【 摘 要 】 隨著現(xiàn)代企業(yè)管理水平的提高，績(jī)效管理作為提升企業(yè)競(jìng)爭(zhēng)力的有效手段，被越來(lái)越多的重視和應(yīng)用。本文分析了用績(jī)效管理手段提升企業(yè)信息化特別是信息安全保障水平的真實(shí)案例，探討了用管理手段提高信息安全管控水平的可行性。

【 關(guān)鍵詞 】 信息安全；企業(yè)管理；績(jī)效考核

1 引言

經(jīng)過(guò)近幾年的發(fā)展，中國(guó)鐵建股份有限公司（以下簡(jiǎn)稱中國(guó)鐵建）的信息化工作全面展開(kāi)，眾多信息化項(xiàng)目的實(shí)施，大量信息系統(tǒng)的上線應(yīng)用，有力地促進(jìn)了企業(yè)核心競(jìng)爭(zhēng)力的提升。

隨著信息系統(tǒng)不斷建成與投入應(yīng)用，信息資源擁有量快速增長(zhǎng)，對(duì)信息安全的保障需求日顯強(qiáng)烈，信息安全管控建設(shè)的滯后與日益增長(zhǎng)的信息安全需求的矛盾日益突出。中國(guó)鐵建根據(jù)國(guó)內(nèi)外成熟的信息安全標(biāo)準(zhǔn)和方法，結(jié)合企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略和企業(yè)特點(diǎn)，構(gòu)建符合本公司業(yè)務(wù)實(shí)際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級(jí)保護(hù)制度作為國(guó)家在信息安全保障管理上的根本制度，具有強(qiáng)制性的特征，也要求企業(yè)認(rèn)真加以貫徹落實(shí)。

在實(shí)際工作中利用怎樣的手段來(lái)保障信息安全管控體系、信息安全等級(jí)保護(hù)制度得到切實(shí)執(zhí)行，成為亟待需要解決的問(wèn)題。

為此，結(jié)合中國(guó)鐵建所屬各單位地域分布廣、信息化水平差距大的特點(diǎn)，經(jīng)過(guò)初步探索，將信息安全指標(biāo)納入了中國(guó)鐵建信息化績(jī)效評(píng)價(jià)體系，與各子分公司領(lǐng)導(dǎo)考核掛鉤，從“信息安全事故”和“等級(jí)保護(hù)”兩個(gè)維度、四項(xiàng)指標(biāo)，通過(guò)定量對(duì)比分析，對(duì)各單位的信息安全工作進(jìn)行評(píng)價(jià)，以推進(jìn)信息安全持續(xù)改進(jìn)。

2 考核原則

（1）公開(kāi)、公平、公正。嚴(yán)格按照考核細(xì)則對(duì)被考核單位，在公開(kāi)、公平、公正的環(huán)境中，進(jìn)行客觀的評(píng)價(jià)。

（2）實(shí)事求是。被考核單位應(yīng)如實(shí)反映信息安全工作情況，提供的相關(guān)資料和數(shù)據(jù)真實(shí)可信。

（3）遵循規(guī)劃、貫徹制度、檢查效果、保障安全?？己酥笜?biāo)的提出以信息安全規(guī)劃、制度為依據(jù)，重點(diǎn)在信息化建設(shè)效果并保障信息安全。

（4）區(qū)別對(duì)待，逐步演進(jìn)。根據(jù)子公司規(guī)模、成長(zhǎng)階段、業(yè)務(wù)特點(diǎn)的不同，區(qū)別對(duì)待；根據(jù)信息安全建設(shè)重點(diǎn)，不同年度有不同的考核重點(diǎn)，逐步演進(jìn)。

3 考核指標(biāo)

中國(guó)鐵建大量的信息系統(tǒng)處于建設(shè)時(shí)期，因此每年對(duì)指標(biāo)進(jìn)行調(diào)整。目前，根據(jù)信息系統(tǒng)等級(jí)保護(hù)評(píng)價(jià)指標(biāo)體系的原則要求， 選擇具有可操作性、可以量化的指標(biāo)，從信息安全事故和信息系統(tǒng)安全等級(jí)保護(hù)兩個(gè)維度，信息安全事件、等級(jí)保護(hù)定級(jí)率、等級(jí)保護(hù)備案率、等級(jí)保護(hù)測(cè)評(píng)通過(guò)率四項(xiàng)指標(biāo)進(jìn)行了考核。

3.1 信息安全事件

信息安全事件及分級(jí)以中國(guó)鐵建《信息安全事件管理規(guī)定》定義為準(zhǔn)。信息安全事件分為特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）和一般事件（Ⅲ級(jí)）三個(gè)級(jí)別。

指標(biāo)要點(diǎn)

（1）信息系統(tǒng)安全事件級(jí)別的確定。從類別劃分，信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施安全功能故障、災(zāi)害性事件等五種；從級(jí)別劃分，信息安全事件分為特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）和一般事件（Ⅲ級(jí)）三個(gè)級(jí)別。

（2）信息安全事件的瞞報(bào)。對(duì)于發(fā)生信息安全事件后，隱瞞事故，在規(guī)定時(shí)限內(nèi)不主動(dòng)向上級(jí)部門(mén)如實(shí)報(bào)告的情況，除扣除其該項(xiàng)考核成績(jī)外，按照股份公司有關(guān)規(guī)定進(jìn)行通報(bào)并嚴(yán)肅處理；對(duì)多次發(fā)生信息安全事件的單位，將加強(qiáng)監(jiān)督檢查，并責(zé)令其徹底整改。

3.2 等保定級(jí)率

考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)與歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）信息系統(tǒng)定級(jí)準(zhǔn)確性。部分單位認(rèn)為信息系統(tǒng)定級(jí)級(jí)別越高，就要花費(fèi)更多的資金、精力，加重單位負(fù)擔(dān)，因此將基礎(chǔ)信息網(wǎng)絡(luò)、門(mén)戶網(wǎng)站、郵件、財(cái)務(wù)等重要信息系統(tǒng)定為一級(jí)，以逃避備案、測(cè)評(píng)。

針對(duì)這種情況，股份公司按照《信息系統(tǒng)安全等級(jí)保護(hù)區(qū)域劃分原則與定級(jí)指南》，對(duì)信息系統(tǒng)定級(jí)進(jìn)行規(guī)范，并對(duì)定為一級(jí)、二級(jí)的信息系統(tǒng)進(jìn)行重點(diǎn)檢查，避免定級(jí)不準(zhǔn)確。

（2）信息系統(tǒng)數(shù)量準(zhǔn)確性。部分單位在實(shí)施等保工作時(shí)，上報(bào)的信息系統(tǒng)數(shù)量小于實(shí)際建設(shè)數(shù)量。因此，在實(shí)際操作中，本考核項(xiàng)的分母“信息系統(tǒng)數(shù)”以該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量為準(zhǔn)。

（3）需提供加蓋本單位公章的《定級(jí)報(bào)告》掃描件。

3.3 等保備案率

考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)與歷年上報(bào)的備案證書(shū)不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）備案公安機(jī)關(guān)的選擇。針對(duì)部分單位未根據(jù)國(guó)家法律法規(guī)選擇合適公安機(jī)關(guān)備案的情況，股份公司在發(fā)布的《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》中規(guī)定：股份公司統(tǒng)建系統(tǒng)，三級(jí)及以上系統(tǒng)向公安部網(wǎng)絡(luò)安全保衛(wèi)局備案、二級(jí)系統(tǒng)向北京市公安局鐵道建筑公安局備案；駐京單位自建信息系統(tǒng)向北京市公安局鐵道建筑公安局備案；京外單位自建信息系統(tǒng)向當(dāng)?shù)厥屑?jí)及以上公安機(jī)關(guān)備案。

（2）等保備案率的確定。等保備案率中的分母“信息系統(tǒng)數(shù)”，指的是該單位編制信息化項(xiàng)目預(yù)算時(shí)上報(bào)的信息系統(tǒng)數(shù)量，并非已定級(jí)的信息系統(tǒng)數(shù)量。

（3）需提供公安機(jī)關(guān)出具的《備案證明》掃描件。

3.4 等保測(cè)評(píng)通過(guò)率

歷年上報(bào)的定級(jí)備案證書(shū)不重復(fù)累計(jì)數(shù)與歷年測(cè)評(píng)通過(guò)的信息系統(tǒng)不重復(fù)累計(jì)數(shù)之比。

指標(biāo)要點(diǎn)

（1）測(cè)評(píng)報(bào)告符合率。為防止部分單位將工作精力側(cè)重于取得測(cè)評(píng)報(bào)告，而忽視了對(duì)測(cè)評(píng)中反映出的安全問(wèn)題的整改，在實(shí)際工作中，重點(diǎn)對(duì)測(cè)評(píng)不符合率較高的信息系統(tǒng)進(jìn)行抽查，責(zé)令單位定期進(jìn)行整改。

（2）需提供合格測(cè)評(píng)機(jī)構(gòu)出具的加蓋測(cè)評(píng)機(jī)構(gòu)公章的《安全等級(jí)測(cè)評(píng)報(bào)告》掃描件。

4 考核權(quán)重endprint

4.1 信息安全事件

附加分項(xiàng)，最高減K分。出現(xiàn)一次I級(jí)信息安全事件、減K分；出現(xiàn)一次級(jí)信息安全事件、減K/2分，最多減K分。

4.2 等保定級(jí)率

基本分項(xiàng)，滿分K分?？己四甓仍诮ㄖ硫?yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報(bào)的定級(jí)報(bào)告不重復(fù)累計(jì)數(shù)為B，定級(jí)率M=B/A，平均定級(jí)率∑M=∑B/∑A。定級(jí)率得分S=min{（M/∑M）×K，K}。

4.3 等保備案率

基本分項(xiàng)，滿分K分。考核年度在建至驗(yàn)收投入應(yīng)用各階段的信息系統(tǒng)數(shù)為A，歷年上報(bào)的備案證書(shū)不重復(fù)累計(jì)數(shù)為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{（M/∑M）×K，K}。

4.4 等保通過(guò)率

基本分項(xiàng)，滿分K分。歷年上報(bào)的定級(jí)備案證書(shū)不重復(fù)累計(jì)數(shù)為C，歷年測(cè)評(píng)通過(guò)的信息系統(tǒng)不重復(fù)累計(jì)數(shù)為D，測(cè)評(píng)通過(guò)率M=D/C，平均測(cè)評(píng)通過(guò)率∑M=∑D/∑C。測(cè)評(píng)通過(guò)率得分S=min{（M/∑M）×K，K}。

5 指標(biāo)計(jì)算

考核指標(biāo)項(xiàng)分基本分項(xiàng)、附加分項(xiàng)兩類。以本單位基本分項(xiàng)滿分（Ai）為基數(shù)，用實(shí)際得分（Bi）計(jì)算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作績(jī)效指標(biāo)分（C），即為信息安全工作考核實(shí)際得分（Si=C×Mi/Mmax）。

6 結(jié)束語(yǔ)

本文對(duì)中國(guó)鐵建將信息安全指標(biāo)納入信息化績(jī)效評(píng)價(jià)體系進(jìn)行了概述， 提出了綜合評(píng)價(jià)的方法，希望能借以推進(jìn)本企業(yè)信息安全工作的開(kāi)展，提高信息系統(tǒng)的安全性，并切實(shí)將國(guó)家法律法規(guī)落到實(shí)處。從實(shí)際執(zhí)行效果看，已經(jīng)取得了一定的成效。

參考文獻(xiàn)

[1] GB/T 22239—2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求.

[2] GB 17859-1999，安全等級(jí)保護(hù)劃分準(zhǔn)則.

[3] GB/T 22240—2008，信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南.

作者簡(jiǎn)介：

李棟（1984-），男，山東兗州人，山東大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)畢業(yè)，本科，工學(xué)學(xué)士學(xué)位，中國(guó)鐵建股份有限公司信息中心，工程師，中國(guó)鐵建信息安全管控體系建設(shè)項(xiàng)目負(fù)責(zé)人，從事信息化及信息安全技術(shù)與管理工作，對(duì)信息網(wǎng)絡(luò)系統(tǒng)與信息安全管理體系方面進(jìn)行過(guò)較長(zhǎng)時(shí)間的研究。endprint