信息安全审核员能力模型

1、基于胜任素质模型的信息安全审核员能力模型中国信息安全认证中心田惠文摘 要:本文首先详细研究了胜任素质模型，掌握和理解了胜任素质模型的内涵， 并将胜任素质模型应用在信息安全认证领域；同时，通过对信息安全工作特点的 研究提出了信息安全审核员需具备的素质和能力，并对能力进行了分级。借鉴胜 任素质模型，提出了信息安全审核员和信息安全审核组长的能力模型。关键词：胜任素质模型 信息安全 审核员能力模型认证是企业和其他组织提高管理和服务水平、保证产品质量、提高市场竞争 力的可靠方式，是从源头上确保产品质量安全、规范市场行为、指导消费、保护 环境、保护人民生命健康的重要保障，在国家经济建设和社会发展中起着日益

2、重 要的作用。认证活动是一项规范化、标准化的活动，具有相当的独立性、公正性 和可信度。从事认证业务的各类人员的素质和能力，是认证机构工作质量和信誉 的保证，审核员是认证机构运作和发展的基础和根本，是认证认可事业健康发展 的关键。认证机构要切实承担起提高审核员能力的主要责任，加强对审核员的选 聘、培养、考核、持续培养和教育方面的管理。而信息安全领域作为一个新的认 证领域，如何更有效地对信息安全审核员进行管理，作者在这方面进行了探索。一、胜任素质模型简介胜任素质(Competency)又称能力素质，在组织管理中是指驱动员工做出卓 越绩效的一系列综合素质，是员工通过不同方式表现出来的知识、技能或能力

3、、 职业素养、自我认知、特质等素质的集合。素质是判断一个人能否胜任某项工作 的起点，是决定并区别绩效差异的个人特征。哈佛大学教授麦克里兰是将胜任素质应用于实践的第一人。20世纪50年代 初，麦克里兰应美国国务院邀请为之设计一种能够有效预测驻外服务信息官员能 否做出优秀绩效的甄选方法。麦克里兰采用行为事件访谈法收集第一手材料，比 较分析工作表现优秀和一般的驻外服务信息官员具体行为特征的各项差异，最终 提炼出驻外服务信息官员胜任工作且能做出优秀绩效所应具备的能力素质。胜任素质模型自其诞生之日起就被应用到人力资源管理的各个方面，实践证 明，运用胜任素质模型可以提高企业的人力资源质量，提升组织竞争力，

4、从而推 进企业发展战略目标的实现。根据员工所应具备的胜任素质，从知识、能力、职业素养三个层面构建其胜 任素质模型，具体内容如图1所示。二、信息安全工作的特点对审核人员的素质要求由电脑、网络、应用软件等组成的口系统是信息社会的新型“生产工具”， 它们的安全已经成为社会生产安全的重要组成部分，特别是那些业务高度依赖T 系统的组织。但系统漏洞、黑客攻击、网络间谍等信息安全风险总是客观存在。如何应对 这些层出不穷的信息安全风险，保护信息资产的安全，保持业务持续有效运行， 满足日益严格的合规要求，以更好的支撑组织业务发展，已经成为各行各业关注 的重要领域。要确保组织信息和信息系统的保密性、完整性、可用性

5、、可认证性、不可否 认性，组织需要实施大量的工作，这些信息安全工作业已成为组织信息化部门的 重要任务，从目前普遍的信息安全工作实际情况来看，组织的信息安全工作呈现 具备多个特点，根据这几个特点，提出了对审核人员的相应素质要求，信息安全 审核人员应在具备所有审核员所需具备的个人素质的基础上，还需满足以下的素 质的要求。1、关键性和敏感性及其对应的素质要求组织的业务开展越来越倾向于通过业务应用系统来实现，基于信息技术的各 类应用系统的重要性越来越高。另一方面，各种信息安全风险威胁着系统的正常 运行，从而影响到了组织业务的开展。而信息安全工作的目标旨在保障信息系统 的正常稳定可靠的运行，保持业务的持

6、续有效。因此，在当前情况下，信息安全 工作在组织内占据重要地位。组织的信息安全工作一般被赋予管理和接触公司商业秘密信息、重要客户资 料信息以及其他敏感事项信息的职责，这些信息的保密性至关重要。信息的泄露 可能会给组织带来致命的影响，因此，一般情况下，信息安全工作成为了各组织 的敏感事务，对审核人员来说，其信息安全审核工作也具有了一定的敏感性。信息安全工作的这种关键性和敏感性使得审核人员在审核过程中有可能接 触到受审组织的一些关键信息和敏感信息，其泄露会对受审组织带来极大的负面 影响，而且审核人员的随意操作也可能会对受审组织的信息系统产生影响。因此 信息安全审核人员除应遵守审核人员必备的公正、可

7、靠、忠诚、诚实这些道德素 质外，还应廉洁自律，并具备纪律性。廉洁自律是指个人应遵守行业从业人员的职业规范，对自己的行为具有职业 规范所要求的自我约束能力，不利用岗位权力的便利行损公肥私之事，不因私利 /私欲影响自己所从事的工作。纪律性是指个人自觉遵守认证机构各项管理制度， 保证个人行为及工作行为不与认证机构的管理制度和工作原则相抵触。2、复杂性及其对应的素质要求信息安全工作作为一个专业领域，涉及众多技术和管理因素，并且与其他领 域，例如物理安全、人员安全等有密不可分的联系。因此，无论对信息安全工作 人员还是对于信息安全审核人员来说，信息安全工作都具有极大的复杂性。信息安全工作的复杂性要求审核人

8、员在具备所需知识的前提下，应具有全局 观念，从整体上分析受审组织信息安全工作的充分性、有效性和适宜性。全局观念是指个人在开展工作或进行决策时，能够考虑他人、其他部门和组 织整体的情况，从组织的整体和长远利益出发考虑问题。3、时效性及其对应的素质要求随着信息化技术的高速发展以及信息安全风险的迅速普及，信息安全技术也 得到了快速发展，各种新的信息安全概念、技术和管理手段层出不穷，信息安全 审核人员要做到有效审核，必须随时关注最新的信息安全发展趋势，了解和掌握 最新的信息安全技术和管理手段。信息安全工作的这种时效性，对审核人员也提出了更高的要求。信息安全审 核人员应乐于研究新的信息安全现状和形势，以

9、学习为乐，对信息化和信息安全 的新知识、新技能、新领域保持关注，并随时学习掌握这些新知识的基本概念、 原理和方法。4、员工排斥性及其对应的素质要求安全与方便本身便是一对矛盾，在确保安全的同时，必然损失了便利性，而 且信息安全工作本身也增加了员工的任务量。因此信息安全工作在组织中的推广 运行，尤其是一些信息安全管理机制，一般不会受到员工的特别欢迎。对于信息 安全工作的审核也不可避免受到一定的阻碍，因此，对于审核人员来说，应具有 在不受欢迎或存在分歧或矛盾时的协调能力。对于组织员工对于信息安全工作的这种排斥性，审核人员应具备服务意识， 在审核过程中，善于站在对方立场思考问题，即使在工作中不受欢迎或

10、有时存在 分歧或矛盾，也应尽职尽责、认真负责，做出道德的行为。三、信息安全对审核员人员的知识要求作为信息安全的审核人员，应具备基本的信息安全相关知识，将其划分为如 下方面：1、信息技术知识指信息技术的通用知识，例如通讯技术基础、计算机技术基础、信息技术应 用等。2、信息安全知识指信息安全的各种技术，例如信息安全风险管理、信息安全事件管理、网络 安全、访问控制、密码技术、信息安全产品等。3、信息安全标准知识指与信息安全相关的国内外标准，例如27000系列标准、鉴别与授权、公钥 基础设施相关标准、信息安全技术与机制相关标准等。4、信息安全法律法规知识指与信息安全相关的法律法规，例如保守国家秘密法、

11、计算机信息系统安全 保护条例、计算机信息网络国际联网安全保护管理办法、商用密码管理条例、信 息安全等级保护管理办法等。四、信息安全对审核员能力的要求所有审核人员应具备系统思考能力、信息分析能力、书面表达能力、理解判 断能力、决策能力、沟通能力、团队合作能力、计划执行能力、关注细节能力。 对于信息安全审核人员而言，基于信息安全工作的特点，还应具备下列能力。1、自控能力基于信息安全工作的员工排斥性，审核人员在面对受审核人员的反对、敌意 或在长期重复性工作及压力环境下，能保持冷静、控制负面情绪和消极行为，继 续完成工作任务的能力。此外，由于信息安全工作的关键性和敏感性，审核人员也应具备面对诱惑的 自

12、控能力，严禁为了满足经济利益或个人权益泄露受审组织的关键或敏感信息。2、应变能力基于信息安全工作的复杂性，审核人员在审核过程中，可能会面临很多意料 之外的事项，这酒要求审核人员应采取行动满足工作环境和工作要求的变化或提 前思考以适应未来机遇和挑战的能力。3、协调能力信息安全工作的复杂性还要求审核人员应具备极强的协调能力，可以在在审 核方案管理人员、受审组织管理人员、信息化部门人员、业务部门人员以及其他 相关人员之间，避开矛盾点，寻求一致点，达到最佳的合理安排、最佳关系状态 的能力。五、信息安全审核员能力模型信息安全审核员的素质和能力取决于两个方面：审核和信息安全， 通过的分析，初步得出了信息安

13、全审核员应具备的职业素养、知识、能力三个方 面的内容，从这三个层面构建了素质和能力通用模型，如图2所示。专业知识/信息安全知识审核相关知识职业素养有道德思想善于善于开明交往观察有感适应坚韧明断知力力强不拔自立认证认可知识廉洁纪律全局乐于服务自律性观念改进意识系 统 思 考 能 力信 息 分 析 能 力理 解 判 断 能 力团 队 合 作 能 力 /技能/能力图2信息安全审核员能力通用模型1、信息安全审核人员职业素养定义表职业素养是指职业内在的规范和要求，是信息安全审核人员在审核过程中表 现出来的综合品质，信息安全审核人员职业素养分为两部分：所有审核员职业素 养、信息安全审核员职业素养：其定义如

14、表1和表2所示。表1所有审核员职业素养定义表序号素质名称定义1有道德即公正、可靠、忠诚、诚实和谨慎2思想开明即愿意考虑不同意见或观点3善于交往即灵活地与人交往4善于观察即主动地认识周围环境和活动5有感知力即能本能地了解和理解环境6适应力强即容易适应不同情况7坚韧不拔即对实现目的坚持不懈8明断即根据逻辑推理和分析及时得出结论9自立即在同其他人有效交往中独立工作并发挥作用表2信息安全审核员职业素养定义表序 号素质名称定义1廉洁自律即遵守行业从业人员的职业规范2纪律性即自觉遵守组织各项管理制度，保证个人行为及工作行为不与公司 的管理制度和工作原则相抵触3全局观念即在开展工作或进行决策时，能够考虑他人

15、、其他部门和组织整体 的情况，从组织的整体和长远利益出发考虑问题4乐于改进即乐于研究现状和形势，以学习为乐，对新知识、新技能、新领域 保持关注，并乐于尝试新方法5服务意识即在工作中善于站在对方立场思考问题，即使在工作中不受欢迎或 有时存在分歧或矛盾，也能认真负责，做出道德的行为2、信息安全审核人员专业知识定义表专业知识是信息安全审核人员在工作实践中所获得的认识和经验的总和，它 是审核员充分发挥作用的基础性要求。没有良好的知识根基，专业化程度会大大降低。不同的岗位要求具备的知识也是有区别的，其定义及分级描述如表3所示。表3信息安全审核人员专业知识定义表素质名称定义级别行为表现认证认可 知识认证认

16、可的基本概 念、认证认可法律 法规体系、认证认 可行政管理体系等1级了解认证认可的基本概念，了解我国认证认可的 法律法规体系和行政管理体系2级了解认证认可的行业状况，掌握认证认可的概念 及含义，熟悉认证认可的法律法规体系和行政管 理体系3级熟悉认证认可的历史、发展与现状，洞悉认证认可 行业状况的重大变化与趋势，掌握我国认证认可的 法律法规体系，熟悉认证认可的行政管理机构以及 管理要求审核相关 知识审核的原则、程序 和技术、产品认证 基础知识、服务资 质评审基础知识等1级了解审核的一般原则、审核通用流程和方法，了 解产品认证和服务资质评审的基础知识2级熟悉审核原则，掌握审核的通用流程和审核方法，

17、 熟悉产品认证及服务资质评审的基础知识和我国的 管理要求3级掌握并熟练运用审核原则，掌握各类审核的流程 和方法，掌握产品认证及服务资质评审的基础知 识、类别以及管理模式信息安全相关知识信息技术、信息安 全技术、信息安全 标准、信息安全法 律法规等1级了解信息安全技术的类别，熟悉各类信息安全技 术的基本概念，了解我国已发布的信息安全标准 情况，了解与一般性组织相关的信息安全法律法 规2级了解信息技术的基础知识，熟悉信息安全技术的分类及其技术的基本原理，熟悉我国的信息安全 标准制定情况，了解相关的国际信息安全标准情 况，熟悉已发布的信息安全法律法规3级了解信息技术的分类及各项基础内容，熟悉各类 信

18、息安全技术，熟悉国内外信息安全标准的现状 及发展趋势，掌握各行业所适用的信息安全法律 法规3、信息安全审核人员能力定义表能力是信息安全审核人员在工作过程中能够应用知识和技能实现预期结果 的本领；不同的岗位要求具备的能力也是有区别的，其定义及分级描述如表4-4 所示。表4信息安全审核人员能力定义表素质名称定义级别行为表现系统思考 能力保持思维的广度， 在开展审核的过程 中考虑工作对周围 环境的影响，从而 做出对全局有益的方案和行动1级综合考虑审核中每个环节的逻辑关系预先设想自身的审核对于受审核方和其他组员 的影响，并做好事先沟通考虑自身决策对于审核组及相关环节的影响素质名称定义级别行为表现2级在考虑工作问题的过程中，能够在确定解决问 题的办法时，考虑资源分配的合理性，充分发挥可 用的技能和资源考虑自身决策对于受审组织及认证机构的影响， 能够联合相关人员共同设计更好的解决方案分析归纳国际和行业的重要政策，以支持和推 动相关变更3级1 .针对环境的改变重新组合资源，为自身解决问 题提供支持以认证机构权益为中心，综合考虑各个部门之 间的工作联系考虑自身决策对认证机构和受审组织的影响预见国家和行业的重要政策，及时作出调整注：由于篇幅原因，仅以“系统思考能力”为例。4、信息安全审核员能力模型根据能力分级，信息安全审核员能力模型如图3所示。系统思考能力（2级）信息分析能