第一章 总则
第一条 对信息安全关键岗位进行考核的主要目的在于:通过对各级信息安全关键岗位的实际业绩表现进行衡量和考核,及时发现存在的问题和差距,鞭策各关键岗位的员工更好的履行自己的职责。
第二条 为对各信息安全关键岗位实施有效的考核,需设定一系列关键考核指标及相应的具体目标。关键考核指标的设定是考核关键岗位设置、激励员工向正确方向发展的重要手段,因此信息安全管理部门在每年年初需设定信息安全关键岗位的各项关键考核指标,并以此作为标准在每年年终对信息安全关键岗位进行考核。
第三条 信息安全考核是员工考核指标的一个组成部分,而不是一套独立的考核体系。
第二章 适用范围
第四条 本文件适用于武汉学院聘用的信息中心全体人员。
第三章 内容框架
第五条 信息安全考核实施细则主要分为三个部分:
(一) 信息安全关键岗位考核指标
确定信息安全关键岗位考核的指标内容并就指标的定义、计算方法和适用对象做出说明。
(二) 信息安全关键岗位考核责任制度
明确信息安全关键岗位考核中的责任关系。
(三) 信息安全关键岗位考核流程
建立标准化的信息安全关键岗位考核流程,保障考核工作的有序开展。
第四章 岗位考核指标
第六条 信息安全关键岗位考核指标的具体定义如下表所示:
关键考核指标 |
指标说明 |
考核频度 |
数据来源 |
备注 |
安全制度遵守情况 |
信息安全政策规范遵守执行情况 |
对于信息安全策略与标准中所制定的各项控制措施的遵守执行情况 |
年末考核 |
武汉学院日常安全事务记录、访谈结果或内部审计报告 |
对信息安全政策规范遵守执行情况也可以通过访谈或者内部审计报告获得 |
参加安全培训情况 |
参加安全相关培训时间 |
信息安全管理/技术关键岗位人员参加培训的实际小时数与目标小时数的比率的加权平均 |
年末考核 |
部门员工培训记录 |
安排员工参加培训是领导的责任,因此该指标是用来考核信息系统负责人的 |
参加安全相关培训成绩 |
当员工所参加的安全相关培训时间超过年工作时间的10%时,将员工参加此类培训所取得的成绩取加权平均 |
年末考核 |
部门员工培训记录 |
本考核指标仅当员工所参加的安全相关培训时间超过当年工作时间的10%时有效 |
安全技术指标 |
网络连通率 |
当年网络连通时间与全年时间的比率 |
年末考核 |
网络日志、维护报告 |
|
系统宕机时间 |
当年系统宕机、中断服务的累计时间 |
年末考核 |
系统日志、维护报告 |
正常的系统维护停机时间不包含在本指标中。可根据系统自动产生的日志文件和维护记录统计非正常宕机、中断服务的总时间。 |
注:一个部门或岗位的考核指标数量不宜太多,7-10个指标为最佳。鉴于信息安全考核指标仅仅是员工绩效考核指标体系中的一个部分,信息安全工作也只是某些岗位所负责的工作的一个方面,因此建议指标数量严格控制,各信息安全关键岗位有1-3个指标进行信息安全工作考核即可。
第七条 以下将具体介绍信息安全关键岗位考核指标计算方法:
(一)信息安全政策规范遵守执行情况
该指标的计算需借助如下所示的《信息安全政策规范遵守执行情况考核表》来完成。
信息安全政策规范遵守执行情况考核表
|
|
被考核岗位: |
评定期段: |
(起) |
(止) |
|
主要信息安全政策规范 |
是否违规 |
1 |
重要电子文档的制作过程要责任分明。 |
|
2 |
每个重要文档都必须有主要的负责人,并对负责的文档负有全责。 |
|
3 |
重要文档的合作人员必须清晰界定,并严格划分参与人员的职责。 |
|
4 |
文档的建立过程必须记录下来,并清晰记录每个参与人员的职责和工作情况。 |
|
注:上表中的“主要信息安全政策规范”须由信息中心在年初制定关键考核指标的同时,按照单位信息安全政策与标准,具体列举出在信息安全各关键岗位的职责范围内所必须遵守的所有信息安全政策、规范与标准。具体考核时,则需对照此表并根据各岗位员工的日常表现,计算出各关键岗位员工违反政策规范的总计项数,并进一步计算所违反的政策规范占该岗位总规范数的百分比。
信息安全政策规范遵守执行情况 =1-(被考核岗位违反安全政策规范总计项数/被考核岗位应遵守安全政策规范总计项数)×100%
(二)参加安全相关培训时间
参加安全相关培训时间={∑(各关键岗位人员当年参加培训的实际小时数/各关键岗位人员当年参加培训的目标小时数)}/信息安全管理岗位总人数×100%
(三)参加安全相关培训成绩
参加安全相关培训成绩=∑{(参加本次培训的实际小时数/当年参加培训的总小时数)×本次培训取得的成绩}
(四)网络连通率
网络连通率=(当年网络保持连通的总时间/24×365)×100%
(五)系统宕机时间
系统宕机时间=当年信息系统宕机、中断服务的累计时间
第八条 关键考核指标与信息安全关键岗位的对应关系。所列出的关键考核指标并非适用于每一个信息安全关键岗位,下表中将具体列出关键岗位与关键考核指标之间的对应关系。
关键考核指标 |
信息系统负责人 |
安全管理员 |
资产管理员 |
外部运维人员 |
网络管理员 |
系统管理员 |
数据库管理员 |
信息安全政策规范 遵守执行情况 |
× |
× |
× |
× |
× |
× |
× |
参加安全相关培训时间 |
× |
|
|
|
|
|
|
参加安全相关培训成绩 |
× |
× |
× |
× |
× |
× |
× |
网络连通率 |
|
× |
|
|
× |
× |
|
系统正常运行时间 |
|
× |
|
|
× |
× |
× |
关键岗位考核指标总数 |
3 |
2 |
2 |
4 |
4 |
4 |
2 |
第五章 考核责任制度
第九条 信息安全管理部门的信息安全关键岗位考核指标和具体目标(如各岗位的安全培训小时数、应遵守的信息安全政策规范列表等)由武汉学院负责制定,武汉学院负责审批。
第十条 各信息安全关键岗位的具体考核关系为:
(一) “信息系统负责人”由武汉学院负责考核。
(二) “安全管理员”、“数据库管理员”、“外包运维人员”、“系统管理员”、“网络管理员”、“资产管理员”由“信息系统负责人”负责考核。
第十一条 分支信息管理部门各信息安全关键岗位的具体考核关系为:
(一) “安全管理员”、“数据管理员”、“开发管理员”、“系统管理员”、“网络管理员”、“资产管理员”由“信息系统负责人”负责考核。
第六章 责任惩戒措施
第十二条 针对不同的安全考核指标和安全责任分工,对于考核不通过者,可以采取以下的安全责任惩戒措施:
(一) 信息安全政策规范遵守执行情况不符合且未引起安全事件者,应纳入绩效工资考核,并督促和责令其进行执行;
(二) 因不遵守执行信息安全政策规范而引起安全事件者,视安全事件的影响程度给予当事人通报批评、警告记过或撤销原有职务等处分,具体可参考安全责任惩戒管理制度;
(三) 对于安全培训考核未通过者,应组织再次培训和考核;二次考核依然未通过者应撤销其担任的管理员角色,另用他人。
第七章 岗位考核流程
第十三条 信息安全关键岗位进行考核的具体流程:
1. 在每年年初,各级信息安全管理部门根据当前信息安全管理中存在的、以及上年度信息安全关键岗位考核中发现的问题,制定下级安全管理部门本年度的信息安全关键岗位考核指标以及具体目标,并上报相关部门审批。
2. 在每年年终时,各级信息安全管理部门开展信息安全关键岗位的考核工作。
3. 按照考核关系确定考核方和被考核方。
4. 考核方根据各关键岗位所对应的各项关键考核指标逐项考核被考核方。
第八章 持续改进
第十四条 为了保证本文件的时效性、可行性,必须根据相关审核规定进行评审和修订,修订后重新发布。
第九章 附则
第十五条 本文件由武汉学院负责制定、解释和修改。
第十六条 本文件自发布之日起执行。
官方微信二维码