摘要：中國鐵建將信息安全指標納入信息化績效評價體系進行了概述， 提出了綜合評價的方法，希望能借以推進本企業信息安全工作的開展，提高信息系統的安全性，并切實將國家法律法規落到實處。從實際執行效果看，已經取得了一定的成效。

　　1 引言

　　經過近幾年的發展，中國鐵建股份有限公司(以下簡稱中國鐵建)的信息化工作全面展開，眾多信息化項目的實施，大量信息系統的上線應用，有力地促進了企業核心競爭力的提升。

　　隨著信息系統不斷建成與投入應用，信息資源擁有量快速增長，對信息安全的保障需求日顯強烈，信息安全管控建設的滯后與日益增長的信息安全需求的矛盾日益突出。中國鐵建根據國內外成熟的信息安全標準和方法，結合企業業務發展戰略和企業特點，構建符合本公司業務實際和安全需要的信息安全管控體系，全面提升信息安全保障能力，并取得了初步效果。另外，信息安全等級保護制度作為國家在信息安全保障管理上的根本制度，具有強制性的特征，也要求企業認真加以貫徹落實。

　　在實際工作中利用怎樣的手段來保障信息安全管控體系、信息安全等級保護制度得到切實執行，成為亟待需要解決的問題。

　　為此，結合中國鐵建所屬各單位地域分布廣、信息化水平差距大的特點，經過初步探索，將信息安全指標納入了中國鐵建信息化績效評價體系，與各子分公司領導考核掛鉤，從“信息安全事故”和“等級保護”兩個維度、四項指標，通過定量對比分析，對各單位的信息安全工作進行評價，以推進信息安全持續改進。

　　2 考核原則

　　(1)公開、公平、公正。嚴格按照考核細則對被考核單位，在公開、公平、公正的環境中，進行客觀的評價。

　　(2)實事求是。被考核單位應如實反映信息安全工作情況，提供的相關資料和數據真實可信。

　　(3)遵循規劃、貫徹制度、檢查效果、保障安全。考核指標的提出以信息安全規劃、制度為依據，重點在信息化建設效果并保障信息安全。

　　(4)區別對待，逐步演進。根據子公司規模、成長階段、業務特點的不同，區別對待;根據信息安全建設重點，不同年度有不同的考核重點，逐步演進。

　　3 考核指標

　　中國鐵建大量的信息系統處于建設時期，因此每年對指標進行調整。目前，根據信息系統等級保護評價指標體系的原則要求， 選擇具有可操作性、可以量化的指標，從信息安全事故和信息系統安全等級保護兩個維度，信息安全事件、等級保護定級率、等級保護備案率、等級保護測評通過率四項指標進行了考核。

　　3.1 信息安全事件

　　信息安全事件及分級以中國鐵建《信息安全事件管理規定》定義為準。信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。

　　指標要點

　　(1)信息系統安全事件級別的確定。從類別劃分，信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施安全功能故障、災害性事件等五種;從級別劃分，信息安全事件分為特別重大事件(I級)、重大事件(Ⅱ級)和一般事件(Ⅲ級)三個級別。

　　(2)信息安全事件的瞞報。對于發生信息安全事件后，隱瞞事故，在規定時限內不主動向上級部門如實報告的情況，除扣除其該項考核成績外，按照股份公司有關規定進行通報并嚴肅處理;對多次發生信息安全事件的單位，將加強監督檢查，并責令其徹底整改。

　　3.2 等保定級率

　　考核年度在建至驗收投入應用各階段的信息系統與歷年上報的定級報告不重復累計數之比。

　　指標要點

　　(1)信息系統定級準確性。部分單位認為信息系統定級級別越高，就要花費更多的資金、精力，加重單位負擔，因此將基礎信息網絡、門戶網站、郵件、財務等重要信息系統定為一級，以逃避備案、測評。

　　針對這種情況，股份公司按照《信息系統安全等級保護區域劃分原則與定級指南》，對信息系統定級進行規范，并對定為一級、二級的信息系統進行重點檢查，避免定級不準確。

　　(2)信息系統數量準確性。部分單位在實施等保工作時，上報的信息系統數量小于實際建設數量。因此，在實際操作中，本考核項的分母“信息系統數”以該單位編制信息化項目預算時上報的信息系統數量為準。

　　(3)需提供加蓋本單位公章的《定級報告》掃描件。

　　3.3 等保備案率

　　考核年度在建至驗收投入應用各階段的信息系統數與歷年上報的備案證書不重復累計數之比。

　　指標要點

　　(1)備案公安機關的選擇。針對部分單位未根據國家法律法規選擇合適公安機關備案的情況，股份公司在發布的《信息系統安全等級保護管理辦法》中規定：股份公司統建系統，三級及以上系統向公安部網絡安全保衛局備案、二級系統向北京市公安局鐵道建筑公安局備案;駐京單位自建信息系統向北京市公安局鐵道建筑公安局備案;京外單位自建信息系統向當地市級及以上公安機關備案。

　　(2)等保備案率的確定。等保備案率中的分母“信息系統數”，指的是該單位編制信息化項目預算時上報的信息系統數量，并非已定級的信息系統數量。

　　(3)需提供公安機關出具的《備案證明》掃描件。

　　3.4 等保測評通過率

　　歷年上報的定級備案證書不重復累計數與歷年測評通過的信息系統不重復累計數之比。

　　指標要點

　　(1)測評報告符合率。為防止部分單位將工作精力側重于取得測評報告，而忽視了對測評中反映出的安全問題的整改，在實際工作中，重點對測評不符合率較高的信息系統進行抽查，責令單位定期進行整改。

　　(2)需提供合格測評機構出具的加蓋測評機構公章的《安全等級測評報告》掃描件。

　　4 考核權重

　　4.1 信息安全事件

　　附加分項，最高減K分。出現一次I級信息安全事件、減K分;出現一次級信息安全事件、減K/2分，最多減K分。

　　4.2 等保定級率

　　基本分項，滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A，歷年上報的定級報告不重復累計數為B，定級率M=B/A，平均定級率∑M=∑B/∑A。定級率得分S=min{(M/∑M)×K，K}。

　　4.3 等保備案率

　　基本分項，滿分K分。考核年度在建至驗收投入應用各階段的信息系統數為A，歷年上報的備案證書不重復累計數為C，備案率M=C/A，平均備案率∑M=∑C/∑A。備案率得分S=min{(M/∑M)×K，K}。

　　4.4 等保通過率

　　基本分項，滿分K分。歷年上報的定級備案證書不重復累計數為C，歷年測評通過的信息系統不重復累計數為D，測評通過率M=D/C，平均測評通過率∑M=∑D/∑C。測評通過率得分S=min{(M/∑M)×K，K}。

　　5 指標計算

　　考核指標項分基本分項、附加分項兩類。以本單位基本分項滿分(Ai)為基數，用實際得分(Bi)計算其得分率(Mi=Bi/Ai)，除以最高得分率(Mmax)，再乘以信息安全工作績效指標分(C)，即為信息安全工作考核實際得分(Si=C×Mi/Mmax)。