信息安全审核员能力模型

《信息安全审核员能力模型》由会员分享，可在线阅读，更多相关《信息安全审核员能力模型（11页珍藏版）》请在金锄头文库上搜索。

1、基于胜任素质模型的信息安全审核员能力模型中国信息安全认证中心 田惠文摘 要：本文首先详细研究了胜任素质模型，掌握和理解了胜任素质模型的内涵， 并将胜任素质模型应用在信息安全认证领域；同时，通过对信息安全工作特点的 研究提出了信息安全审核员需具备的素质和能力，并对能力进行了分级。借鉴胜 任素质模型，提出了信息安全审核员和信息安全审核组长的能力模型。 关键词：胜任素质模型 信息安全 审核员能力模型认证是企业和其他组织提高管理和服务水平、保证产品质量、提高市场竞争 力的可靠方式，是从源头上确保产品质量安全、规范市场行为、指导消费、保护 环境、保护人民生命健康的重要保障，在国家经济建设和社会发展中起着

2、日益重 要的作用。认证活动是一项规范化、标准化的活动，具有相当的独立性、公正性 和可信度。从事认证业务的各类人员的素质和能力，是认证机构工作质量和信誉 的保证，审核员是认证机构运作和发展的基础和根本，是认证认可事业健康发展 的关键。认证机构要切实承担起提高审核员能力的主要责任，加强对审核员的选 聘、培养、考核、持续培养和教育方面的管理。而信息安全领域作为一个新的认 证领域，如何更有效地对信息安全审核员进行管理，作者在这方面进行了探索。一、胜任素质模型简介胜任素质(Competency)又称能力素质，在组织管理中是指驱动员工做出卓 越绩效的一系列综合素质，是员工通过不同方式表现出来的知识、技能或

3、能力、 职业素养、自我认知、特质等素质的集合。素质是判断一个人能否胜任某项工作 的起点，是决定并区别绩效差异的个人特征。哈佛大学教授麦克里兰是将胜任素质应用于实践的第一人。20 世纪 50 年代 初，麦克里兰应美国国务院邀请为之设计一种能够有效预测驻外服务信息官员能 否做出优秀绩效的甄选方法。麦克里兰采用行为事件访谈法收集第一手材料，比 较分析工作表现优秀和一般的驻外服务信息官员具体行为特征的各项差异，最终 提炼出驻外服务信息官员胜任工作且能做出优秀绩效所应具备的能力素质。胜任素质模型自其诞生之日起就被应用到人力资源管理的各个方面，实践证 明，运用胜任素质模型可以提高企业的人力资源质量，提升组

4、织竞争力，从而推 进企业发展战略目标的实现。根据员工所应具备的胜任素质，从知识、能力、职业素养三个层面构建其胜 任素质模型，具体内容如图 1 所示。二、信息安全工作的特点对审核人员的素质要求由电脑、网络、应用软件等组成的IT系统是信息社会的新型“生产工具”， 它们的安全已经成为社会生产安全的重要组成部分，特别是那些业务高度依赖T 系统的组织。但系统漏洞、黑客攻击、网络间谍等信息安全风险总是客观存在。如何应对 这些层出不穷的信息安全风险，保护信息资产的安全，保持业务持续有效运行， 满足日益严格的合规要求，以更好的支撑组织业务发展，已经成为各行各业关注 的重要领域。要确保组织信息和信息系统的保密性

5、、完整性、可用性、可认证性、不可否 认性，组织需要实施大量的工作，这些信息安全工作业已成为组织信息化部门的 重要任务，从目前普遍的信息安全工作实际情况来看，组织的信息安全工作呈现 具备多个特点，根据这几个特点，提出了对审核人员的相应素质要求，信息安全 审核人员应在具备所有审核员所需具备的个人素质的基础上，还需满足以下的素 质的要求。1、关键性和敏感性及其对应的素质要求组织的业务开展越来越倾向于通过业务应用系统来实现，基于信息技术的各 类应用系统的重要性越来越高。另一方面，各种信息安全风险威胁着系统的正常 运行，从而影响到了组织业务的开展。而信息安全工作的目标旨在保障信息系统 的正常稳定可靠的运

6、行，保持业务的持续有效。因此，在当前情况下，信息安全 工作在组织内占据重要地位。组织的信息安全工作一般被赋予管理和接触公司商业秘密信息、重要客户资 料信息以及其他敏感事项信息的职责，这些信息的保密性至关重要。信息的泄露 可能会给组织带来致命的影响，因此，一般情况下，信息安全工作成为了各组织 的敏感事务，对审核人员来说，其信息安全审核工作也具有了一定的敏感性。信息安全工作的这种关键性和敏感性使得审核人员在审核过程中有可能接 触到受审组织的一些关键信息和敏感信息，其泄露会对受审组织带来极大的负面 影响，而且审核人员的随意操作也可能会对受审组织的信息系统产生影响。因此 信息安全审核人员除应遵守审核人

7、员必备的公正、可靠、忠诚、诚实这些道德素 质外，还应廉洁自律，并具备纪律性。廉洁自律是指个人应遵守行业从业人员的职业规范，对自己的行为具有职业 规范所要求的自我约束能力，不利用岗位权力的便利行损公肥私之事，不因私利 /私欲影响自己所从事的工作。纪律性是指个人自觉遵守认证机构各项管理制度， 保证个人行为及工作行为不与认证机构的管理制度和工作原则相抵触。2、复杂性及其对应的素质要求信息安全工作作为一个专业领域，涉及众多技术和管理因素，并且与其他领 域，例如物理安全、人员安全等有密不可分的联系。因此，无论对信息安全工作 人员还是对于信息安全审核人员来说，信息安全工作都具有极大的复杂性。信息安全工作的

8、复杂性要求审核人员在具备所需知识的前提下，应具有全局 观念，从整体上分析受审组织信息安全工作的充分性、有效性和适宜性。全局观念是指个人在开展工作或进行决策时，能够考虑他人、其他部门和组 织整体的情况，从组织的整体和长远利益出发考虑问题。3、时效性及其对应的素质要求随着信息化技术的高速发展以及信息安全风险的迅速普及，信息安全技术也 得到了快速发展，各种新的信息安全概念、技术和管理手段层出不穷，信息安全 审核人员要做到有效审核，必须随时关注最新的信息安全发展趋势，了解和掌握 最新的信息安全技术和管理手段。信息安全工作的这种时效性，对审核人员也提出了更高的要求。信息安全审 核人员应乐于研究新的信息安

9、全现状和形势，以学习为乐，对信息化和信息安全 的新知识、新技能、新领域保持关注，并随时学习掌握这些新知识的基本概念、 原理和方法。4、员工排斥性及其对应的素质要求安全与方便本身便是一对矛盾，在确保安全的同时，必然损失了便利性，而 且信息安全工作本身也增加了员工的任务量。因此信息安全工作在组织中的推广 运行，尤其是一些信息安全管理机制，一般不会受到员工的特别欢迎。对于信息 安全工作的审核也不可避免受到一定的阻碍，因此，对于审核人员来说，应具有 在不受欢迎或存在分歧或矛盾时的协调能力。对于组织员工对于信息安全工作的这种排斥性，审核人员应具备服务意识， 在审核过程中，善于站在对方立场思考问题，即使在

10、工作中不受欢迎或有时存在 分歧或矛盾，也应尽职尽责、认真负责，做出道德的行为。三、信息安全对审核员人员的知识要求作为信息安全的审核人员，应具备基本的信息安全相关知识，将其划分为如 下方面：1、信息技术知识指信息技术的通用知识，例如通讯技术基础、计算机技术基础、信息技术应 用等。2、信息安全知识指信息安全的各种技术，例如信息安全风险管理、信息安全事件管理、网络 安全、访问控制、密码技术、信息安全产品等。3、信息安全标准知识指与信息安全相关的国内外标准，例如 27000 系列标准、鉴别与授权、公钥 基础设施相关标准、信息安全技术与机制相关标准等。4、信息安全法律法规知识 指与信息安全相关的法律法规

11、，例如保守国家秘密法、计算机信息系统安全 保护条例、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、信 息安全等级保护管理办法等。四、信息安全对审核员能力的要求所有审核人员应具备系统思考能力、信息分析能力、书面表达能力、理解判 断能力、决策能力、沟通能力、团队合作能力、计划执行能力、关注细节能力。 对于信息安全审核人员而言，基于信息安全工作的特点，还应具备下列能力。1、自控能力 基于信息安全工作的员工排斥性，审核人员在面对受审核人员的反对、敌意 或在长期重复性工作及压力环境下，能保持冷静、控制负面情绪和消极行为，继 续完成工作任务的能力。此外，由于信息安全工作的关键性和敏感性，审核人

12、员也应具备面对诱惑的 自控能力，严禁为了满足经济利益或个人权益泄露受审组织的关键或敏感信息。2、应变能力 基于信息安全工作的复杂性，审核人员在审核过程中，可能会面临很多意料 之外的事项，这酒要求审核人员应采取行动满足工作环境和工作要求的变化或提 前思考以适应未来机遇和挑战的能力。3、协调能力 信息安全工作的复杂性还要求审核人员应具备极强的协调能力，可以在在审 核方案管理人员、受审组织管理人员、信息化部门人员、业务部门人员以及其他 相关人员之间，避开矛盾点，寻求一致点，达到最佳的合理安排、最佳关系状态 的能力。五、信息安全审核员能力模型 信息安全审核员的素质和能力取决于两个方面：审核和信息安全，

13、 通过的分析，初步得出了信息安全审核员应具备的职业素养、知识、能力三个方 面的内容，从这三个层面构建了素质和能力通用模型，如图 2 所示。职业素养专业 知识/信息安全知识审核相关知识有道德思想善于善于开明交往观察有感适应坚韧明断知力力强不拔自立认证认可知识廉洁纪律 全局乐于服务 自律性观念改进意识系 统 思 考 能 力信 息 分 析 能 力技能/能力图 2 信息安全审核员能力通用模型1、信息安全审核人员职业素养定义表 职业素养是指职业内在的规范和要求，是信息安全审核人员在审核过程中表 现出来的综合品质，信息安全审核人员职业素养分为两部分：所有审核员职业素 养、信息安全审核员职业素养：其定义如表

14、 1 和表 2 所示。表 1 所有审核员职业素养定义表序 号素质名称定义1有道德即公正、可靠、忠诚、诚实和谨慎2思想开明即愿意考虑不冋意见或观点3善于父往即灵活地与人交往4善于观察即主动地认识周围环境和活动5有感知力即能本能地了解和理解环境6适应力强即容易适应不同情况7坚韧不拔即对实现目的坚持不懈8明断即根据逻辑推理和分析及时得出结论9自立即在同其他人有效交往中独立工作并发挥作用表 2 信息安全审核员职业素养定义表序 号素质名称定义1廉洁自律即遵守行业从业人员的职业规范2纪律性即自觉遵守组织各项管理制度，保证个人行为及工作行为不与公司 的管理制度和工作原则相抵触3全局观念即在开展工作或进行决策

15、时，能够考虑他人、其他部门和组织整体 的情况，从组织的整体和长远利益出发考虑问题4乐于改进即乐于研究现状和形势，以学习为乐，对新知识、新技能、新领域 保持关注，并乐于尝试新方法5服务意识即在工作中善于站在对方立场思考问题，即使在工作中不受欢迎或 有时存在分歧或矛盾，也能认真负责，做出道德的行为2、信息安全审核人员专业知识定义表专业知识是信息安全审核人员在工作实践中所获得的认识和经验的总和，它是审核员充分发挥作用的基础性要求。没有良好的知识根基，专业化程度会大大降低。不同的岗位要求具备的知识也是有区别的，其定义及分级描述如表 3 所示。 表 3 信息安全审核人员专业知识定义表素质名称定义级别仃为表现认证认可 知识认证认可的基本概 念、认证认可法律 法规体系、认证认 可行政管理体系等1级了解认证认可的基本概念，了解我国认证认可的 法律法规体系和行政管理体系2级了解认证认可的行业状况，掌握认证认可的概念 及含义，熟悉认证认可的法律法规体系和行政管 理体系3级熟悉认证认可的历史、发展与现状，洞悉认证认可 行业状况的重大变化与趋势，掌握我国认证认可的 法律法规体系，熟悉认证认可的行政管理机构以及 管理要求