关于甲方安全绩效的考核指标设定思路
先说一个现实的小笑话:
甲方每到年底围圈考核绩效的时候到了。
开发:我们今年上线了xx核心系统,解决了前段业务xxx问题,获得了前端业务好评……
测试:我们对xx核心系统进行功能和压力测试,发现并解决了xx系统的xx性能瓶颈,有效避免了这些问题对系统的影响
运维:在核心系统运维保障过程中我们的运维SLA达到99.99999999%
安全:日了狗了
信息安全的KPI是非常不好定的一个东西,常见的就是安全事件发生的数量。这个基本上就是靠天吃饭了,运气好的话一年都没事,运气差的话一年来几次。随机性太强。安全永远没有百分百。我根据个人经验提几个方向性的东西吧。
1、如果所属的企业有合规性要求,这部分可以作为安全团队设定绩效的指标之一。参照监管部门的要求去制定即可。
2、如果企业有内外审的要求,可以根据内外审要求制定一些绩效指标。
3、如果企业没有任何要求,纯粹靠自身驱动进行安全绩效考核尽量结合整个IT的绩效来确定。
前两项没啥好说的,接下来我主要针对第三点进行展开讲讲:
首先你要理解并明确公司IT背的整个绩效指标是什么?
其次需要根据IT的绩效落实到安全团队的绩效指标,这个是本年度安全的最核心指标,所有的安全工作应当围绕着这个目标来转,所有的资源都必须优先保证这个指标
最后在核心指标之外在制定边角料的安全绩效指标。
我用一个例子来举例:
某公司的IT核心指标是确保公司核心业务系统业务不中断1小时。
这时候我们安全的核心指标就应该这样设定:
确保公司核心系统不因安全问题导致中断一小时。
围绕着这个核心目标你就要想着如果要确保这个目标,接下来的安全配套需要做哪些?
安全导致业务中断的原因有:
1、安全设备软硬件故障
2、黑客攻击
3、内部有意或者无意误操作
4、………..
这些原因找到了就可以制定相应的措施,把这些措施转化成指标。
这就是一个绩效的设定的思路,当然有些人觉得还是比较务虚还不如来点具体的,我也列几个点做参考吧:
1、安全培训覆盖率8成,培训满意度不低于9分
2、终端安全事件不高于10起
3、敏感数据泄露能够在x小时内遏制
4、账号安全梳理完成xx个系统
5、上线前漏洞同比降低xx
6、漏洞修复在2小时内缓解,x小时内完成
7、一级系统不发生安全事件xx起
8、在外部平台不报漏洞x起
9、……
懒得列了,参考附件资料自己想吧
参考资料下载地址:https://t.xiaomiquan.com/NnmaeMz