将信息安全指标纳入企业绩效考核的有效性分析

　1 引言
　　经过近几年的发展，中国铁建股份有限公司（以下简称中国铁建）的信息化工作全面展开，众多信息化项目的实施，大量信息系统的上线应用，有力地促进了企业核心竞争力的提升。
　　随着信息系统不断建成与投入应用，信息资源拥有量快速增长，对信息安全的保障需求日显强烈，信息安全管控建设的滞后与日益增长的信息安全需求的矛盾日益突出。中国铁建根据国内外成熟的信息安全标准和方法，结合企业业务发展战略和企业特点，构建符合本公司业务实际和安全需要的信息安全管控体系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等级保护制度作为国家在信息安全保障管理上的根本制度，具有强制性的特征，也要求企业认真加以贯彻落实。
　　在实际工作中利用怎样的手段来保障信息安全管控体系、信息安全等级保护制度得到切实执行，成为亟待需要解决的问题。
　　为此，结合中国铁建所属各单位地域分布广、信息化水平差距大的特点，经过初步探索，将信息安全指标纳入了中国铁建信息化绩效评价体系，与各子分公司领导考核挂钩，从“信息安全事故”和“等级保护”两个维度、四项指标，通过定量对比分析，对各单位的信息安全工作进行评价，以推进信息安全持续改进。
　　2 考核原则
　　（1）公开、公平、公正。严格按照考核细则对被考核单位，在公开、公平、公正的环境中，进行客观的评价。
　　（2）实事求是。被考核单位应如实反映信息安全工作情况，提供的相关资料和数据真实可信。
　　（3）遵循规划、贯彻制度、检查效果、保障安全。考核指标的提出以信息安全规划、制度为依据，重点在信息化建设效果并保障信息安全。
　　（4）区别对待，逐步演进。根据子公司规模、成长阶段、业务特点的不同，区别对待；根据信息安全建设重点，不同年度有不同的考核重点，逐步演进。
　　3 考核指标
　　中国铁建大量的信息系统处于建设时期，因此每年对指标进行调整。目前，根据信息系统等级保护评价指标体系的原则要求， 选择具有可操作性、可以量化的指标，从信息安全事故和信息系统安全等级保护两个维度，信息安全事件、等级保护定级率、等级保护备案率、等级保护测评通过率四项指标进行了考核。
　　3.1 信息安全事件
　　信息安全事件及分级以中国铁建《信息安全事件管理规定》定义为准。信息安全事件分为特别重大事件（I级）、重大事件（Ⅱ级）和一般事件（Ⅲ级）三个级别。
　　指标要点
　　（1）信息系统安全事件级别的确定。从类别划分，信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施安全功能故障、灾害性事件等五种；从级别划分，信息安全事件分为特别重大事件（I级）、重大事件（Ⅱ级）和一般事件（Ⅲ级）三个级别。
　　（2）信息安全事件的瞒报。对于发生信息安全事件后，隐瞒事故，在规定时限内不主动向上级部门如实报告的情况，除扣除其该项考核成绩外，按照股份公司有关规定进行通报并严肃处理；对多次发生信息安全事件的单位，将加强监督检查，并责令其彻底整改。
　　3.2 等保定级率
　　考核年度在建至验收投入应用各阶段的信息系统与历年上报的定级报告不重复累计数之比。
　　指标要点
　　（1）信息系统定级准确性。部分单位认为信息系统定级级别越高，就要花费更多的资金、精力，加重单位负担，因此将基础信息网络、门户网站、邮件、财务等重要信息系统定为一级，以逃避备案、测评。
　　针对这种情况，股份公司按照《信息系统安全等级保护区域划分原则与定级指南》，对信息系统定级进行规范，并对定为一级、二级的信息系统进行重点检查，避免定级不准确。
　　（2）信息系统数量准确性。部分单位在实施等保工作时，上报的信息系统数量小于实际建设数量。因此，在实际操作中，本考核项的分母“信息系统数”以该单位编制信息化项目预算时上报的信息系统数量为准。
　　（3）需提供加盖本单位公章的《定级报告》扫描件。
　　3.3 等保备案率
　　考核年度在建至验收投入应用各阶段的信息系统数与历年上报的备案证书不重复累计数之比。
　　指标要点
　　（1）备案公安机关的选择。针对部分单位未根据国家法律法规选择合适公安机关备案的情况，股份公司在发布的《信息系统安全等级保护管理办法》中规定：股份公司统建系统，三级及以上系统向公安部网络安全保卫局备案、二级系统向北京市公安局铁道建筑公安局备案；驻京单位自建信息系统向北京市公安局铁道建筑公安局备案；京外单位自建信息系统向当地市级及以上公安机关备案。
　　（2）等保备案率的确定。等保备案率中的分母“信息系统数”，指的是该单位编制信息化项目预算时上报的信息系统数量，并非已定级的信息系统数量。
　　（3）需提供公安机关出具的《备案证明》扫描件。
　　3.4 等保测评通过率
　　历年上报的定级备案证书不重复累计数与历年测评通过的信息系统不重复累计数之比。
　　指标要点
　　（1）测评报告符合率。为防止部分单位将工作精力侧重于取得测评报告，而忽视了对测评中反映出的安全问题的整改，在实际工作中，重点对测评不符合率较高的信息系统进行抽查，责令单位定期进行整改。
　　（2）需提供合格测评机构出具的加盖测评机构公章的《安全等级测评报告》扫描件。
　　4 考核权重
　4.1 信息安全事件
　　附加分项，最高减K分。出现一次I级信息安全事件、减K分；出现一次级信息安全事件、减K/2分，最多减K分。
　　4.2 等保定级率
　　基本分项，满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A，历年上报的定级报告不重复累计数为B，定级率M=B/A，平均定级率∑M=∑B/∑A。定级率得分S=min{（M/∑M）×K，K}。
　　4.3 等保备案率
　　基本分项，满分K分。考核年度在建至验收投入应用各阶段的信息系统数为A，历年上报的备案证书不重复累计数为C，备案率M=C/A，平均备案率∑M=∑C/∑A。备案率得分S=min{（M/∑M）×K，K}。
　　4.4 等保通过率
　　基本分项，满分K分。历年上报的定级备案证书不重复累计数为C，历年测评通过的信息系统不重复累计数为D，测评通 过率M=D/C，平均测评通过率∑M=∑D/∑C。测评通过率得分S=min{（M/∑M）×K，K}。
　　5 指标计算
　　考核指标项分基本分项、附加分项两类。以本单位基本分项满分（Ai）为基数，用实际得分（Bi）计算其得分率（Mi=Bi/Ai），除以最高得分率（Mmax），再乘以信息安全工作绩效指标分（C），即为信息安全工作考核实际得分（Si=C×Mi/Mmax）。
　　6 结束语
　　本文对中国铁建将信息安全指标纳入信息化绩效评价体系进行了概述， 提出了综合评价的方法，希望能借以推进本企业信息安全工作的开展，提高信息系统的安全性，并切实将国家法律法规落到实处。从实际执行效果看，已经取得了一定的成效。
　　参考文献
　　[1] GB/T 22239—2008，信息系统安全等级保护基本要求.
　　[2] GB 17859-1999，安全等级保护划分准则.
　　[3] GB/T 22240—2008，信息系统安全保护等级定级指南.
　　作者简介：
　　李栋（1984-），男，山东兖州人，山东大学计算机科学与技术专业毕业，本科，工学学士学位，中国铁建股份有限公司信息中心，工程师，中国铁建信息安全管控体系建设项目负责人，从事信息化及信息安全技术与管理工作，对信息网络系统与信息安全管理体系方面进行过较长时间的研究。