加强信息安全人事管理可以为政府信息安全搭建起一道重要的防护屏障。根据信息安全工作及信息安全人员的特点,分析梳理政府部门信息安全人事管理各主要职能,即招募与选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等实务要点,有利于有关方面熟练并有的放矢地做好政府信息安全人事管理工作,进而保障政府信息安全。
论文关键词:政府;信息安全;信息安全人事管理
随着我国信息化建设的不断推进以及电子政务的持续发展,政府信息安全事故也频频发生。
资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在信息安全事件中起决定作用的是人,人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手,对组织中信息安全人员进行科学管理、合理配置和有效开发,籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来,发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点,以期为有关方面提供借鉴和参考。
一、信息安全人员招募与选拔
招募与选拔是政府信息安全人员的“入口”,直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点:
1.从招募与选拔的标准上看,突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点,进而决定了信息安全从业人员具有诸多特殊性及要求:他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密,保守秘密是他们的基本职业道德;他们必须不断学习,对自己的知识与能力进行“升级”,才能适应信息时代信息安全工作的需要;他们必须遵守更多的规定,而且在组织中具有明确的职责,不能越雷池半步。这些都表明,信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求:必须具有很强的组织纪律性和保密意识;具有很强的团队意识和合作精神,愿意为组织利益牺牲个人利益;具有长远眼光和接纳新事物的胸怀,不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外,管理与技术是做好信息安全工作的两大法宝,因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度,并根据职位的不同定位来确定不同的考察重点。
2.从招募的途径上看,在内部招募和外部招募相结合的基础上,突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才,其方式包括内部晋升、岗位轮换和返聘等;外部招募是指按照一定的标准和程序,从组织外部的众多候选人中挑选符合空缺职位要求的人员,其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣,两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人员招募一般突出依赖内部招募,这主要是为了人员安全可靠的考虑,确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过,由于当前我国政府信息安全人才仍旧匮乏,所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。
3.从选拔的过程上看,尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查,但不一定是必须的,或者审查的过程与结果不一定非常严格与仔细。与之不同的是,信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺,而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性,并在“人口”或“源头”上控制信息安全人事风险。例如,美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查,以确定候选人的诚实度、心理健康度或意志力等。此外,一旦候选人接受了工作,录用合同就成为重要的安全手段。在合同中,组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议,要求候选人在将来的工作甚至离职后的一段时间中,必须遵守组织相关保密规定,担负起保障组织信息安全的责任,否则就会受到处罚。候选人只有在保密协议上签字,承诺遵守相关政策,组织才能录用。
二、信息安全人员培训
信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:
1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。
2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。
三、信息安全人员使用
信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:
1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,
威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。
2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。
四、信息安全人员绩效考核
信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:
1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。
2.从绩效考核的内容上看,突出考核信息安全人员的道德品质与工作事故情况,而且不仅考核工作时间内的表现,也考核工作时间外的表现。一般的组织在员工进行绩效考核时,多依据“事后”的工作结果及业绩,业绩高则评价高,业绩低则评价低。但是信息安全这一行业具有其特殊性,单纯以“事后”的结果与业绩作为考核标准,难免会在组织内出现业绩高、品德低以及不重视过程的人员,进而存组织内埋下安全隐患,因此应突出考核信息安全人员在工作过程中所表现出来的道德品质、心理素质、忠诚度等。这些素质是一个人的行为指向标,决定一个人的行为方向,其一般标准是责任心强、遵守职业道德、具有进取精神、作风正派、遵纪守法等。而且,由于信息安全工作对安全性要求明显,冈此还要突出考核信息安全人员存工作过程中是否能恪尽职守,有无工作事故的发生。另外,必须通过日常考核掌握信息安全工作人员工作时间外的表现,包括是否存在随便与人交往问题,家庭关系是否和谐,生活作风是否正常,以及非工作行为是否怪异等等。
3.从绩效考核的期间看,以平时考核为主。信息安全人员的工作由于涉及到安全问题,因此不能像一般丁作人员那样以年终考核为主,而应突出平时考核以实现日常监控,并达到天天、时时、秒秒不安全问题。基于此,信息安全人员绩效考核可实施“月考”、“周考”,甚至“日考”,可以说,考核时间越短越有利于确保安全。安全问题无小事,若不重视平时考核,由此引发的哪怕是一眨眼功夫发生的事故,也有可能导致组织在安全上“功亏一篑”、“全盘皆输”。考核周期短虽然做起来麻烦,但“安全问题高于一切”,只要有利于保障信息安全,工作上“麻烦”一点是值得的。
五、信息安全人员激励
信息安全人员激励的关键是调动工作积极性,激发信息安全人员的潜能去实现工作目标,实务要点包括:
1.重视满足归属、人际交往与尊重的需要。内容型激励理论认为,组织满足员工的归属、人际交往与尊重等需要可以激励员工努力工作。而信息安全人员,特别是关键涉密人员的工作基本上是单调、枯燥、责任重大的,他们经常需要长时间值班或加班,长期处于全封闭或半封闭式的环境中,在单位及花在工作上的时间要比常人多得多,生活及社交空间相对狭小,所以组织更要设法满足其归属、人际交往与尊重的需要,而这主要依靠在单位及岗位上与领导或同事之间的相互沟通与关爱中得以实现。因此,组织必须创设关系融洽、和谐的工作氛围,建立良好的上下级与同事关系,多关心、爱护、支持信息安全人员,以满足他们归属等需要,激发他们的工作积极性。
2.强化目标激励。过程型激励理论认为,明确而可行的工作目标可以牵引员工积极付出行动以实现目标。由于信息安全工作责任重、压力大,同时又相对封闭与单调,容易导致信息安全人员产生工作倦怠和目标迷失等不良现象,进而影响到他们职业发展与组织目标的实现。对此,应帮助信息安全人员树立合理可行的工作目标,特别要通过引导他们认识到自己所从事工作的光荣与神圣,进而激励他们努力干好信息安全工作,以此获得职业发展与心理满足等。
六、信息安全人员离职管理
离职是政府在信息安全人员使用过程中不可避免出现的现象,它按是否符合员工的主观意愿分为自愿离职与非自愿离职。对于离职人员,必须严格办理离职手续,并对其进行离职谈话,要重点防范那些被开除而心怀不满的非自愿离职者。而且,无论是自愿离职还是非自愿离职,都应当遵守基本的管理程序:一是做好交接工作,列出离职者需要交出的物品或设备清单,不仅包括安全配置、文件、入门证、钥匙等有形物品,还包括密码和今后的联系方式等,收回储存或销毁相关物品及文件;二是对离职者进行检查或审计,防止关键信息被复制、改变等;三是告知离职者要遵守其所签订合同中的保密协议,在离去的一段时间内保守组织秘密,不得从事相关行业的工作;四是及时更换密码或系统口令,撤销与之有关的所有账户,更换办公室及文件柜的密码锁等。
总之,政府部门应该从信息安全人事管理的各个职能人手,完善并优化“选人”、“用人”、“育人”、“留人”全过程管理,以消除管理上的“死角”;同时也要充分认识到信息安全人事管理的特殊性,转变将信息安全人事管理一般化的做法,将之从一般性人事管理中区分开来,成为专业性和独立性都很强的工作,进而为保障政府信息安全构筑起牢不可破的“人事管理防线”。