第8章 安全考核
8.1 考核评价体系与原则
1.考核评价体系
2.奖惩机制
3.人才选拔机制
4.管理者的权利与义务
8.2 安全考核对象
1.考核团队
信息安全考核内容通常既包括结果指标,又包括过程指标:
1.安全事件数
a) 区分原因
b) 不区分原因
2.合规率
3.安全建设项目完成率
4.扣分项
2.考核个人
8.3 考核方案
8.3.1 考核方案设计原则
1.既要设置过程指标,又要设置结果指标
2.既要设置客观性指标(定量),又要设置主观性指标(定性指标)
3.既要设置衡量安全团队自身工作情况的指标,又要设置衡量其他团队开展安全工作情况的指标
4.既要在安全团队设置安全类考核指标,也要在开发,运维等其他团队设置安全类考核指标
8.3.2 总部IT部门安全团队
考核内容:
1.结果项
2.过程项
3.加减分项
8.3.3 总部IT部门非安全团队(平行团队)
8.3.4 个人考核
个人考核,主要制定安全团队成员的个人考核指标,一般遵循下面的原则:
1.结果第一,过程是为结果服务的,能力必须通过结果体现
2.职责和职级匹配
3.建设性与事务性工作相结合,工作和学习相结合,多维度考核
安全性(30%)
安全建设重点项目(30%)
技术创新(10%)
督办事项(5%)
常态化工作(5%)
个人成长(10%)
满意度(10%)
8.3.5 一些细节
8.4 与考核相关的其他几个问题
1.免费的胡萝卜
2.要不要满意度
3.内部问责
4.安全考核,没有唯一标准答案,在于实践
8.5 安全考核示例