freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

金融企業信息安全考核體系建設
2018-06-05 15:08:06

安全考核,屬于企業評價體系的一部分,和人力資源、人員激勵等相關性比較大??己嗽掝}也比較大,考核的方式、考核指標、考核結果運用等。資源是有限的,如果給干活的人都發一顆鉆石,無疑工作又快又好的完成了。在資源受限的情況下,如何最大化的激勵團隊與員工,實現安全目標,需要企業安全負責人認真思考的問題,本文做一些探討。

1.評價體系與原則

筆者所經歷過的企業比較重視評價體系與原則。以下是比較贊同的幾個原則。

1.1 評價體系

組織評價體系尊崇“賽馬勝相馬”,不能制勝的能力不是真能力,不能制勝的能力還要訓練,只是白白浪費時間。組織將部門利益和個人利益掛鉤,如果部門因為某個員工的努力獲取了利益,就應該以某種形式反饋為員工利益;如果因某個團隊的努力使部門獲取了利益,也應該以某種形式反饋給團隊,再由團隊以公平的形式反饋給員工。

德、能、勤、績是組織評價員工的四要素,德代表思想品行,能代表能力,勤代表工作表現,績代表績效。比如:這活給錢我干,不給錢我也干,就是德。別人不行,我行,就是能。別人休息了,我拼搏,就是勤。白貓黑貓,抓了老鼠,就是績。我們用人用所長,絕不求全責備,員工和初級管理者主要考核績和勤,中級管理者主要考核績和能,高級管理者主要考核德和能。

績效評估和考核是組織對員工進行評價一般形式。組織的考核是上級、下級、同級(相關者)的多維考核體系,力求真實反映各團隊和員工的綜合績效。團隊層面,通過KPI實現上級的利益訴求,通過互評和協助評分實現同級相關團隊利益訴求,通過員工滿意度實現下級利益訴求??冃Э己瞬粏螁问强冃У脑u估,KPI的考核成績本身就是德、能、勤的函數在概率分布下的結果。滿意度和互評更是第三者對員工德、能、勤的主觀感受。沒有團隊精神的員工,不愛部下的干部,再有能力也不可能在互評和滿意度評估中獲得高分。

KPI考核根據組織戰略,制定各團隊和條線的KPI,并由團隊或條線逐層分解到員工的形式。一線團隊和二線團隊制定不同的考核項,考核標準向一線團隊傾斜。

績效考核結果運用遵循長短期利益結合,現金收入是短期利益,是對于個人價值貢獻回饋體系的一部分,組織提供的做事機會、承擔各重要領域重要任務的信任,是給各位員工提供個人價值提升的機會,屬于長期利益,優秀員工必然會從長期利益中獲得豐厚回饋。即使是短期利益,也是和員工日常工作中完成的每一項工作,每一次重要會議,每一個項目分不開的,合抱之木,生于毫末;九層之臺,起于累土;千里之行,始于足下。日常工作的辛勤積累,才能造就每年的豐碩果實,體驗奮斗帶來的豐收喜悅。

1.2 獎懲機制

組織獎懲遵循兩個原則:獎勵與懲罰并重的原則,組織為每個人提供充分的長期創新動力或制度激勵,同時為每個人提供行為選擇的制度罰單和約束條件,從而建構起獎勵與懲罰并重的有效均衡機制;物質獎懲與精神獎懲相結合的原則,物質獎懲和精神獎懲依據每個人基本物質需求和精神需求,物質獎懲與精神獎懲是雙向強化的方式,各自承擔不同的功能,組織要充分利用好人的趨利主義動機和精神主義作用。

1.3 干部選拔機制

組織干部選拔原則:擇優和奮斗,擇優包括品德、績效、能力、貢獻、合作、責任,奮斗包括額外工作時間的投入。我們不單純任人唯賢,也任人唯親,親不是指血緣關系,而是指是否認同我們的組織文化。組織會創造多種機會便于人才的脫穎而出,包括虛擬條線、輪崗鍛煉、跨界學習等。

1.4 管理者的權利和義務

管理者具有本條線人力資源管理職責,各級管理者有責任記錄、指導、支持、激勵與評價下屬員工的工作,負有幫助下屬員工成長的責任,下屬優秀員工的數量和質量是管理者績效的重要指標。

2. 考核對象

安全考核分成對團隊和個人的考核兩部分。

2.1 團隊考核

2.1.1 總部IT部門

企業內部一般由人力資源部(或薪酬績效委員會)負責整個企業內部的考核體系、考核標準,以及每年下達各部門的績效目標書??偛縄T部門的績效目標書通常會包含信息安全考核指標(沒有的話,說明安全非常非常不受重視,可以考慮換公司了),考核權重從5%到20%,一般不會超過20%。信息安全考核內容包括:

安全事件數。有的也稱為:安全運行率,屬于結果指標。主要考核一年內安全防護情況,通俗的講就是不出事。該指標也代表風險偏好和容忍度。根據企業的實際情況不同,有的企業愿意安全投入少一點,能適當容忍一些安全事件發生。有的企業要求比較高,投入大,不太能容忍安全事件,甚至不接受發生安全事件的結果。注意安全事件數要看是否區分原因,比如安全事件數的計算是指因IT部門管理失職導致的,還是不區分原因,只要公司發生安全事件就算。實際中還是區分原因的比較合理。

合規率。結果指標。這個指標一般指監管標準達標率(內規承接外規比例),制度建設完備情況,以及合規報送合格率(及時率、差錯率)等,反映的是監管合規工作質量。

安全建設項目完成率。過程指標。這個指標指IT部門每年的建設項目中,安全項目建設完成情況。

扣分項。結果指標。主要是公司內控合規、稽核審計部門,在內外部安全檢查、安全審計中發現問題的扣分。

通常情況下,總部IT部門考核會分解成細項指標,由總部IT部門安全團隊和非安全團隊承接,安全團隊承接的比重不超過20%,通常是結果指標和過程指標相結合的方式

2.1.2 總部非IT部門

總部非IT部門,包括業務部門和職能部門,除風控部門外,通常沒有信息安全考核指標,主要是發生安全事件,責任歸屬于上述部門的,實行扣分機制。比如發現非IT部門員工泄露客戶資料數據,需要對該員工所在部門進行安全考核扣分處罰,嚴重的甚至進行內部問責。

2.1.3 分支機構IT部門(或有)

金融企業一般會有總部和分支機構。分支機構不一定會有IT部門,所以是“或有”。分支機構IT部門(或有)信息安全考核,和總部IT部門類似,考核結果指標和過程指標。

2.1.4 分支機構非IT部門(或有)

和總部機構非IT部門考核類似。

2.2 個人考核

2.2.1 公司安全負責人

公司安全負責人,有的企業設有專人,首席安全官(以下簡稱“CSO”)。大部分金融企業都沒有CSO崗位(預計未來5-10年內會迎來爆發),一般由總行行長,公司總裁,公司分管IT領導兼任。公司安全負責人的考核已經由《網絡安全法》明確規定了^_^?!毒W絡安全法》第三十四條規定:關鍵信息基礎設施的運營者還應當履行下列安全保護義務:設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查。第七十四條規定:違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

2.2.2 總部IT部門負責人

總部IT部門負責人的考核是360度綜合評分,部門負責人的考核是比較復雜的方式,信息安全考核和運維考核一樣,屬于底線考核(不能出事),但考核的主要權重在于IT對業務發展的支撐,IT引領業務發展等方面。

2.2.3 總部IT部門安全團隊負責人

在公司高管層、部門總經理那,安全考核只有一個指標,別出事情,出了事情等著背鍋。說白了就是要對結果負責,所以我們的考核設計,無論是對其他團隊的安全考核,還是對安全團隊考核,就是結果指標要占到考核的50%以上。比如對平行團隊考核,就兩個指標,風險發現、安全合規要求落實。風險發現包括漏洞和事件,內外審計發現,安全合規要求落實就是安全部門部署工作的完成情況,簡單有效。安全團隊考核兩類指標,安全事件數和安全建設工作完成率,IT部門內平行各團隊對自己的安全結果負責,安全團隊對整個部門的安全結果負責,承擔整個部門安全事件數考核。安全建設包括安全項目、安全合規、安全宣傳等工作,也都是承諾具體指標數據的。具體指標包括:

(1)安全事件數;

(2)安全建設完成情況;

(3)其他指標,包括安全團隊人才培養、團隊企業文化建設、安全團隊滿意度等。

2.2.4 總部IT部門安全團隊成員

在我經歷過的安全團隊,一般考核安全團隊成員以下內容:安全性、安全建設重點項目、督辦事項、技術創新、常態化工作、人才成長、滿意度。(具體內容見3.3 個人考核)

2.2.5 分支機構IT部門負責人(或有)

負責承接總部下達的本分支機構安全考核任務完成。

2.2.6 分支機構IT部門安全團隊負責人(或有)

負責承接分支機構IT部門負責人安排的本分支機構安全考核任務目標完成。

2.2.7 公司員工

公司員工主要承擔安全職責,沒有安全考核。安全職責主要是保守公司秘密,保護公司分配的賬戶密碼、雙因素動態令牌Token卡等重要敏感信息。一把屬于出事后的責任追究范疇。

綜上所述,信息安全考核的重點是:總部IT部門安全團隊和非安全團隊、總部IT部門安全團隊負責人和成員四部分。下面分別探討面向總部IT部門安全團隊和非安全團隊的考核方案。

3.考核方案

團隊考核最重要的是兩部分:總部IT部門安全團隊和非安全團隊。個人考核最重要的是總部IT部門安全團隊負責人和安全團隊成員。

3.1 總部IT部門安全團隊

3.1.1 考核內容

(1)結果項

包括安全事件數量,信息系統漏洞整改率等結果指標。

安全事件數量包括全年由行業監管部門通報、且安全團隊未主動發現的高、中危安全事件數量。安全事件類型包括:應用系統漏洞、直接獲取重要系統權限、敏感信息泄露等。

信息系統漏洞整改率,指所有內外部發現的信息系統高中危漏洞整改修復應大于一定比例。

有關信息安全事件與安全合規不符合項分級定義見附錄5.1《信息安全事件與安全合規不符合項分級定義》

有關信息系統漏洞分級標準示例見附錄5.2《信息系統漏洞分級標準定義》。

(2)過程項

包括安全建設、安全運營、安全檢查、安全意識宣貫、監管合規落實等指標。

(3)加減分項

加分項包括:一是完成各項安全任務的同時,為公司或部門帶來良好聲譽,或避免了安全事件發生;二是按制定計劃提前完成,且質量達到要求,或按計劃完成,質量超預期。減分項包括:一是給公司造成不良影響的,在原有扣分標準上加倍。二是由于主觀原因,未按計劃完成,在原有扣分標準上加倍

3.1.2? 考核周期、考核權重、考核分數

一般是以自然年為考核周期??己藱嘀刂?,結果指標一般占安全團隊至少50%績效。

3.2 總部IT部門非安全團隊(平行團隊)

3.2.1 考核內容

(1)結果項

包括安全事件數量,信息系統漏洞整改率、安全合規檢查風險發現數量等結果指標。安全事件、信息系統漏洞定義和等級劃分見上述標準。安全合規檢查風險發現主要考核安全合規檢查不符合項(含內審、風險評估、安全專項任務等)。


漏洞分級標準:信息系統漏洞風險分級:漏洞級別采用信息安全通用風險定義標準(見附錄5.2),分為嚴重、高危、中危、低危四個級別。漏洞分級綜合考慮了漏洞的危害及實際被利用的難易程度。

漏洞考核標準(漏洞扣分按100分制計算)?

漏洞風險級別
考核標準
S1S2S3S4
嚴重高危中危低危
單個漏洞扣分標準210.60
漏洞修復周期標準137--

漏洞修復時間見下表:?

漏洞風險級別
考核標準
S1S2S3S4
嚴重高危中危低危
單個漏洞扣分標準210.60
漏洞修復周期標準137--

漏洞考核計算方式?

考核計算方式漏洞類別檢測發現修復1周期內修復超過1周期修復超過n周期
發現即考核的漏洞100%減免50%100%100% * n
僅考核修復的漏洞----100%100% * n

說明:

  1. 發現即考核的漏洞:檢測發現時按漏洞等級扣分,在修復周期內修復減免50%;修復時間超過1周期按100%扣分,超過2周期按200%扣分,依次類推。

  2. 僅考核修復的漏洞:檢測發現時不考核,在漏洞等級修復周期內修復不考核;修復時間超過1周期按漏洞風險級別按100%扣分,超過2周期時按200%扣分,依次類推。

  3. 如遇特殊情況,可申請延期修復,審核通過后可獲得最高2個周期的延期。

(2)過程項

安全任務落實情況,正向指標。通過OA流程發起的落實合規監管、安全推動等任務的完成情況,每次任務完成情況綜合評價(時間、質量)。

3.2.2 考核周期、考核權重、考核分數

一般是以自然年為考核周期??己藱嘀匾话阏糏T部門各團隊的5%績效。以百分制計算為5分。

3.3 個人考核

個人考核,主要是制定安全團隊成員的個人考核。一般遵循幾個原則:

(1)結果第一,過程也是為結果服務,能力必須通過結果體現。

(2)職責和職級匹配,如果一個員工是10萬薪酬的職級,卻和20萬,30萬員工的職責相同,放在同一級別池子里考核,這是不公平的。薪酬高的員工,就應承擔同等薪酬的職責和績效考核。如果是骨干員工,發展對象,除了上述職責職級匹配外,還需要額外付出。

(3)建設性、事務性工作結合,工作和學習結合,多維度考核。

在上述原則指導下,每年會和員工溝通,確定績效考核年度目標,包含:安全性(30%)、安全建設重點項目(30%)、督辦事項(5%)、技術創新(10%)、常態化工作(5%)、人才成長(10%)、滿意度(10%)。

安全性,和整個安全團隊安全事件數量等安全結果指標掛鉤,同時和該員工負責的領域的安全結果掛鉤。

安全建設重點項目,項目來自于前一年修訂的安全三年規劃,以及實際中爆發的安全威脅。每人承擔2-3項安全重點建設項目??己藭r兼顧項目完成質量、取得的收益(效率提升,還是安全管控質量提升等)、獲得部門認可等。

技術創新,激勵安全團隊員工進行新技術跟蹤、研究報告撰寫和分享,新技術測試和引入等,哪怕是開展一次有質量的頭腦風暴和組織一次有效果的安全活動,都轉換成技術創新積分,獲得技術創新績效。

督辦事項:大部分工作在年初制定績效考核目標時能確定,但總是會臨時出現一些工作,比如檢查配合、應急處置等。這部分工作放入督辦事項中考核。

常態化工作:安全工作中有很多常態化工作,每位安全團隊成員都應承擔一部分常態化工作,比如日常報表、安全事件日例會等,常態化工作主要考核差錯情況。

人才成長:除了工作,還要督促團隊成員參加各類培訓,考取各類認證,以及看書學習。企業安全建設的安全人員,容易脫離實戰,因此定期參加攻防對抗的培訓,考取諸如CEH等實戰類的認證,對安全團隊成員發展有利,同時還應鼓勵團隊成員提升非安全技能的軟性技能,比如溝通、邏輯、表達、戰略、規劃等方面能力,督促員工多看書多學習。

滿意度:團隊協作、溝通配合等方面的考核放入滿意度,滿意度是考核的一個維度,也是員工專業性、協作、態度等多方面的綜合表現。

3.4 一些細節

3.4.1 考核Tips

實際安全考核中有幾個小的注意點。

(1)防止惡性競爭,比如有的考核項是計算數量的,要設置一個數量上限,防范惡性競爭的問題。比如設置了一個安全知識庫數量的考核,要同時設置一個數量上限,比如以團隊為考核單位,最多2條,超過2條即可拿滿分,否則容易造成各團隊惡性競爭。

(2)大小團隊規模不均帶來的公平性問題,漏洞考核時一般會給各團隊漏洞數量豁免,豁免數量要考慮大小團隊規模,維護的系統數量等實際情況,不能一刀切。

3.4.2? 防止秋后算賬

考核是手段,而非目的??己说哪康氖窍Mㄟ^考核,促進各團隊的安全規則落地。因此在發生安全事件,出現安全漏洞,不合規情況時,要立即進行考核通報,防止年終一次性計算,要即時結賬,不要秋后算賬的另一好處是,落后的團隊看到排名和不好的結果,還可以努力補救,這也達到了考核的目的。

3.4.3 5%實現100%的效果

安全考核對平行團隊考核雖然只有5%,但要發揮出100%的效果。這需要整個考核體系的支持和配合。在我經歷過的企業中,就可以達到這個效果,因為強制排名。每個團隊是強制排名的,也就是即時只比前一名的團隊少0.1的得分,但因為是強制排名,最終可能獲得的優秀指標就會少50%,從而每個團隊對每0.1分的考核都不敢掉以輕心,5%實現100%的效果。

3.4.4 正向還是負向激勵

多用正向激勵,慎用負向激勵。負向激勵可轉化為正向激勵。有兩種方式轉化:

(1)如果考核在【-X,+Y】區間,那么設置考核分數為【0,X+Y】的效果要比【-X,+Y】好很多。因為【0,X+Y】全部為得分項,屬于正向激勵。

(2)考核完成時間的,在規定時間內完成,要么減免50%扣分,要么增加一倍加分。比如在修復周期內完成修復,漏洞考核減免50%扣分。這樣起到了正向激勵的作用,既督促了大家,也達到了安全考核目標。

4.考核相關

4.1 如何推動工作

職業生涯之初我自己,以及現在做企業安全負責人遇到團隊成員,都或多或少會有一些困惑,怎么說服別人支持自己,以推動安全工作?如果資源是無限的,每個人完成了配合工作,都可以發一枚鉆石,那這個就簡單了,可惜資源是有限的。正因為資源是有限的,因此我們要多喂免費的胡蘿卜。

胡蘿卜,在管理學的范疇中,被引申為有效的賞識和獎勵機制,員工都渴求這種機制的感應和刺激。能力是否得到上司認可,這關系到員工是否要改換門庭——尋找他們能夠得到承認和賞識的更好的職場環境。所以,為了留住卓越的員工,保持中堅力量的穩定,領導者就必須在企業內部營造胡蘿卜文化,吸納人才,并努力使團隊更多地活躍在達觀和愉悅的工作環境中。除了對團隊成員喂胡蘿卜有效,對推動工作相關的任何干系人都有效。關注該領域的參考《24只胡蘿卜的管理》。

在安全建設推動工作中有哪些免費的胡蘿卜呢?表揚、排名、通報、扣分、給榮譽獎項等等都是可行的。

除了上述推動工作方式以外,我個人還喜歡的一點就是跑的勤快一點。人怕見面,樹怕剝皮,為了推動工作,達到想要的目標,找到關鍵干系人,一次不行,兩次,兩次不行再來,多去找幾次,見面談,成功概率很大的。我特別不提倡的就是發郵件、發微信、打電話,和別人談很重要的工作,以及別人拒絕的工作溝通,這種需要硬啃的山頭,一定要拿出自己的誠意,讓別人看到自己的付出和努力,發發郵件、打打電話的方式不可取。

4.2 要不要滿意度

以目前國內企業對安全的認知,安全團隊不太可能獲得好的滿意度。反倒是滿意度高的安全團隊要思考一下,大BOSS會怎么想。我自己的實際經歷來看,滿意度高的團隊績效表現一般都比較平庸甚至較低。滿意度實際是多方維度,平行團隊對你的滿意度和上級對安全團隊的滿意度,以及團隊成員對安全團隊的滿意度,三者都需要考慮。我一般考慮的優先級是上級對安全團隊滿意度>安全團隊成員對安全團隊滿意度>平行團隊對安全團隊滿意度。

上級對安全團隊的滿意度,其實就是安全團隊的價值,安全團隊的績效。得有價值,作出成績,解決問題,才能滿意,這個道理簡單易懂。

安全團隊成員對安全團隊的滿意度,其實很重要。滿意度不高,團隊容易一團散沙,瞬間分崩離析,肯定也不會取得好的安全績效。這就要求安全負責人要研究怎么滿足安全團隊成員的滿意度。我個人的親身體會(包括我自己做員工)是,要讓團隊成員個人價值得到成長提升,能夠通過自己的辛勤勞動獲得體面的收入,同時能夠收獲尊重和認可。價值提升和體面收入,一個是長期收益,一個是短期收益,有眼光的人會優先關注長期收益。我經常和團隊成員溝通,要有危機感,不要有太多優越感。大家可以多想想,如果公司不是只有一個安全團隊,我們如果不是壟斷,我們的用戶會不會買我們的服務?把我們自己放互聯網企業、制造企業,我們會不會適應快節奏、低成本、一切都圍繞有效來開展工作?

平行團隊對安全團隊滿意度,如果安全團隊做出價值,為公司、部門和平行團隊帶來安全保障,我相信有格局的管理者會給出公平的滿意度評價,即使有時候由于各種主觀客觀原因,對安全團隊的打分評價不是很客觀,我倒也覺得能理解。這個滿意度的關鍵還是在于大BOSS怎么看,如果安全團隊做的很糟糕,即使大家給安全團隊滿意度很高,結果也不會好。如果安全團隊做的很好,同時還能影響和照顧平行團隊的訴求,滿意度雖然不一定會很高,但至少不會排名倒數第一,反正我多年來的體會就是,我從倒數第一滿意度努力到倒數第二,就是成功。在成為倒數第一的時候,我并沒有很生氣,至少說明兩點:

  1. 安全管控實實在在,不再是可有可無;

  2. 安全肯定有很大改進提升空間。

接下來的事也挺簡單,和平行團隊溝通,哪些是可以改進優化的改進優化,按這個思路,第二年基本就不會倒數第一了。

4.3 內部問責

有了考核,有了排名、通報,還需不需要內部問責。我的建議是:需要。在安全這個需要認真來不得半點敷衍的領域,規則+檢查是最好的落地方法。約定達成一致的安全規則,強有力的檢查發現違反規則的行為,并進行考核,對于違反紅線的,進行內部問責。內部問責是高壓線。

吳瀚清先生在《白帽子講Web安全》講安全開發流程(SDL)中提到SDL實戰經驗的四條準則,第三條是樹立安全部門的權威、項目必須由安全部門審核完成后才能發布。如果沒有這樣的權威,安全就變成了可有可無的東西。當然,這句話并非絕對,在樹立安全部門權威的同時,安全也可能對業務拖鞋。比如對于不是非常嚴重的問題,在業務時間壓力非常大的情況下,可以考慮事后再進行修補,或者使用臨時方案應對緊急情況。安全最終是需要為業務服務的。

4.4 安全考核,沒有唯一標準答案,在于實踐

我想再強調一遍:安全考核,屬于企業評價體系的一部分。安全考核不可能脫離企業評價體系而單獨存在,而企業評價體系有各種風格,各種實際情況,和企業的文化、風格、所屬行業等因素皆相關,因此安全考核注定沒有一份唯一的標準答案,但堅持實踐一定會得到你想要的最好答案,路徑是日拱一卒。這也是我一直關注和致力于推動的企業安全建設實踐系列話題,本文也如此。

5. 附錄

5.1 信息安全事件與安全合規不符合項分級定義(示例,供參考)

5.1.1 安全事件信息安全事件分級:包括重大事件、較大事件、一般事件三級:

(1)重大事件

  • 被行業監管部門、公司內控部門通報或批評;

  • 被行業權威部門發現系統漏洞或風險(中證信息、公共漏洞平臺),且存在重大隱患或已造成重大損失;

  • 行業《信息安全事件報告及調查處理辦法》中定義的特別重大事件、重大事件;

  • 安全檢測(內部、外部)中發現的因違反安全管理規范或開發規范等相關要求,產生的重大安全隱患或高風險系統漏洞。

?

(2)較大事件

  • 被外部單位發現系統漏洞或風險,且存在較大隱患;

  • 行業《信息安全事件報告及調查處理辦法》中定義的較大事件;

  • 安全檢測(內部、外部)中發現的因違反安全管理規范或開發規范等相關要求,產生的較大安全隱患或中風險系統漏洞。

(3) 一般事件

  • 部門內部通報;

  • 行業《信息安全事件報告及調查處理辦法》中定義的一般事件;

  • 安全檢測(內部、外部)中發現的因違反安全管理規范或開發規范等相關要求,產生的一般安全隱患。

5.1.2 安全合規檢查不符合項(含內審、風險評估等)分級(示例,供參考)

按不符合項對應標準的相關級別分為嚴重、一般、輕微三級。

(1)嚴重不符合

  • 不符合監管部門發布的相關制度、辦法及指引中操作類要求;

  • 不符合公司發布的相關制度、辦法中相關要求;

  • 不符合安全規范要求,且存在重大隱患;

(2)一般不符合

  • 不符合公司發布的各類操作指引、技術規范;

  • 不符合安全規范要求,且存在較大隱患;

(3)輕微不符合

  • 不符合部門發布的各類細則、指引、規范;

  • 不符合部門內部安全管理要求。

5.2 信息系統漏洞分級標準定義(示例,供參考)

金融企業信息安全考核體系建設-5.jpg


?—————————————-我是分割線—————————————–

利用工作生活之余的閑暇時間,我維護了“君哥的體歷”公眾號和“金融業企業安全建設”微信群(有興趣加入的企業安全負責人,請關注微信公眾號“君哥的體歷”,后臺留言,微信號+公司名稱,驗證身份后入群),將我從業十余年的一些體驗和經歷分享出來,純粹是自己人生迷??床磺宸较驎r的一種堅持,堅持沉淀分享,哪怕不知目標在何方。這過程中,會有欣賞、感謝,也會有抱怨、想法……?

這種分享,我理解為也是一種“開源”精神,代碼和項目開源很常見,體驗和經歷開源不多見,尤其是比較體系化的將如何在企業做安全建設的思路和實踐開源,需要自己靜下心來歸納總結提煉,在平常繁重的工作任務和需要全身心投入陪伴倆娃的同時,要做好“企業安全建設”這個開源項目,難度和挑戰更大。過程中,有西湖愜意的微風,也有沙漠般的烈日當頭。不忘初心,方得始終。初心易得,始終難守。


微信識別下面二維碼,和我交流


微信.JPG


贊賞是認同或肯定,更是鼓勵更多原創分享

微信識別贊賞碼


贊賞碼.JPG


本文作者:, 轉載請注明來自FreeBuf.COM

# 企業安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网