中国信息安全认证中心 田惠文
摘 要:本文首先详细研究了胜任素质模型,掌握和理解了胜任素质模型的内涵,并将胜任素质模型应用在信息安全认证领域;同时,通过对信息安全工作特点的研究提出了信息安全审核员需具备的素质和能力,并对能力进行了分级。借鉴胜任素质模型,提出了信息安全审核员和信息安全审核组长的能力模型。 关键词:胜任素质模型 信息安全 审核员能力模型
delta并联机器人
认证是企业和其他组织提高管理和服务水平、保证产品质量、提高市场竞争力的可靠方式,是从源头上确保产品质量安全、规范市场行为、指导消费、保护环境、保护人民生命健康的重要保障,在国家经济建设和社会发展中起着日益重要的作用。认证活动是一项规范化、标准化的活动,具有相当的独立性、公正性和可信度。从事认证业务的各类人员的素质和能力,是认证机构工作质量和信誉的保证,审核员是认证机构运作和发展的基础和根本,是认证认可事业健康发展的关键。认证机构要切实承担起提高审核员能力的主要责任,加强对审核员的选聘、培养、考核、持续培养和教育方面的管理。而信息安全领域作为一个新的认证领域,如何更有效地对信息安全审核员进行管理,作者在这方面进行了探索。
一、胜任素质模型简介
胜任素质(Competency)又称能力素质,在组织管理中是指驱动员工做出卓越绩效的一系列综合素质,是员工通过不同方式表现出来的知识、技能或能力、职业素养、自我认知、特质等素质的集合。素质是判断一个人能否胜任某项工作的起点,是决定并区别绩效差异的个人特征。
哈佛大学教授麦克里兰是将胜任素质应用于实践的第一人。20世纪50年代初,麦克里兰应美国国务院邀请为之设计一种能够有效预测驻外服务信息官员能否做出优秀绩效的甄选方法。麦克里兰采用行为事件访谈法收集第一手材料,比较分析工作表现优秀和一般的驻外服务信息官员具体行为特征的各项差异,最终提炼出驻外服务信息官员胜任工作且能做出优秀绩效所应具备的能力素质。
胜任素质模型自其诞生之日起就被应用到人力资源管理的各个方面,实践证明,运用胜任
素质模型可以提高企业的人力资源质量,提升组织竞争力,从而推进企业发展战略目标的实现。
自助饮水机根据员工所应具备的胜任素质,从知识、能力、职业素养三个层面构建其胜任素质模型,具体内容如图1掘进机液压泵所示。
图1 胜任素质模型
二、信息安全工作的特点对审核人员的素质要求
由电脑、网络、应用软件等组成的IT系统是信息社会的新型“生产工具”,它们的安全已经成为社会生产安全的重要组成部分,特别是那些业务高度依赖IT通用模型系统的组织。
但系统漏洞、黑客攻击、网络间谍等信息安全风险总是客观存在。如何应对这些层出不穷的信息安全风险,保护信息资产的安全,保持业务持续有效运行,满足日益严格的合规要求,以更好的支撑组织业务发展,已经成为各行各业关注的重要领域。
要确保组织信息和信息系统的保密性、完整性、可用性、可认证性、不可否认性,组织需要实施大量的工作,这些信息安全工作业已成为组织信息化部门的重要任务,从目前普遍的信息安全工作实际情况来看,组织的信息安全工作呈现具备多个特点,根据这几个特点,提出了对审核人员的相应素质要求,信息安全审核人员应在具备所有审核员所需具备的个人素质的基础上,还需满足以下的素质的要求。
1、关键性和敏感性及其对应的素质要求
组织的业务开展越来越倾向于通过业务应用系统来实现,基于信息技术的各类应用系统的
重要性越来越高。另一方面,各种信息安全风险威胁着系统的正常运行,从而影响到了组织业务的开展。而信息安全工作的目标旨在保障信息系统的正常稳定可靠的运行,保持业务的持续有效。因此,在当前情况下,信息安全工作在组织内占据重要地位。
组织的信息安全工作一般被赋予管理和接触公司商业秘密信息、重要客户资料信息以及其他敏感事项信息的职责,这些信息的保密性至关重要。信息的泄露可能会给组织带来致命的影响,因此,一般情况下,信息安全工作成为了各组织的敏感事务,对审核人员来说,其信息安全审核工作也具有了一定的敏感性。
信息安全工作的这种关键性和敏感性使得审核人员在审核过程中有可能接触到受审组织的一些关键信息和敏感信息,其泄露会对受审组织带来极大的负面影响,而且审核人员的随意操作也可能会对受审组织的信息系统产生影响。因此信息安全审核人员除应遵守审核人员必备的公正、可靠、忠诚、诚实这些道德素质外,还应廉洁自律,并具备纪律性。
廉洁自律是指个人应遵守行业从业人员的职业规范,对自己的行为具有职业规范所要求的自我约束能力,不利用岗位权力的便利行损公肥私之事,不因私利/私欲影响自己所从事的工作。纪律性是指个人自觉遵守认证机构各项管理制度,保证个人行为及工作行为不与认
证机构的管理制度和工作原则相抵触。
2、复杂性及其对应的素质要求
信息安全工作作为一个专业领域,涉及众多技术和管理因素,并且与其他领域,例如物理安全、人员安全等有密不可分的联系。因此,无论对信息安全工作人员还是对于信息安全审核人员来说,信息安全工作都具有极大的复杂性。
信息安全工作的复杂性要求审核人员在具备所需知识的前提下,应具有全局观念,从整体上分析受审组织信息安全工作的充分性、有效性和适宜性。
全局观念是指个人在开展工作或进行决策时,能够考虑他人、其他部门和组织整体的情况,从组织的整体和长远利益出发考虑问题。
3、时效性及其对应的素质要求
随着信息化技术的高速发展以及信息安全风险的迅速普及,信息安全技术也得到了快速发展,各种新的信息安全概念、技术和管理手段层出不穷,信息安全审核人员要做到有效审骨刺灵
纳米铂金核,必须随时关注最新的信息安全发展趋势,了解和掌握最新的信息安全技术和管理手段。
信息安全工作的这种时效性,对审核人员也提出了更高的要求。信息安全审核人员应乐于研究新的信息安全现状和形势,以学习为乐,对信息化和信息安全的新知识、新技能、新领域保持关注,并随时学习掌握这些新知识的基本概念、原理和方法。
4、员工排斥性及其对应的素质要求
安全与方便本身便是一对矛盾,在确保安全的同时,必然损失了便利性,而且信息安全工作本身也增加了员工的任务量。因此信息安全工作在组织中的推广运行,尤其是一些信息安全管理机制,一般不会受到员工的特别欢迎。对于信息安全工作的审核也不可避免受到一定的阻碍,因此,对于审核人员来说,应具有在不受欢迎或存在分歧或矛盾时的协调能力。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议