【精彩连载】企业安全建设指南 | 安全架构（八）

---

安小圈

第605期

企业 · 安全建设指南

编者按：

《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著，资深信安专家十余年实战经验的结晶，安全领域多位专家联袂推荐。

本书系统化介绍金融行业中企业信息安全的架构与技术实践，总结了作者在金融行业多年的信息安全实践经验，致力于解决金融企业信息安全“最后一公里”问题，内容丰富，实践性强。

---

第一部分 安全架构

第八章 安全考核

安全考核，属于金融企业整体考核评价体系的一部分。 在企业资源受限的情况下，如何通过安全考核这个指挥棒，最大化地激励团队与员工，实现安全目标，是需要企业安全负责人认真思考的问题。

8.1 考核评价体系与原则

笔者所经历过的金融企业，均比较重视考核评价体系与奖惩机制、人才选拔机制以及管理者在考核中的作用。

考核评价体系

金融企业的考核评价体系尊崇“赛马胜相马”，应该让员工在实际的工作岗位中竞争，通过考核，选出最终脱颖而出的人才。

德、能、勤、绩是企业评价员工的四要素，德代表思想品行，能代表能力，勤代表工作表现，绩代表绩效。比如，这活给钱我干，不给钱我也干，就是德；别人不行，我行，就是能；别人休息了，我拼搏，就是勤；白猫黑猫，抓了老鼠，就是绩。我们用人所长，绝不求全责备，普通员工和初级管理者主要考核绩和勤，中级管理者主要考核绩和能，高级管理者主要考核德和能。

金融企业通常采用绩效评估和考核，实现对员工德、能、勤、绩的整体评价。考核是上级、下级、 同级（相关者）的多维考核体系，力求真实反映各团队和员工的综合绩效。 KPI 考核是常见的一种考核方式，通常根据组织战略，制定各团队和条线的 KPI ，再由团队或条线逐层分解到员工 KPI 。 但 KPI 通常与其他的评分结合使用，例如，通过 KPI 和上级打分可以实现上级的利益诉求，通过互评和协助评分可以实现同级相关团队利益诉求，通过员工满意度评分可以实现下级利益诉求。 KPI 的考核成绩可以说就是德、 能、勤的函数在概率分布下的结果，上级打分、同级互评和员工满意度是第三者对员工德、能、勤的主观感受。 没有团队精神的员工，不爱部下的领导，再有能力也不可能在互评和满意度评估中获得高分，因此也不可能在综合评分中达到高分。

绩效考核结果运用遵循长短期利益相结合的原则：现金收入是短期利益，是个人价值贡献回馈体系的一部分；企业提供的承担重要领域、重要任务的机会，以及因此而让员工实现的个人价值提升，属于长期利益，优秀员工必然会从长期利益中获得丰厚回馈。不管是长期还是短期利益，都是和员工日常工作中完成的每一项工作、每一次重要会议、每一个项目分不开的，只有日常工作的辛勤积累，才能造就每年的丰硕果实，体验奋斗带来的丰收喜悦。

企业应该将部门利益和个人利益挂钩，如果部门因为某个员工的努力获取了利益，就应该以某种形式反馈为员工利益；如果因某个团队的努力使部门获取了利益，也应该以某种形式反馈给团队，再由团队以公平的形式反馈给员工。

奖惩机制

企业的奖惩机制遵循以下原则：

一是奖励与惩罚并重的原则。企业为每个人提供充分的长期创新动力或制度激励，同时，为每个人提供行为选择的制度罚单和约束条件，从而构建起奖励与惩罚并重的有效均衡机制；

二是物质奖惩与精神奖惩相结合的原则。物质奖惩和精神奖惩分别针对每个人的基本物质需求和精神需求，是双向强化的方式，各自承担不同的功能，要充分利用好人的趋利主义动机和精神主义作用。

人才选拔机制

企业的人才选拔原则为：择优和奋斗。择优包括品德、绩效、能力、贡献、合作、责任；奋斗包括额外工作时间的投入。我们不单纯任人唯贤，也任人唯“亲”，这里的“亲”不是指血缘关系，而是指是否认同我们的企业文化。企业应当创造多种机会以便于人才的脱颖而出，包括虚拟条线、轮岗锻炼、跨界学习等。

管理者的权利和义务

管理者具有本条线人力资源管理职责，各级管理者有责任记录、指导、支持、激励与评价下属员工的工作，负有帮助下属员工成长的责任，下属优秀员工的数量和质量是管理者绩效的重要指标。

8.2 安全考核对象

作为企业考核体系中的一个分支，安全考核分为团队考核和个人考核两部分，具体如图8-1所示。

团队考核

（1）总部IT部门

企业内部一般由人力资源部（或薪酬绩效委员会）负责整个企业内部的考核体系、考核标准，以及每年下达各部门的绩效目标书。总部IT部门的绩效目标书通常会包含信息安全考核指标，考核权重为 5%~20% ，一般不会超过 20% 。 信息安全考核内容通常既包括结果指标，又包括过程指标。 典型的指标包括：

·安全事件数（有的也称为安全运行率），属于结果指标。这个指标主要考核一年内安全防护情况，通俗讲就是不出事。该指标也代表风险偏好和容忍度。根据企业的实际情况不同，有的企业愿意安全投入少一点，能适当容忍一些安全事件发生。有的企业要求比较高，投入大，不太能容忍安全事件，甚至不接受发生安全事件的结果。安全事件数的考核，又分两类，一类是区分原因，比如安全事件数只计算因IT部门管理失职导致的；另一类是不区分原因，只要公司发生安全事件就计算在内。实际中还是区分原因的指标比较合理。

图8-1企业安全考核分支图

·合规率，属于结果指标。这个指标一般指监管标准达标率(内规承接外规比例),制度建设完备情况，以及合规报送合格率(及时率、差错率)等，反映的是监管合规工作质量。

·安全建设项目完成率，属于过程指标。这个指标指IT部门每年的建设项目中，安全项目建设完成情况。

·扣分项，属于结果指标。主要是公司内控合规、稽核审计部门，在内外部安全检查、安全审计中发现问题的扣分。

通常情况下，总部IT部门考核会分解成细项指标，由总部IT部门安全团队和非安全团队承接，安全团队承接的比重不超过20%。

(2)总部非IT部门

总部非IT部门，包括业务部门和职能部门，除风控部门外，通常没有信息安全考核指标，只有在发生安全事件，责任归属于上述部门时，才通过扣分机制进行考核。比如，发现非IT部门员工泄露客户资料数据，需要对该员工所在部门进行安全考核扣分处罚，严重的甚至进行内部问责。

（3）分支机构IT部门（或有）

金融企业一般会有总部和分支机构。分支机构不一定会有IT部门，所以是“或有”。分支机构IT部门（或有）信息安全考核，和总部IT部门类似，分为结果指标和过程指标。

（4）分支机构非IT部门（或有）

分支机构非IT部门的考核，通常和总部机构非IT部门考核类似，主要在安全事件发生且定责为本部门时列入扣分项。

个人考核

（1）企业安全负责人

有的企业设有专人担任企业安全负责人，即首席安全官（ChiefSecurityOfticer，CSO）。目前大部分金融企业都没有独立的CSO岗位（预计未来5~10年会迎来爆发），一般由总行行长、公司总裁或者公司分管IT领导兼任。企业安全负责人的“终极”考核，是由《网络安全法》明确规定的。《网络安全法》第三十四条规定，“关键信息基础设施的运营者还应当履行下列安全保护义务：设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查”，第七十四条规定，“违反本法规定， 构成违反治安管理行为的，依法给予治安管理处罚； 构成犯罪的，依法追究刑事责任 ” 。 可见企业安全负责人承担着多么重大的责任。

（2）总部IT部门负责人

总部IT部门负责人的考核是360度综合评分，考核通常采用比较复杂的方式，主要权重还是在于IT对业务发展的支撑、IT引领业务发展等方面。信息安全考核和运维考核一样，属于底线考核（不能出 事）。

（3）总部IT部门安全团队负责人

在企业高管层、部门总经理的层面，安全考核都只有一个指标—别出事情，出了事情等着“背锅”，说白了就是要对结果负责。所以考核设计中，无论是对部门内其他团队的安全考核，还是对安全团队的 考核，结果指标都要占到考核的 50% 以上。

例如，对其他团队考核，就两个指标—风险发现和安全合规要求落实，简单有效。其中风险发现包括漏洞和事件、内外部审计发现等；安全合规要求落实是指安全部门部署工作的完成情况。

安全团队考核两类指标—安全事件数和安全建设工作完成率。安全事件数应该包括整个部门的安全事件数，因为IT部门内其他团队对自己的安全结果负责，安全团队对整个部门的安全结果负责。安全建设包括安全项目、安全合规、安全宣传等工作，也都是承诺具体指标数据的。当然，对于一个团队负责人来说，还应该承担其他指标，例如，安全团队人才培养、团队企业文化建设、安全团队满意度等。

（4）总部IT部门安全团队成员

对于安全团队成员一般考核以下指标：安全性、安全建设重点项目、督办事项、技术创新、常态化工作、人才成长、满意度。（具体内容见8.3.4节“个人考核”）

（5）分支机构IT部门负责人（或有）

负责承接总部下达的本分支机构安全考核任务完成。

（6）分支机构IT部门安全团队负责人（或有）

负责承接分支机构IT部门负责人安排的本分支机构安全考核任务目标完成。

（7）企业其他员工

企业其他员工主要承担安全职责，没有安全考核。安全职责主要是保守公司秘密，保护公司分配的账户密码、双因素动态令牌Token卡等重要敏感信息。一般属于出事后的责任追究范畴。

综上所述，信息安全考核的重点是总部IT部门安全团队、总部IT部门非安全团队、总部IT部门安全团队负责人、总部IT部门安全团队成员四部分。下面分别探讨面向总部IT部门安全团队和非安全团队以及个人的考核方案。

8.3 考核方案

团队考核最重要的是两部分：总部IT部门安全团队和总部IT部门非安全团队。个人考核最重要的是总部IT部门安全团队负责人和总部IT部门安全团队成员。

为了促使金融企业安全工作的目标更为清晰和一致，可按以下步骤设置考核方案：

1）根据企业风险防控的要求，确定安全团队的整体绩效指标。

2）将整体绩效指标分解为总部IT部门安全团队和非安全团队的指标。特别是对于安全团队，可分为安全管理和安全技术两个团队各自的绩效指标。最终要确保各个团队的“合力”能满足整体绩效指标要 求。

3）确定各个指标的计算口径、数据收集方式、监测频率等。

8.3.1 考核方案设计原则

既要设置过程指标，又要设置结果指标

过程指标主要衡量做到还是没有做到，因为有些规定动作，不管结果怎样，都必须要做；结果指标主要衡量做得好还是不好。

例如，安全工作计划达成率（每季度开展一次全面的漏洞扫描，每年开展两次渗透测试，互联网应用系统投产前必须开展渗透测试等这些规定动作是否做到位），就是一个常见的过程指标，可以把每年的主要安全工作列出来，规定达成的比例，按比例计分。

再比如，安全整改完成率，是一个结果指标，分子为按时完成的信息安全整改工作数量，分母为所有信息安全整改工作数量。可以设置一定的容忍度，例如完成90%以上就可以得满分，90%以下再按档次计分。

既要设置客观性指标（定量指标），又要设置主观性指标（定性指标）

安全工作，态度决定一切，所以要在客观指标的基础上，补充一些主观指标，衡量工作态度和岗位胜任能力。例如，可以在工作技能、工作主动性、团队意识、执行力、服务态度、学习意愿和学习能 力、工作量、工作质量等方面，设置优、良、中、差等几个等级，由上级给出等级判断和评分。

既要设置衡量安全团队自身工作情况的指标，又要设置衡量其他团队开展安全工作情况的指标

安全工作，大部分其实都不是安全团队自己动手完成的，而是要协调和调动开发、运维等其他团队来完成。所以需要衡量安全事件发生数、主动发现风险数等安全团队直接达成的目标，还要衡量其他团队风险整改率、其他团队违规次数等需要配合才可完成的工作。

既要在安全团队设置安全类考核指标，也要在开发、运维等其他团队设置安全类考核指标

鉴于安全工作是信息安全团队组织其他团队一起达成目标的，所以除了在安全团队建立绩效考核指标外，在其他团队的绩效考核指标中也纳入一两项安全工作相关指标，才有利于工作的开展，有利于促进整个信息科技大团队的眼往一处看、劲往一处使。

在上述总体原则的指导下，便可针对各类团队和个人，设置不同的考核方案。

8.3.2 总部IT部门安全团队

考核内容

（1）结果项

结果项包括安全事件数量、安全合规不符合项、信息系统漏洞整改率等结果指标。

安全事件数量，包括全年由行业监管部门通报且安全团队未主动发现的高、中危安全事件数量。安全事件类型包括：应用系统漏洞、直接获取重要系统权限、敏感信息泄露等。

安全合规不符合项，是指安全合规检查不符合项（含内审、风险评估、安全专项任务等）以及合规安全任务未落实情况。

信息系统漏洞整改率，所有内外部发现的信息系统高、中危漏洞整改修复应大于一定比例。有关信息安全事件与安全合规不符合项分级定义见8.5节。

有关信息系统漏洞分级标准示例见表8-3“信息系统漏洞分级标准”。

（2）过程项

过程项包括安全建设、安全运营、安全检查、安全意识宣贯、监管合规落实等指标。

（3）加减分项

加分项包括：在完成各项安全任务的同时，为公司或部门带来良好声誉，或避免了安全事件发生；按计划提前完成且质量达到要求，或按计划完成且质量超预期。

减分项包括：给公司造成不良影响的，在原有扣分标准上加倍；由于主观原因，未按计划完成，在原有扣分标准上加倍。

考核周期、考核权重、考核分

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重中，结果指标一般至少占安全团队绩效的50%，以百分制计算为50分。

有关考核的一些具体定量和定性指标设置，详见8.5节。

8.3.3 总部IT部门非安全团队(平行团队)

考核内容

(1)结果项

结果项包括安全事件数量，信息系统漏洞整改率、安全合规检查风险发现数量等结果指标。安全合规检查风险发现主要考核安全合规检查不符合项(含内审、风险评估、安全专项任务等)。

信息系统漏洞风险分级：漏洞级别采用信息安全通用风险定义标准(见表8-3),分为严重、高危、中危、低危四个级别。漏洞分级综合考虑了漏洞的危害及实际被利用的难易程度。

漏洞考核标准(漏洞扣分按100分制计算)如表8-1所示。

表8-1漏洞考核标准

漏洞考核计算方式如表8-2所示。

表8-2漏洞考核计算

在表8-2中：

·发现即考核的漏洞，检测发现时按漏洞等级扣分，在修复周期内修复减免50%;修复时间超过1周期按100%扣分，超过2周期按200%扣分，以此类推。

·仅考核修复的漏洞，检测发现时不考核，在漏洞等级修复周期内修复不考核；修复时间超过1周期按 漏洞风险级别按100%扣分，超过2周期时按200%扣分，以此类推。

·如遇特殊情况，可申请延期修复，审核通过后可获得最高2个周期的延期。

（2）过程项

过程项包括安全任务落实情况（正向指标），通过OA流程发起的落实合规监管、安全推动等任务的完成情况，每次任务完成情况的综合评价（时间、质量）。

考核周期、考核权重、考核分数

考虑到考核工作本身占用的工作量比较大，考核频度通常以季度为宜。考核权重一般占IT部门各团队的5%~10%绩效，以百分制计算为5~10分。

8.3.4 个人考核

个人考核，主要是制订安全团队成员的个人考核指标。一般遵循以下原则：

·结果第一，过程是为结果服务的，能力必须通过结果体现。

·职责和职级匹配，如果一个员工是10万薪酬的职级，却和20万、30万薪酬的员工的职责相同，放在同一级别池子里考核，这是不公平的。薪酬高的员工，就应承担与薪酬匹配的职责和绩效考核。如果是骨干员工、发展对象，除了上述职责职级匹配外，还需要额外付出。

·建设性与事务性工作相结合，工作和学习相结合，多维度考核。

在上述原则指导下，每年会和员工沟通，确定绩效考核年度目标，包含安全性（30%）、安全建设重点项目（30%）、技术创新（10%）、督办事项（5%）、常态化工作（5%）、人才成长（10%）、满意度（10%）。此外，还可以设置上级的主观性评分。

·安全性，和整个安全团队安全事件数量等安全结果指标挂钩，同时和该员工负责的领域的安全结果挂钩。

·安全建设重点项目，来自于前一年修订的“安全三年规划”，以及实际中爆发的安全威胁。每人承担2~3项安全重点建设项目。考核时兼顾项目完成质量、取得的收益（效率提升，还是安全管控质量提升等）、获得部门认可等。

·技术创新，激励安全团队员工进行新技术跟踪、撰写研究报告并分享，测试新技术并引入等，哪怕是开展一次有质量的头脑风暴和组织一次有效果的安全活动，都转换成技术创新积分，获得技术创新绩效。

·督办事项，大部分工作在年初制订绩效考核目标时能确定，但是总会临时出现一些工作，比如检查配合、应急处置等。这部分工作放入督办事项中考核。

·常态化工作，安全工作中有很多常态化工作，每位安全团队成员都应承担一部分常态化工作，比如日常报表、安全事件日例会等。常态化工作主要考核差错情况。

·人才成长，除了工作，还要督促团队成员参加各类培训，考取各类认证，以及看书学习。企业安全 建设的安全人员，容易脱离实战，因此定期参加攻防对抗的培训，考取诸如CEH等实战类的认证，对安全团队成员发展有利。 同时，还应鼓励团队成员提升非安全技能的软性技能，比如沟通、逻辑、表达、战略、规划等方面能力，督促员工多看书、多学习。

·满意度，在团队协作、沟通配合等方面的考核中放入满意度，满意度是考核的一个维度，也是员工专业性、协作、态度等多方面的综合表现。

·主观性评分，包括执行力、工作技能、工作态度、工作量、工作质量、学习意愿和学习能力、工作主动性等方面的主观评分，通常由上级直接打分。

8.3.5 一些细节

考核注意点

实际安全考核中有几点需要注意：

·防止恶性竞争，比如有的考核项是计算数量的，要设置一个数量上限，防范恶性竞争的问题。比如设置了一个安全知识库数量的考核项，要同时设置一个数量上限，以团队为考核单位，最多2条，超过2条即可拿满分，否则容易造成各团队恶性竞争。

·团队规模不均带来的公平性问题，漏洞考核时一般会给各团队漏洞数量豁免，豁免数量要考虑团队规模、维护的系统数量等实际情况，不能“一刀切”。

防止秋后算账

考核是手段，而非目的。考核的目的是，通过考核，促进各团队的安全规则落地。因此在发生安全事件，出现安全漏洞、不合规情况时，要立即进行考核通报，防止年终一次性计算。要即时结账、不要秋后算账的另一好处是，落后的团队看到排名和不好的结果，还可以努力补救，这也达到了考核的目 的。

利用5%实现100%的效果

安全考核对平行团队考核虽然只有5%，但要发挥出100%的效果。这需要整个考核体系的支持和配合。在笔者经历过的企业中，就可以达到这个效果，因为强制排名。每个团队是强制排名的，也就是说即使只比前一名的团队少0.1分，但因为是强制排名，最终可能获得的优秀指标就会少于50%，从而每个团队对0.1分的考核项都不敢掉以轻心，5%实现100%的效果。

正向还是负向激励

多用正向激励，慎用负向激励。负向激励可转化为正向激励。有两种转化方式：

·如果考核在[-X，+Y]区间，那么设置考核分数为[0，X+Y]的效果要比[-X，+Y]好很多。因为[0，X+Y]全部为得分项，属于正向激励。

·考核在规定时间内完成，要么减免50%扣分，要么增加一倍加分。比如在修复周期内完成修复，漏 洞考核减免50%扣分。这样起到了正向激励的作用，既督促了大家，也达到了安全考核目标。

8.4 与考核相关的其他几个问题

免费的胡萝卜

从职业生涯之初，直到成为企业安全负责人，都或多或少会遇到一些困惑：如何说服别人支持自 己，以推动安全工作？ 如果资源是无限的，每个人完成了工作，都可以得到枚钻石，那就简单了，可惜资源是有限的。 正因为资源是有限的，因此我们要“多喂免费的胡萝卜”。

“胡萝卜”，在管理学的范畴中，引申为有效的赏识和奖励机制，员工都渴求这种机制的感应和刺 激。 能力是否得到上司认可，这关系到员工是否要改换门庭—寻找他们能够得到承认和赏识的更好的职场环境。 所以，为了留住卓越的员工，保持中坚力量的稳定，领导者就必须在企业内部营造胡萝卜文 化，吸纳人才，并努力使团队更多地活跃在达观和愉悦的工作环境中。 喂胡萝卜除了对团队成员有效，对与工作相关的任何干系人都有效。