且质量超预期。

减分项包括：给公司造成不良影响的，在原有扣分标准上加倍；由于主观原因，未按计划完成，在原有扣分标准上加倍。

考核周期、考核权重、考核分

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重中，结果指标一般至少占安全团队绩效的50%，以百分制计算为50分。

有关考核的一些具体定量和定性指标设置，详见8.5节。

8.3.3 总部IT部门非安全团队(平行团队)

考核内容

(1)结果项

结果项包括安全事件数量，信息系统漏洞整改率、安全合规检查风险发现数量等结果指标。安全合规检查风险发现主要考核安全合规检查不符合项(含内审、风险评估、安全专项任务等)。

信息系统漏洞风险分级：漏洞级别采用信息安全通用风险定义标准(见表8-3),分为严重、高危、中危、低危四个级别。漏洞分级综合考虑了漏洞的危害及实际被利用的难易程度。

漏洞考核标准(漏洞扣分按100分制计算)如表8-1所示。

表8-1漏洞考核标准

漏洞考核计算方式如表8-2所示。

表8-2漏洞考核计算

在表8-2中：

·发现即考核的漏洞，检测发现时按漏洞等级扣分，在修复周期内修复减免50%;修复时间超过1周期按100%扣分，超过2周期按200%扣分，以此类推。

·仅考核修复的漏洞，检测发现时不考核，在漏洞等级修复周期内修复不考核；修复时间超过1周期按漏洞风险级别按100%扣分，超过2周期时按200%扣分，以此类推。

·如遇特殊情况，可申请延期修复，审核通过后可获得最高2个周期的延期。

（2）过程项

过程项包括安全任务落实情况（正向指标），通过OA流程发起的落实合规监管、安全推动等任务的完成情况，每次任务完成情况的综合评价（时间、质量）。

考核周期、考核权重、考核分数

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重一般占IT部门各团队的5%~10%绩效，以百分制计算为5~10分。

8.3.4 个人考核

个人考核，主要是制订安全团队成员的个人考核指标。一般遵循以下原则：

·结果第一，过程是为结果服务的，能力必须通过结果体现。

·职责和职级匹配，如果一个员工是10万薪酬的职级，却和20万、30万薪酬的员工的职责相同，放在同一级别池子里考核，这是不公平的。薪酬高的员工，就应承担与薪酬匹配的职责和绩效考核。如果是骨干员工、发展对象，除了上述职责职级匹配外，还需要额外付出。

·建设性与事务性工作相结合，工作和学习相结合，多维度考核。

在上述原则指导下，每年会和员工沟通，确定绩效考核年度目标，包含安全性（30%）、安全建设重点项目（30%）、技术创新（10%）、督办事项（5%）、常态化工作（5%）、人才成长（10%）、满意度（10%）。此外，还可以设置上级的主观性评分。

·安全性，和整个安全团队安全事件数量等安全结果指标挂钩，同时和该员工负责的领域的安全结果挂钩。

·安全建设重点项目，来自于前一年修订的“安全三年规划”，以及实际中爆发的安全威胁。每人承担2~3项安全重点建设项目。考核时兼顾项目完成质量、取得的收益（效率提升，还是安全管控质量提升等）、获得部门认可等。

·技术创新，激励安全团队员工进行新技术跟踪、撰写研究报告并分享，测试新技术并引入等，哪怕是开展一次有质量的头脑风暴和组织一次有效果的安全活动，都转换成技术创新积分，获得技术创新绩效。

·督办事项，大部分工作在年初制订绩效考核目标时能确定，但是总会临时出现一些工作，比如检查配合、应急处置等。这部分工作放入督办事项中考核。

·常态化工作，安全工作中有很多常态化工作，每位安全团队成员都应承担一部分常态化工作，比如日常报表、安全事件日例会等。常态化工作主要考核差错情况。

·人才成长，除了工作，还要督促团队成员参加各类培训，考取各类认证，以及看书学习。企业安全建设的安全人员，容易脱离实战，因此定期参加攻防对抗的培训，考取诸如CEH等实战类的认证，对安全团队成员发展有利。同时，还应鼓励团队成员提升非安全技能的软性技能，比如沟通、逻辑、表达、战略、规划等方面能力，督促员工多看书、多学习。

·满意度，在团队协作、沟通配合等方面的考核中放入满意度，满意度是考核的一个维度，也是员工专业性、协作、态度等多方面的综合表现。

·主观性评分，包括执行力、工作技能、工作态度、工作量、工作质量、学习意愿和学习能力、工作主动性等方面的主观评分，通常由上级直接打分。

8.3.5 一些细节

考核注意点

实际安全考核中有几点需要注意：

·防止恶性竞争，比如有的考核项是计算数量的，要设置一个数量上限，防范恶性竞争的问题。比如设置了一个安全知识库数量的考核项，要同时设置一个数量上限，以团队为考核单位，最多2条，超过2条即可拿满分，否则容易造成各团队恶性竞争。

·团队规模不均带来的公平性问题，漏洞考核时一般会给各团队漏洞数量豁免，豁免数量要考虑团队规模、维护的系统数量等实际情况，不能“一刀切”。

防止秋后算账

考核是手段，而非目的。考核的目的是，通过考核，促进各团队的安全规则落地。因此在发生安全事件，出现安全漏洞、不合规情况时，要立即进行考核通报，防止年终一次性计算。要即时结账、不要秋后算账的另一好处是，落后的团队看到排名和不好的结果，还可以努力补救，这也达到了考核的目的。

利用5%实现100%的效果

安全考核对平行团队考核虽然只有5%，但要发挥出100%的效果。这需要整个考核体系的支持和配合。在笔者经历过的企业中，就可以达到这个效果，因为强制排名。每个团队是强制排名的，也就是说即使只比前一名的团队少0.1分，但因为是强制排名，最终可能获得的优秀指标就会少于50%，从而每个团队对0.1分的考核项都不敢掉以轻心，5%实现100%的效果。

正向还是负向激励

多用正向激励，慎用负向激励。负向激励可转化为正向激励。有两种转化方式：

·如果考核在[-X，+Y]区间，那么设置考核分数为[0，X+Y]的效果要比[-X，+Y]好很多。因为[0，X+Y]全部为得分项，属于正向激励。

·考核在规定时间内完成，要么减免50%扣分，要么增加一倍加分。比如在修复周期内完成修复，漏洞考核减免50%扣分。这样起到了正向激励的作用，既督促了大家，也达到了安全考核目标。

8.4 与考核相关的其他几个问题

免费的胡萝卜

从职业生涯之初，直到成为企业安全负责人，都或多或少会遇到一些困惑：如何说服别人支持自己，以推动安全工作？如果资源是无限的，每个人完成了工作，都可以得到枚钻石，那就简单了，可惜资源是有限的。正因为资源是有限的，因此我们要“多喂免费的胡萝卜”。

“胡萝卜”，在管理学的范畴中，引申为有效的赏识和奖励机制，员工都渴求这种机制的感应和刺激。能力是否得到上司认可，这关系到员工是否要改换门庭—寻找他们能够得到承认和赏识的更好的职场环境。所以，为了留住卓越的员工，保持中坚力量的稳定，领导者就必须在企业内部营造胡萝卜文化，吸纳人才，并努力使团队更多地活跃在达观和愉悦的工作环境中。喂胡萝卜除了对团队成员有效，对与工作相关的任何干系人都有效。

在安全建设推动工作中有哪些免费的胡萝卜呢？表扬、排名、通报、扣分、给荣誉奖项等等都是可行的。

除了上述推动工作方式以外，还有一点就是，跑得勤快一点。“人怕见面，树怕剥皮”，为了推动工作，达到想要的目标，找到关键干系人，一次不行就两次，多去找几次，见面谈，成功概率很大的。笔者特别不提倡的就是通过邮件、微信、电话等和别人谈很重要的工作。对于那些拒绝工作沟通的人，一定要拿出自己的诚意，让别人看到自己的付出和努力，发发邮件、打打电话的方式不可取。

要不要满意度

以目前国内企业对安全的认知，安全团队不太可能获得好的满意度。反倒是满意度高的安全团队要思考一下，大BOSS会怎么想。以笔者的实际经历来看，满意度高的团队绩效表现一般都比较平庸甚至较低。满意度实际是多方维度，平行团队对你的满意度和上级对安全团队的满意度，以及团队成员对安全团队的满意度，三者都需要考虑。笔者一般考虑的优先级是上级对安全团队的满意度>安全团队成员对安全团队的满意度>平行团队对安全团队的满意度。

上级对安全团队的满意度，其实就是安全团队的价值，安全团队的绩效。创造价值、做出成绩、解决问题，才能让上级满意，这个道理简单易懂。

安全团队成员对安全团队的满意度，其实很重要。满意度不高，团队容易一盘散沙，瞬间分崩离析，肯定也不会取得好的安全绩效。这就要求安全负责人要研究怎么满足安全团队成员的满意度。笔者的亲身体会（包括做员工时期）是，要让团队成员个人价值得到提升，能够通过自己的辛勤劳动获得体面的收入，同时能够收获尊重和认可。价值提升和体面收入，一个是长期收益，一个是短期收益，有眼光的人会优先关注长期收益。所以需要经常和团队成员沟通，要有危机感，不要有太多优越感。可以让团队成员多想想，如果公司不是只有一个安全团队，如果不是垄断，用户会不会买我们的服务？把自己放入互联网企业、制造企业，会不会适应快节奏、低成本、一切都围绕有效来开展工作？

平行团队对安全团队的满意度，如果安全团队做出价值，为公司、部门和平行团队带来安全保障，相信有格局的管理者会给出公平的满意度评价，即使有时候由于各种主观客观原因，对安全团队的打分评价不是很客观，那也可以理解。这个满意度的关键还是在于大BOSS怎么看，如果安全团队做得很糟糕，即使大家给安全团队满意度很高，结果也不会好。如果安全团队做得很好，同时还能影响和照顾平行团队的诉求，满意度虽然不一定很高，但至少不会排名倒数第一。多年的实践表明，从倒数第一满意度努力到倒数第二，就是成功。在成为倒数第一的时候，并不需要很生气，因为从正面角度看，至少说明两点：

·安全管控实实在在，不再是可有可无。

·安全肯定有很大改进提升空间。

接下来的事也挺简单，和平行团队沟通，哪些是可以改进优化的，就积极努力去做，按这个思路，第二年基本就不会倒数第一了。

内部问责

有了考核、排名、通报，还需不需要内部问责？笔者的建议是：需要。在安全这个需要认真严谨来不得半点敷衍的领域，规则+检查+问责是最好的落地方法。先约定达成一致的安全规则，然后通过强有力的检查发现违反规则的行为，进行考核，对于违反红线的进行内部问责。内部问责是高压线。

安全开发流程（SecurityDevelopmentLifecgcle，SDL）中提到SDL实战经验的四条准则，第三条是树立安全部门的权威、项目必须由安全部门审核完成后才能发布。如果没有这样的权威，安全就变成了可有可无的东西。当然，这句话并非绝对，在树立安全部门权威的同时，安全也可能对业务妥协。比如，对于不是非常严重的问题，在业务时间压力非常大的情况下，可以考虑事后再进行修补，或者使用临时方案应对紧急情况。安全最终是需要为业务服务的。

安全考核，没有唯一标准答案，在于实践

安全考核属于企业考核评价体系的一部分，不可能脱离企业评价体系而单独存在，而企业考核评价体系有各种风格，各种实际情况，和企业的文化、风格、所属行业等因素皆相关，因此安全考核注定没有一份唯一的标准答案，但坚持实践一定会得到你想要的最好答案。没有捷径，最好的路径就是日拱一卒。

8.5 安全考核示例

信息安全事件分级示例

信息安全事件分级包括：重大事件、较大事件、一般事件。

重大事件：

·被行业监管部门、公司内控部门通报或批评。

·被行业权威部门发现系统漏洞或风险（如公共漏洞平台等），且存在重大隐患或已造成重大损失。

·行业《信息安全事件报告及调查处理办法》中定义的特别重大事件、重大事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的重大安全隐患或高风险系统漏洞。

较大事件：

·被外部单位发现系统漏洞或风险，且存在较大隐患。

·行业《信息安全事件报告及调查处理办法》中定义的较大事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的较大安全隐患或中风险系统漏洞。

一般事件：

·部门内部通报。

·行业《信息安全事件报告及调查处理办法》中定义的一般事件。

·安全检测（内部、外部）中发现的因违反安全管理规范或开发规范等相关要求，产生的一般安全隐患。

安全合规不符合项（含内审、风险评估等）分级示例

按不符合项对应标准的相关级别分为：严重、一般、轻微。

严重不符合：

·不符合监管部门发布的相关制度、办法及指引中操作类要求。

·不符合公司发布的相关制度、办法中相关要求。

·不符合安全规范要求，且存在重大隐患。

一般不符合：

·不符合公司发布的各类操作指引、技术规范。

·不符合安全规范要求，且存在较大隐患。

轻微不符合：

·不符合部门发布的各类细则、指引、规范。

·不符合部门内部安全管理要求。

信息系统漏洞分级标准示例

信息系统漏洞级别分为：严重、高危、中危、低危。具体描述如表8-3所示。

表8-3信息系统漏洞分级标准

定量(客观性)KPI设置建议

定量考核指标库中的可选指标建议如下。企业可以先建立一个整体KPI指标库(见表8-4),然后根据安全团队、平行团队等工作重点，从指标库中选择对应的指标衡量，通常选取指标3~5个为宜。

表8-4安全团队绩效KPI指标

此外，还可以设置重大信息安全事件、重大信息安全攻击事件、监管通报重大风险、监管评级降级等一票否决型指标，一旦触发则整个考核期内的分数可以一朝归零。

定性(主观性)指标设置建议

定性指标的设置，主要是因为KPI指标有限，不能完全衡量一个人的所有业绩，特别是工作态度和工作能力方面，需要上级给出一个主观性的衡量。但定性指标设置通常不宜过多，一般不超过5个为宜，而且在整个考核分值中的占比不宜超过40%。

表8-5为定性指标供参考。

表8-5安全团队绩效主观评价指标

8.6 小结

安全考核，属于企业评价体系的一部分，涉及考核对象、考核方式、考核指标、考核结果运用等。由于安全工作绩效的衡量较为困难，安全考核体系的设计也是金融企业安全负责人面临的难题之一。在资源受限的情况下，如何针对不同的考核对象设计不同的安全考核指标，促进企业安全工作的整体进展，是一个需要不断尝试和探索的领域。

 

原文始发于微信公众号（安小圈）：【精彩连载】企业安全建设指南 | 安全架构（八）