BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / scss / #197同步于 2023/11/18
该镜像源已超过 30 天没有更新,可能在源站已被删除。
SCSS机器人发帖

【君哥的体历】金融企业信息安全考核体系建设

lgdlovell
2023/11/18镜像同步0 回复
图片 安全考核,属于企业评价体系的一部分,和人力资源、人员激励等相关性比较大。考核话题也比较大,考核的方式、考核指标、考核结果运用等。资源是有限的,如果给干活的人都发一颗钻石,无疑工作又快又好的完成了。在资源受限的情况下,如何最大化的激励团队与员工,实现安全目标,需要企业安全负责人认真思考的问题,本文做一些探讨。 1.评价体系与原则 笔者所经历过的企业比较重视评价体系与原则。以下是比较赞同的几个原则。 1.1 评价体系 组织评价体系尊崇“赛马胜相马”,不能制胜的能力不是真能力,不能制胜的能力还要训练,只是白白浪费时间。组织将部门利益和个人利益挂钩,如果部门因为某个员工的努力获取了利益,就应该以某种形式反馈为员工利益;如果因某个团队的努力使部门获取了利益,也应该以某种形式反馈给团队,再由团队以公平的形式反馈给员工。 德、能、勤、绩是组织评价员工的四要素,德代表思想品行,能代表能力,勤代表工作表现,绩代表绩效。比如:这活给钱我干,不给钱我也干,就是德。别人不行,我行,就是能。别人休息了,我拼搏,就是勤。白猫黑猫,抓了老鼠,就是绩。我们用人用所长,绝不求全责备,员工和初级管理者主要考核绩和勤,中级管理者主要考核绩和能,高级管理者主要考核德和能。 绩效评估和考核是组织对员工进行评价一般形式。组织的考核是上级、下级、同级(相关者)的多维考核体系,力求真实反映各团队和员工的综合绩效。团队层面,通过KPI实现上级的利益诉求,通过互评和协助评分实现同级相关团队利益诉求,通过员工满意度实现下级利益诉求。绩效考核不单单是绩效的评估,KPI的考核成绩本身就是德、能、勤的函数在概率分布下的结果。满意度和互评更是第三者对员工德、能、勤的主观感受。没有团队精神的员工,不爱部下的干部,再有能力也不可能在互评和满意度评估中获得高分。 KPI考核根据组织战略,制定各团队和条线的KPI,并由团队或条线逐层分解到员工的形式。一线团队和二线团队制定不同的考核项,考核标准向一线团队倾斜。 绩效考核结果运用遵循长短期利益结合,现金收入是短期利益,是对于个人价值贡献回馈体系的一部分,组织提供的做事机会、承担各重要领域重要任务的信任,是给各位员工提供个人价值提升的机会,属于长期利益,优秀员工必然会从长期利益中获得丰厚回馈。即使是短期利益,也是和员工日常工作中完成的每一项工作,每一次重要会议,每一个项目分不开的,合抱之木,生于毫末;九层之台,起于累土;千里之行,始于足下。日常工作的辛勤积累,才能造就每年的丰硕果实,体验奋斗带来的丰收喜悦。 1.2 奖惩机制 组织奖惩遵循两个原则:奖励与惩罚并重的原则,组织为每个人提供充分的长期创新动力或制度激励,同时为每个人提供行为选择的制度罚单和约束条件,从而建构起奖励与惩罚并重的有效均衡机制;物质奖惩与精神奖惩相结合的原则,物质奖惩和精神奖惩依据每个人基本物质需求和精神需求,物质奖惩与精神奖惩是双向强化的方式,各自承担不同的功能,组织要充分利用好人的趋利主义动机和精神主义作用。 1.3 干部选拔机制 组织干部选拔原则:择优和奋斗,择优包括品德、绩效、能力、贡献、合作、责任,奋斗包括额外工作时间的投入。我们不单纯任人唯贤,也任人唯亲,亲不是指血缘关系,而是指是否认同我们的组织文化。组织会创造多种机会便于人才的脱颖而出,包括虚拟条线、轮岗锻炼、跨界学习等。 1.4 管理者的权利和义务 管理者具有本条线人力资源管理职责,各级管理者有责任记录、指导、支持、激励与评价下属员工的工作,负有帮助下属员工成长的责任,下属优秀员工的数量和质量是管理者绩效的重要指标。 2. 考核对象 安全考核分成对团队和个人的考核两部分。 2. 团队考核 2.1.1 总部IT部门 企业内部一般由人力资源部(或薪酬绩效委员会)负责整个企业内部的考核体系、考核标准,以及每年下达各部门的绩效目标书。总部IT部门的绩效目标书通常会包含信息安全考核指标(没有的话,说明安全非常非常不受重视,可以考虑换公司了),考核权重从5%到20%,一般不会超过20%。信息安全考核内容包括: 安全事件数。有的也称为:安全运行率,属于结果指标。主要考核一年内安全防护情况,通俗的讲就是不出事。该指标也代表风险偏好和容忍度。根据企业的实际情况不同,有的企业愿意安全投入少一点,能适当容忍一些安全事件发生。有的企业要求比较高,投入大,不太能容忍安全事件,甚至不接受发生安全事件的结果。注意安全事件数要看是否区分原因,比如安全事件数的计算是指因IT部门管理失职导致的,还是不区分原因,只要公司发生安全事件就算。实际中还是区分原因的比较合理。 合规率。结果指标。这个指标一般指监管标准达标率(内规承接外规比例),制度建设完备情况,以及合规报送合格率(及时率、差错率)等,反映的是监管合规工作质量。 安全建设项目完成率。过程指标。这个指标指IT部门每年的建设项目中,安全项目建设完成情况。 扣分项。结果指标。主要是公司内控合规、稽核审计部门,在内外部安全检查、安全审计中发现问题的扣分。 通常情况下,总部IT部门考核会分解成细项指标,由总部IT部门安全团队和非安全团队承接,安全团队承接的比重不超过20%,通常是结果指标和过程指标相结合的方式 2.1.2 总部非IT部门 总部非IT部门,包括业务部门和职能部门,除风控部门外,通常没有信息安全考核指标,主要是发生安全事件,责任归属于上述部门的,实行扣分机制。比如发现非IT部门员工泄露客户资料数据,需要对该员工所在部门进行安全考核扣分处罚,严重的甚至进行内部问责。 2.1.3 分支机构IT部门(或有) 金融企业一般会有总部和分支机构。分支机构不一定会有IT部门,所以是“或有”。分支机构IT部门(或有)信息安全考核,和总部IT部门类似,考核结果指标和过程指标。 2.1.4 分支机构非IT部门(或有) 和总部机构非IT部门考核类似。 2.2 个人考核 2.2.1 公司安全负责人 公司安全负责人,有的企业设有专人,首席安全官(以下简称“CSO”)。大部分金融企业都没有CSO岗位(预计未来5-10年内会迎来爆发),一般由总行行长,公司总裁,公司分管IT领导兼任。公司安全负责人的考核已经由《网络安全法》明确规定了^_^。《网络安全法》第三十四条规定:关键信息基础设施的运营者还应当履行下列安全保护义务:设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。第七十四条规定:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 2.2.2 总部IT部门负责人 总部IT部门负责人的考核是360度综合评分,部门负责人的考核是比较复杂的方式,信息安全考核和运维考核一样,属于底线考核(不能出事),但考核的主要权重在于IT对业务发展的支撑,IT引领业务发展等方面。 2.2.3 总部IT部门安全团队负责人 在公司高管层、部门总经理那,安全考核只有一个指标,别出事情,出了事情等着背锅。说白了就是要对结果负责,所以我们的考核设计,无论是对其他团队的安全考核,还是对安全团队考核,就是结果指标要占到考核的50%以上。比如对平行团队考核,就两个指标,风险发现、安全合规要求落实。风险发现包括漏洞和事件,内外审计发现,安全合规要求落实就是安全部门部署工作的完成情况,简单有效。安全团队考核两类指标,安全事件数和安全建设工作完成率,IT部门内平行各团队对自己的安全结果负责,安全团队对整个部门的安全结果负责,承担整个部门安全事件数考核。安全建设包括安全项目、安全合规、安全宣传等工作,也都是承诺具体指标数据的。具体指标包括: (1)安全事件数; (2)安全建设完成情况; (3)其他指标,包括安全团队人才培养、团队企业文化建设、安全团队满意度等。 2.2.4 总部IT部门安全团队成员 在我经历过的安全团队,一般考核安全团队成员以下内容:安全性、安全建设重点项目、督办事项、技术创新、常态化工作、人才成长、满意度。(具体内容见3.3 个人考核) 2.2.5 分支机构IT部门负责人(或有) 负责承接总部下达的本分支机构安全考核任务完成。 2.2.6 分支机构IT部门安全团队负责人(或有) 负责承接分支机构IT部门负责人安排的本分支机构安全考核任务目标完成。 2.2.7 公司员工 公司员工主要承担安全职责,没有安全考核。安全职责主要是保守公司秘密,保护公司分配的账户密码、双因素动态令牌Token卡等重要敏感信息。一把属于出事后的责任追究范畴。 综上所述,信息安全考核的重点是:总部IT部门安全团队和非安全团队、总部IT部门安全团队负责人和成员四部分。下面分别探讨面向总部IT部门安全团队和非安全团队的考核方案。 3.考核方案 团队考核最重要的是两部分:总部IT部门安全团队和非安全团队。个人考核最重要的是总部IT部门安全团队负责人和安全团队成员。 3.1 总部IT部门安全团队 3.1.1 考核内容 (1)结果项 包括安全事件数量,信息系统漏洞整改率等结果指标。 安全事件数量包括全年由行业监管部门通报、且安全团队未主动发现的高、中危安全事件数量。安全事件类型包括:应用系统漏洞、直接获取重要系统权限、敏感信息泄露等。 信息系统漏洞整改率,指所有内外部发现的信息系统高中危漏洞整改修复应大于一定比例。 有关信息安全事件与安全合规不符合项分级定义见附录5.1《信息安全事件与安全合规不符合项分级定义》 有关信息系统漏洞分级标准示例见附录5.2《信息系统漏洞分级标准定义》。 (2)过程项 包括安全建设、安全运营、安全检查、安全意识宣贯、监管合规落实等指标。 (3)加减分项 加分项包括:一是完成各项安全任务的同时,为公司或部门带来良好声誉,或避免了安全事件发生;二是按制定计划提前完成,且质量达到要求,或按计划完成,质量超预期。减分项包括:一是给公司造成不良影响的,在原有扣分标准上加倍。二是由于主观原因,未按计划完成,在原有扣分标准上加倍 3.1.2 考核周期、考核权重、考核分数 一般是以自然年为考核周期。考核权重中,结果指标一般占安全团队至少50%绩效。 3.2 总部IT部门非安全团队(平行团队) 3.2.1 考核内容 (1)结果项 包括安全事件数量,信息系统漏洞整改率、安全合规检查风险发现数量等结果指标。安全事件、信息系统漏洞定义和等级划分见上述标准。安全合规检查风险发现主要考核安全合规检查不符合项(含内审、风险评估、安全专项任务等)。 漏洞分级标准:信息系统漏洞风险分级:漏洞级别采用信息安全通用风险定义标准(见附录5.2),分为严重、高危、中危、低危四个级别。漏洞分级综合考虑了漏洞的危害及实际被利用的难易程度。 漏洞考核标准(漏洞扣分按100分制计算) 漏洞风险级别 考核标准 S1 S2 S3 S4 严重 高危 中危 低危 单个漏洞扣分标准 2 1 0.6 0 漏洞修复周期标准 1天 3天 7天
订阅后,新回复会通过你的通知中心匿名送达。
0 条回复
暂无回复 · 你可以订阅本帖等待新回复。