信息安全审核员能力模型.docx

信息安全审核员能力模型.docx

《信息安全审核员能力模型.docx》由会员分享，可在线阅读，更多相关《信息安全审核员能力模型.docx（13页珍藏版）》请在冰豆网上搜索。

信息安全审核员能力模型

基于胜任素质模型的信息安全审核员能力模型

中国信息安全认证中心田惠文

摘要：

本文首先详细研究了胜任素质模型，掌握和理解了胜任素质模型的内涵，并将胜任素质模型应用在信息安全认证领域；同时，通过对信息安全工作特点的研究提出了信息安全审核员需具备的素质和能力，并对能力进行了分级。

借鉴胜任素质模型，提出了信息安全审核员和信息安全审核组长的能力模型。

关键词：

胜任素质模型信息安全审核员能力模型

认证是企业和其他组织提高管理和服务水平、保证产品质量、提高市场竞争力的可靠方式，是从源头上确保产品质量安全、规范市场行为、指导消费、保护环境、保护人民生命健康的重要保障，在国家经济建设和社会发展中起着日益重要的作用。

认证活动是一项规范化、标准化的活动，具有相当的独立性、公正性和可信度。

从事认证业务的各类人员的素质和能力，是认证机构工作质量和信誉的保证，审核员是认证机构运作和发展的基础和根本，是认证认可事业健康发展的关键。

认证机构要切实承担起提高审核员能力的主要责任，加强对审核员的选聘、培养、考核、持续培养和教育方面的管理。

而信息安全领域作为一个新的认证领域，如何更有效地对信息安全审核员进行管理，作者在这方面进行了探索。

一、胜任素质模型简介

胜任素质（Competency）又称能力素质，在组织管理中是指驱动员工做出卓越绩效的一系列综合素质，是员工通过不同方式表现出来的知识、技能或能力、职业素养、自我认知、特质等素质的集合。

素质是判断一个人能否胜任某项工作的起点，是决定并区别绩效差异的个人特征。

哈佛大学教授麦克里兰是将胜任素质应用于实践的第一人。

20世纪50年代初，麦克里兰应美国国务院邀请为之设计一种能够有效预测驻外服务信息官员能否做出优秀绩效的甄选方法。

麦克里兰采用行为事件访谈法收集第一手材料，比较分析工作表现优秀和一般的驻外服务信息官员具体行为特征的各项差异，最终提炼出驻外服务信息官员胜任工作且能做出优秀绩效所应具备的能力素质。

胜任素质模型自其诞生之日起就被应用到人力资源管理的各个方面，实践证明，运用胜任素质模型可以提高企业的人力资源质量，提升组织竞争力，从而推进企业发展战略目标的实现。

根据员工所应具备的胜任素质，从知识、能力、职业素养三个层面构建其胜任素质模型，具体内容如图1所示。

图1胜任素质模型

二、信息安全工作的特点对审核人员的素质要求

由电脑、网络、应用软件等组成的IT系统是信息社会的新型“生产工具”，它们的安全已经成为社会生产安全的重要组成部分，特别是那些业务高度依赖IT系统的组织。

但系统漏洞、黑客攻击、网络间谍等信息安全风险总是客观存在。

如何应对这些层出不穷的信息安全风险，保护信息资产的安全，保持业务持续有效运行，满足日益严格的合规要求，以更好的支撑组织业务发展，已经成为各行各业关注的重要领域。

要确保组织信息和信息系统的保密性、完整性、可用性、可认证性、不可否认性，组织需要实施大量的工作，这些信息安全工作业已成为组织信息化部门的重要任务，从目前普遍的信息安全工作实际情况来看，组织的信息安全工作呈现具备多个特点，根据这几个特点，提出了对审核人员的相应素质要求，信息安全审核人员应在具备所有审核员所需具备的个人素质的基础上，还需满足以下的素质的要求。

1、关键性和敏感性及其对应的素质要求

组织的业务开展越来越倾向于通过业务应用系统来实现，基于信息技术的各类应用系统的重要性越来越高。

另一方面，各种信息安全风险威胁着系统的正常运行，从而影响到了组织业务的开展。

而信息安全工作的目标旨在保障信息系统的正常稳定可靠的运行，保持业务的持续有效。

因此，在当前情况下，信息安全工作在组织内占据重要地位。

组织的信息安全工作一般被赋予管理和接触公司商业秘密信息、重要客户资料信息以及其他敏感事项信息的职责，这些信息的保密性至关重要。

信息的泄露可能会给组织带来致命的影响，因此，一般情况下，信息安全工作成为了各组织的敏感事务，对审核人员来说，其信息安全审核工作也具有了一定的敏感性。

信息安全工作的这种关键性和敏感性使得审核人员在审核过程中有可能接触到受审组织的一些关键信息和敏感信息，其泄露会对受审组织带来极大的负面影响，而且审核人员的随意操作也可能会对受审组织的信息系统产生影响。

因此信息安全审核人员除应遵守审核人员必备的公正、可靠、忠诚、诚实这些道德素质外，还应廉洁自律，并具备纪律性。

廉洁自律是指个人应遵守行业从业人员的职业规范，对自己的行为具有职业规范所要求的自我约束能力，不利用岗位权力的便利行损公肥私之事，不因私利/私欲影响自己所从事的工作。

纪律性是指个人自觉遵守认证机构各项管理制度，保证个人行为及工作行为不与认证机构的管理制度和工作原则相抵触。

2、复杂性及其对应的素质要求

信息安全工作作为一个专业领域，涉及众多技术和管理因素，并且与其他领域，例如物理安全、人员安全等有密不可分的联系。

因此，无论对信息安全工作人员还是对于信息安全审核人员来说，信息安全工作都具有极大的复杂性。

信息安全工作的复杂性要求审核人员在具备所需知识的前提下，应具有全局观念，从整体上分析受审组织信息安全工作的充分性、有效性和适宜性。

全局观念是指个人在开展工作或进行决策时，能够考虑他人、其他部门和组织整体的情况，从组织的整体和长远利益出发考虑问题。

3、时效性及其对应的素质要求

随着信息化技术的高速发展以及信息安全风险的迅速普及，信息安全技术也得到了快速发展，各种新的信息安全概念、技术和管理手段层出不穷，信息安全审核人员要做到有效审核，必须随时关注最新的信息安全发展趋势，了解和掌握最新的信息安全技术和管理手段。

信息安全工作的这种时效性，对审核人员也提出了更高的要求。

信息安全审核人员应乐于研究新的信息安全现状和形势，以学习为乐，对信息化和信息安全的新知识、新技能、新领域保持关注，并随时学习掌握这些新知识的基本概念、原理和方法。

4、员工排斥性及其对应的素质要求

安全与方便本身便是一对矛盾，在确保安全的同时，必然损失了便利性，而且信息安全工作本身也增加了员工的任务量。

因此信息安全工作在组织中的推广运行，尤其是一些信息安全管理机制，一般不会受到员工的特别欢迎。

对于信息安全工作的审核也不可避免受到一定的阻碍，因此，对于审核人员来说，应具有在不受欢迎或存在分歧或矛盾时的协调能力。

对于组织员工对于信息安全工作的这种排斥性，审核人员应具备服务意识，在审核过程中，善于站在对方立场思考问题，即使在工作中不受欢迎或有时存在分歧或矛盾，也应尽职尽责、认真负责，做出道德的行为。

三、信息安全对审核员人员的知识要求

作为信息安全的审核人员，应具备基本的信息安全相关知识，将其划分为如下方面：

1、信息技术知识

指信息技术的通用知识，例如通讯技术基础、计算机技术基础、信息技术应用等。

2、信息安全知识

指信息安全的各种技术，例如信息安全风险管理、信息安全事件管理、网络安全、访问控制、密码技术、信息安全产品等。

3、信息安全标准知识

指与信息安全相关的国内外标准，例如27000系列标准、鉴别与授权、公钥基础设施相关标准、信息安全技术与机制相关标准等。

4、信息安全法律法规知识

指与信息安全相关的法律法规，例如保守国家秘密法、计算机信息系统安全保护条例、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、信息安全等级保护管理办法等。

四、信息安全对审核员能力的要求

所有审核人员应具备系统思考能力、信息分析能力、书面表达能力、理解判断能力、决策能力、沟通能力、团队合作能力、计划执行能力、关注细节能力。

对于信息安全审核人员而言，基于信息安全工作的特点，还应具备下列能力。

1、自控能力

基于信息安全工作的员工排斥性，审核人员在面对受审核人员的反对、敌意或在长期重复性工作及压力环境下，能保持冷静、控制负面情绪和消极行为，继续完成工作任务的能力。

此外，由于信息安全工作的关键性和敏感性，审核人员也应具备面对诱惑的自控能力，严禁为了满足经济利益或个人权益泄露受审组织的关键或敏感信息。

2、应变能力

基于信息安全工作的复杂性，审核人员在审核过程中，可能会面临很多意料之外的事项，这酒要求审核人员应采取行动满足工作环境和工作要求的变化或提前思考以适应未来机遇和挑战的能力。

3、协调能力

信息安全工作的复杂性还要求审核人员应具备极强的协调能力，可以在在审核方案管理人员、受审组织管理人员、信息化部门人员、业务部门人员以及其他相关人员之间，避开矛盾点，寻求一致点，达到最佳的合理安排、最佳关系状态的能力。

五、信息安全审核员能力模型

信息安全审核员的素质和能力取决于两个方面：

审核和信息安全，通过的分析，初步得出了信息安全审核员应具备的职业素养、知识、能力三个方面的内容，从这三个层面构建了素质和能力通用模型，如图2所示。

图2信息安全审核员能力通用模型

1、信息安全审核人员职业素养定义表

职业素养是指职业内在的规范和要求，是信息安全审核人员在审核过程中表现出来的综合品质，信息安全审核人员职业素养分为两部分：

所有审核员职业素养、信息安全审核员职业素养：

其定义如表1和表2所示。

表1所有审核员职业素养定义表

序号

素质名称

定义

1

有道德

即公正、可靠、忠诚、诚实和谨慎

2

思想开明

即愿意考虑不同意见或观点

3

善于交往

即灵活地与人交往

4

善于观察

即主动地认识周围环境和活动

5

有感知力

即能本能地了解和理解环境

6

适应力强

即容易适应不同情况

7

坚韧不拔

即对实现目的坚持不懈

8

明断

即根据逻辑推理和分析及时得出结论

9

自立

即在同其他人有效交往中独立工作并发挥作用

表2信息安全审核员职业素养定义表

序号

素质名称

定义

1

廉洁自律

即遵守行业从业人员的职业规范

2

纪律性

即自觉遵守组织各项管理制度，保证个人行为及工作行为不与公司的管理制度和工作原则相抵触

3

全局观念

即在开展工作或进行决策时，能够考虑他人、其他部门和组织整体的情况，从组织的整体和长远利益出发考虑问题

4

乐于改进

即乐于研究现状和形势，以学习为乐，对新知识、新技能、新领域保持关注，并乐于尝试新方法

5

服务意识

即在工作中善于站在对方立场思考问题，即使在工作中不受欢迎或有时存在分歧或矛盾，也能认真负责，做出道德的行为

2、信息安全审核人员专业知识定义表

专业知识是信息安全审核人员在工作实践中所获得的认识和经验的总和，它是审核员充分发挥作用的基础性要求。

没有良好的知识根基，专业化程度会大大降低。

不同的岗位要求具备的知识也是有区别的，其定义及分级描述如表3所示。

表3信息安全审核人员专业知识定义表

素质名称

定义

级别

行为表现

认证认可知识

认证认可的基本概念、认证认可法律法规体系、认证认可行政管理体系等

1级

了解认证认可的基本概念，了解我国认证认可的法律法规体系和行政管理体系

2级

了解认证认可的行业状况，掌握认证认可的概念及含义，熟悉认证认可的法律法规体系和行政管理体系

3级

熟悉认证认可的历史、发展与现状，洞悉认证认可行业状况的重大变化与趋势，掌握我国认证认可的法律法规体系，熟悉认证认可的行政管理机构以及管理要求

审核相关知识

审核的原则、程序和技术、产品认证基础知识、服务资质评审基础知识等

1级

了解审核的一般原则、审核通用流程和方法，了解产品认证和服务资质评审的基础知识

2级

熟悉审核原则，掌握审核的通用流程和审核方法，熟悉产品认证及服务资质评审的基础知识和我国的管理要求

3级

掌握并熟练运用审核原则，掌握各类审核的流程和方法，掌握产品认证及服务资质评审的基础知识、类别以及管理模式

信息安全相关知识

信息技术、信息安全技术、信息安全标准、信息安全法律法规等

1级

了解信息安全技术的类别，熟悉各类信息安全技术的基本概念，了解我国已发布的信息安全标准情况，了解与一般性组织相关的信息安全法律法规

2级

了解信息技术的基础知识，熟悉信息安全技术的分类及其技术的基本原理，熟悉我国的信息安全标准制定情况，了解相关的国际信息安全标准情况，熟悉已发布的信息安全法律法规

3级

了解信息技术的分类及各项基础内容，熟悉各类信息安全技术，熟悉国内外信息安全标准的现状及发展趋势，掌握各行业所适用的信息安全法律法规

3、信息安全审核人员能力定义表

能力是信息安全审核人员在工作过程中能够应用知识和技能实现预期结果的本领；不同的岗位要求具备的能力也是有区别的，其定义及分级描述如表4-4所示。

表4信息安全审核人员能力定义表

素质名称

定义

级别

行为表现

系统思考能力

保持思维的广度，在开展审核的过程中考虑工作对周围环境的影响，从而做出对全局有益的方案和行动

1级

1．综合考虑审核中每个环节的逻辑关系

2．预先设想自身的审核对于受审核方和其他组员的影响，并做好事先沟通

3．考虑自身决策对于审核组及相关环节的影响

素质名称

定义

级别

行为表现

2级

1．在考虑工作问题的过程中，能够在确定解决问题的办法时，考虑资源分配的合理性，充分发挥可用的技能和资源

2．考虑自身决策对于受审组织及认证机构的影响，能够联合相关人员共同设计更好的解决方案

3．分析归纳国际和行业的重要政策，以支持和推动相关变更

3级

1．针对环境的改变重新组合资源，为自身解决问题提供支持

2．以认证机构权益为中心，综合考虑各个部门之间的工作联系

3．考虑自身决策对认证机构和受审组织的影响

4．预见国家和行业的重要政策，及时作出调整

注：

由于篇幅原因，仅以“系统思考能力”为例。

4、信息安全审核员能力模型

根据能力分级，信息安全审核员能力模型如图3所示。

图3信息安全审核员能力模型

根据能力分级，信息安全审核组长能力模型如图4所示。

图4信息安全审核组长能力模型

六、结束语

不管是认证监管部门要求，还是内部自身管理需求，认证机构都必须切实加强对审核员能力的管理。

作者在信息安全认证领域做了一个初步的探索，建立了信息安全审核员能力模型，为信息安全认证机构对审核员实施能力评价奠定坚实的基础，可以帮助认证机构建立更加科学有效的评价指标体系。

以胜任素质模型为基础的信息安全审核员能力模型能够对履行审核职责和执行审核任务所取得的成果进行客观的评价，真实地反映审核人员的综合能力素质。

结合有效的评价方法，认证机构能够全面的认识审核人员，有助于建立高效、互补的审核团队，实现更高的工作效率，并确保了审核质量。