董亦兵 张林山

(中国人民银行清算总中心，北京 100048)

1 引 言

信息安全绩效管理是组织信息安全的重要管理手段之一，设计出良好的测量指标体系是业内热点问题。本文基于一般绩效管理流程的基础上，结合信息安全相关国际国内标准，设计信息安全绩效测量体系的流程和方法，并结合实例介绍设计步骤，在信息安全管理实际工作过程中为读者提供参考。

2 信息安全绩效管理概述

2.1 信息安全绩效管理

在组织层面，绩效管理涉及组织的所有部门或领域绩效，包括经营绩效、财务绩效、人事绩效、IT绩效等。IT绩效按照管理领域划分，又包括IT项目绩效、IT开发质量绩效、运维绩效、信息安全绩效等。信息安全绩效是组织IT绩效的重要组成部分，由于发生信息安全事件对组织经营、财务、声誉等产生较大影响，甚至会引发客户对组织的信任危机，危及企业的生存，通常占信息IT部门整体绩效较大比重,其关系如图1所示。

图1 绩效管理与信息安全绩效管理的关系Fig.1 The relationship between performance management and information security performance management

在国家层面，信息安全已经成为国家安全的一部分，当代国家安全包括11个方面的基本内容，即国民安全、领土安全、主权安全、政治安全、军事安全、经济安全、文化安全、科技安全、生态安全、信息安全和核安全。越来越多的行业监管部门要求将信息安全绩效纳入对高级管理层的考核，甚至信息安全绩效考核不合格，对晋升、薪资调整等一票否决，严重时需要追究领导责任。2016年12月9日，中共中央国务院发布了《关于推进安全生产领域改革发展的意见》，提出了“党政同责、一岗双责、齐抓共管、失职追责”的要求。这是新中国成立以来第一个以党中央、国务院名义出台的安全生产工作的纲领性文件。文件提出的一系列改革举措和任务要求，为当前和今后一个时期我国安全生产领域的改革发展指明了方向和路径。2019年3月1日国务院国资委发布《中央企业负责人经营业绩考核办法》，首次将网络安全纳入中央企业负责人考核内容，涉及对相关责任人的降级、扣分、追责、纪律处分、移送国家监察机关或司法机关的处罚措施。

2.2 信息安全绩效测量体系

绩效测量体系是绩效管理生命周期中“绩效计划制定”的产物，在对组织文化、经营理念、组织管理目标、组织现状和未来发展路线充分理解的基础上，设计的一套绩效测量方法。绩效测量体系通常包括绩效目标、绩效指标、绩效指标责任主体、绩效测量对象、绩效测量方法、绩效测量频率、组织风险容忍度和期望等。

信息安全测量指标设计应当遵照SMART原则[1]，具体包括五条原则:1)S原则：明确性，即测量指标必须是具体的(Specific)；2)M原则：可衡量性，即测量指标必须可衡量的(Measurable)；3)A原则：可实现性，即测量指标必须是可达到的(Attainable)；4)R原则：相关性，即测量指标是要与其他目标具有一定相关性(Relevant)；5)T原则：时限性，即测量指标必须有明确的截止期限(Time-bound)。

信息安全测量指标设计除了遵循SMART原则外，设计过程中还应全面考虑信息安全的管理特点、组织信息安全管理目标、组织架构、团队能力、管理成熟度、组织风险偏好等诸多因素。科学的信息安全测量指标应具有以下特征。

1)风险导向：测量指标应与组织信息安全管理体系保持一致，应能反映管理体系中重要领域、关键环节、主要活动的成熟度和当前组织对风险的承受能力；

2)明确测量方法：所有指标应有明确的测量方法，测量方法尽量采用客观指标，避免主观因素影响测量效果；

3)全面涵盖：测量指标应能覆盖治理层、管理层和执行岗位。测量指标应能覆盖信息安全管理过程、技术管理过程和管理结果。

3 信息安全绩效测量体系设计方法

信息安全绩效测量体系设计流程如图2所示。

图2 信息安全绩效测量体系设计流程Fig.2 Design process of information security performance measurement system

3.1 确定测量目标

信息安全绩效的测量目标是通过定期的测量活动，评价组织信息安全管理目标的达成情况和控制的有效性，信息安全绩效测量目标应与信息安全管理目标保持一致。

设计信息安全绩效测量体系前，组织应建立一套适合自身需要的信息安全管理体系(Information Security Management System，即ISMS)。很多组织按照ISO/IEC 27001:2013标准或其他标准建立信息安全管理体系，本文介绍两种常见的信息安全测量目标框架，并结合这两种目标框架分析信息安全绩效测量体系的设计思路。

3.1.1GB/T22080—2016信息安全管理目标

GB/T 22080—2016是我国国家标准化组织根据ISO/IEC27001:2013制定的国家标准，用于指导组织建立符合ISO/IEC27001:2013的信息安全管理体系，该标准第五章至第十八章列示了35个信息安全控制目标，其目标框架如图3所示[2]。

图3 ISO27001信息安全控制目标Fig.3 Information security control objective

3.1.2GB/T31495.2—2015信息安全测量目标

GB/T 31495.2—2015是信息安全保障指标体系及评价方法的指标体系部分，适用于组织规模较大、信息安全成熟度较高的组织。GB/T 31495.2—2015从信息安全保障的视角，通过十三类指标评价组织信息化建设、运行和安全态势层面评价组织信息安全保障能力[3]，其测量目标框架如图4所示。

3.2 设计绩效指标体系

确定指标体系框架后，就进入绩效指标设计阶段，通过设计具体的绩效指标用于衡量指标框架每个部分的绩效情况。例如GB/T 31495.2—2015一共定义了25个具体指标[3]，其指标体系如图5所示。

图4 信息安全保障指标体系框架Fig.4 Framework of information security assurance indicator system

图5 信息安全保障指标体系Fig.5 Information security assurance indicator system

国际标准化组织根据ISO/IEC27001:2013信息安全管理体系要求，设计了35个测量指标体系，形成了ISO/IEC27004:2016。该35个测量指标主要测量组织是否满足ISO/IEC27001：2013，但并没有反映组织的成熟度、组织风险偏好和容忍度、管理薄弱环节，组织在设计绩效指标时，可结合ISO/IEC27004:2016、GB/T 31495.2—2015和组织自身的情况，设计绩效指标体系。限于篇幅本文并不详细阐述35个指标，读者可以参考ISO/IEC27004:2016。

3.3 设计绩效测量方法

接下来应定义每个指标，包括测量指标基本信息、测度信息、导出测度说明、测量值说明、容忍度和期望等内容。以GB/T 31495.2—2015的ZB10关键IT设备国产化指标为例，其指标设计见表1[3]。

表1 信息安全绩效指标测量体系设计实例Tab.1 An example of information security performance indicator measurement system design测量指标指标名称关键IT设备国产化指标测量目标合规目标,促进组织关键IT设备国产化符合公安部要求测量频率每年1次,第二季度实施测量对象资产登记表属性所采购关键IT设备的国产化情况备注关键IT设备国产化指标主要考察操作系统、数据库、服务器、核心通信设备等的国产率基本测度说明基本测度1)国产设备的采购总额;2)所有设备的采购总额测量方法1)查看国产设备的采购总额;2)查看所有设备的采购总额测量方法类型客观类标度从0到无穷大的整数测量单位万元导出测度说明导出测度—测量函数—测量值说明测量值关键IT设备国产化率分析模型将国产设备的采购总额除以所有设备的采购总额乘以100%决策准则说明决策准则测量值宜大于或等于90%测量结果指标值1)当测量值>90%时,指标ZB10的值为1;2)当测量值≤90%时,指标ZB10的值=测量值/90%

注：本表在GB/T 31495.2—2015基础上，结合作者的设计思路进行了适当调整。

3.4 确定指标责任主体

信息安全是“一把手工程”，责任主体应该包括组织信息安全相关的高级管理层。如果高级管理层对信息安全不重视，信息安全工作很难在组织内部推进实施。信息安全是“三分技术七分管理”，责任主体应包括信息安全管理和信息安全技术相关岗位。信息安全是“全员工程”，责任主体应包括组织全体员工，必要时应涉及第三方人员。

指标设计完成后，应将指标分配给不同的责任主体。根据指标的责任归属将责任分配给治理层、管理层和执行层，每个层级承担不同的责任。因每个组织的架构层级、岗位设计、汇报关系不同，分配方法也不尽一样。结合生产安全相关法律法规，可以对责任主体按表2方式划分。

表2 责任主题设计实例Tab.2 An example of responsibility subject design标识责任层级责任类型对应岗位名称■□公司领导主要领导责任信息安全分管领导,如副行长主要领导责任首席信息安全官▲△部门领导直接管理责任开发、测试、运维、建设等部门负责人直接管理责任数据中心、测试中心等中心负责人◆岗位人员直接责任指标相关各责任岗位

以GB/T 31495.2—2015的ZB10关键IT设备国产化指标为例，责任主体矩阵见表3。

3.5 沟通、评审与签发

完成上述四个步骤后，信息安全绩效测量体系基本形成，接下来应与相关部门进行必要的沟通，促使绩效指标责任主体对指标的理解和认同，并取得相关层级领导的批准。

3.6 绩效指标改进

信息安全管理部门应制定绩效改进计划。可以根据相关责任主体对绩效指标的接受程度，视情况进行试运行或直接正式运行，并根据责任主体反馈的情况进行持续改进。

4 结束语

信息安全绩效管理是组织绩效管理的重要组织部分，本文重点研究了信息安全绩效测量体系的设计方法，分享设计经验。本文并未对信息安全绩效管理的生命周期的其他环节进行阐述。读者可结合自身组织的情况设计信息安全绩效测量体系。基于批准的信息安全绩效测量体系，绩效管理部门日常应对责任主体实施绩效辅导和沟通，定期实施绩效考评，并将考评结果集成到组织的绩效管理体系中，与奖惩、晋升、加薪等挂钩，形成闭环并持续改进，绩效测量体系才能发挥作用。