論文摘要：加強信息安全人事管理可以為政府信息安全搭建起一道重要的防護屏障。根據信息安全工作及信息安全人員的特點，分析梳理政府部門信息安全人事管理各主要職能，即招募與選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等實務要點，有利于有關方面熟練并有的放矢地做好政府信息安全人事管理工作，進而保障政府信息安全。

論文關鍵詞：政府；信息安全；信息安全人事管理

隨著我國信息化建設的不斷推進以及電子政務的持續發展，政府信息安全事故也頻頻發生。

資料表明，七成以上的政府信息安全事故是由政府內部相關工作人員引發的。可見，在信息安全事件中起決定作用的是人，人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現代人力資源管理理論為基礎，從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手，對組織中信息安全人員進行科學管理、合理配置和有效開發，籍以實現組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關鍵要素，信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現代人力資源管理相關理論與信息安全工作特點結合起來，發掘與提煉信息安全人事管理各主要職能具有特殊性與規律性的實務要點，以期為有關方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”，直接影響到信息安全工作的質量和效率。信息安全人員的招募與選拔實務應該把握以下要點：

1．從招募與選拔的標準上看，突出對個人品德及專業知識的要求。信息安全工作具有保密性、綜合性、層次性和規范性等特點，進而決定了信息安全從業人員具有諸多特殊性及要求：他們在工作中會接觸到關系國家及組織榮辱興衰、生死存亡的大量秘密，保守秘密是他們的基本職業道德；他們必須不斷學習，對自己的知識與能力進行“升級”，才能適應信息時代信息安全工作的需要；他們必須遵守更多的規定，而且在組織中具有明確的職責，不能越雷池半步。這些都表明，信息安全人員必須具有更高的品德修養。這對應聘者提出更高的標準及要求：必須具有很強的組織紀律性和保密意識；具有很強的團隊意識和合作精神，愿意為組織利益犧牲個人利益；具有長遠眼光和接納新事物的胸懷，不斷更新自身素質。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外，管理與技術是做好信息安全工作的兩大法寶，因此是否具備一定的信息安全管理與技術專業知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業知識掌握的程度，并根據職位的不同定位來確定不同的考察重點。

2．從招募的途徑上看，在內部招募和外部招募相結合的基礎上，突出內部招募。內部招募是指從組織內部發現并培養所需要的各種人才，其方式包括內部晉升、崗位輪換和返聘等；外部招募是指按照一定的標準和程序，從組織外部的眾多候選人中挑選符合空缺職位要求的人員，其方式包括人才招聘會與校園招聘等。內部招募和外部招募各有優劣，兩者結合起來可使招募效果最大化。由于信息安全工作的保密性要求，信息安全人員招募一般突出依賴內部招募，這主要是為了人員安全可靠的考慮，確保信息安全人員的穩定性。信息安全關鍵或領導職位出現空缺尤為如此。不過，由于當前我國政府信息安全人才仍舊匱乏，所以當內部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關鍵性信息安全人員時尤為如此。

3．從選拔的過程上看，尤為重視背景審查和保密協議簽訂兩個環節。一般單位選拔人員可能也進行背景審查，但不一定是必須的，或者審查的過程與結果不一定非常嚴格與仔細。與之不同的是，信息安全人員的選拔尤為重視背景審查這個環節。該環節不僅不可或缺，而且在審查的時間、內容、過程、結果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性，并在“人口”或“源頭”上控制信息安全人事風險。例如，美國中央情報局聯邦調查局等部門在選拔關鍵涉密人員過程中經常采用“心理測謊術”等高科技手段來對候選人進行審查，以確定候選人的誠實度、心理健康度或意志力等。此外，一旦候選人接受了工作，錄用合同就成為重要的安全手段。在合同中，組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協議，要求候選人在將來的工作甚至離職后的一段時間中，必須遵守組織相關保密規定，擔負起保障組織信息安全的責任，否則就會

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括：

1．從培訓原則看，堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作，特別是對于培訓內容、時間和地點等，不可隨意泄露，以免引起不必要的麻煩。此外，適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則，才能使信息安全人員跟蹤本領域科技發展最新動態，掌握最先進的知識與技能，以防止思想觀念陳舊與知識技能老化。

2．從培訓內容看，側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終，但是工作時間越長員工大多會出現倦怠，信息安全意識便會降低逐漸放松警惕，信息安全風險隨之倍增，所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳，包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上，在這些物體上印制上安全標語，用來提醒員工注意安全如在鼠標墊上印上“BeSafe：Think BethreYouClick”，使信息安全人員在每天工作時都最先考慮信息安全，樹立自覺維護信息安全的意識。此外，信息安全行業的綜合性使得組織必須根據學用一致的原則，加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術，使其掌握信息安全的基本原理、要求和慣例，才能提高其技術與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策，促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等，以保障組織信息安全。信息安全人員使用實務要點是：

1．堅持責任分離和可監控原則。責任分離是一種控制機制，用來減少一個人破壞信息安全，

威脅到信息的機密性、完整性和可用性的機會。其具體要求是：(1)明確信息安全系統中每個人的職責，要求“誰管理，誰負責”；(2)關鍵崗位的人員不得再兼任其他職位，嚴格控制使用兼職人員；(3)避免一個人從事某項信息安全行為或保管組織所有安全信息；(4)堅持崗位輪換原則，確保一個員工的工作有另一個員工進行審核；(5)重要的任務有兩人以上共同完成。此外，可監控原則是對責任分離原則的量化，使組織能夠對信息安全人員的工作內容進行監督，進行明確的審查。其具體要求包括：每位員工對所有的相關操作做好記錄，以便核查；重要的更改活動如更改配置，更新信息系統等，必須按層級權限申報，獲得批準后方可實施；沒有日期、沒有內容、沒有人簽署而無法追查的活動，必須嚴格禁止。而且，由于員工非工作時間的種種表現也會影響信息安全，因此除了對員工在工作時間的表現進行監督，還必須掌握其非工作時間的一些異常表現。

2．防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素，因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險：首先通過培訓等方式，提高信息安全人員對信息安全人事風險的認識，增強防范意識；其次，健全人事管理周邊制度，如督察制度、處理與反饋制度、懲罰制度、反饋制度等，以實現對信息安全人事風險的全過程監控。第，大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍，提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準，考察信息安全人員實際完成工作情況的過程。績效考核的結果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段，并可以幫助員工提高工作績效，促進員工和組織共同發展。它包括以下實務要點：

1．從績效考核的原則上看，堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分，制定不同的考核方法，有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護：第一級為自主保護級，第二級為指導保護級，第級為監督保護級，第四級為強制保護級，第五級為專控保護級。很明顯，處于不同等級中的信息安全人員的職責與涉密程度是不一樣的，加上不同崗位上不同類型的人員，如系統主管人員、數據錄入人員、程序員等職責和要求也不同，岡此有必要遵循分級分類原則，避免“一刀切”的做法。

受到處罰。候選人只有在保密協議上簽字，承諾遵守相關政策，組織才能錄用。

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括：

1．從培訓原則看，堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作，特別是對于培訓內容、時間和地點等，不可隨意泄露，以免引起不必要的麻煩。此外，適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則，才能使信息安全人員跟蹤本領域科技發展最新動態，掌握最先進的知識與技能，以防止思想觀念陳舊與知識技能老化。

2．從培訓內容看，側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終，但是工作時間越長員工大多會出現倦怠，信息安全意識便會降低逐漸放松警惕，信息安全風險隨之倍增，所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳，包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上，在這些物體上印制上安全標語，用來提醒員工注意安全如在鼠標墊上印上“BeSafe：Think BethreYouClick”，使信息安全人員在每天工作時都最先考慮信息安全，樹立自覺維護信息安全的意識。此外，信息安全行業的綜合性使得組織必須根據學用一致的原則，加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術，使其掌握信息安全的基本原理、要求和慣例，才能提高其技術與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策，促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等，以保障組織信息安全。信息安全人員使用實務要點是：

1．堅持責任分離和可監控原則。責任分離是一種控制機制，用來減少一個人破壞信息安全，

威脅到信息的機密性、完整性和可用性的機會。其具體要求是：(1)明確信息安全系統中每個人的職責，要求“誰管理，誰負責”；(2)關鍵崗位的人員不得再兼任其他職位，嚴格控制使用兼職人員；(3)避免一個人從事某項信息安全行為或保管組織所有安全信息；(4)堅持崗位輪換原則，確保一個員工的工作有另一個員工進行審核；(5)重要的任務有兩人以上共同完成。此外，可監控原則是對責任分離原則的量化，使組織能夠對信息安全人員的工作內容進行監督，進行明確的審查。其具體要求包括：每位員工對所有的相關操作做好記錄，以便核查；重要的更改活動如更改配置，更新信息系統等，必須按層級權限申報，獲得批準后方可實施；沒有日期、沒有內容、沒有人簽署而無法追查的活動，必須嚴格禁止。而且，由于員工非工作時間的種種表現也會影響信息安全，因此除了對員工在工作時間的表現進行監督，還必須掌握其非工作時間的一些異常表現。 2．防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素，因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險：首先通過培訓等方式，提高信息安全人員對信息安全人事風險的認識，增強防范意識；其次，健全人事管理周邊制度，如督察制度、處理與反饋制度、懲罰制度、反饋制度等，以實現對信息安全人事風險的全過程監控。第，大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍，提高信息安全人員的免疫力。

四、信息安全人員績效考核

信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準，考察信息安全人員實際完成工作情況的過程。績效考核的結果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段，并可以幫助員工提高工作績效，促進員工和組織共同發展。它包括以下實務要點：

1．從績效考核的原則上看，堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分，制定不同的考核方法，有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護：第一級為自主保護級，第二級為指導保護級，第級為監督保護級，第四級為強制保護級，第五級為專控保護級。很明顯，處于不同等級中的信息安全人員的職責與涉密程度是不一樣的，加上不同崗位上不同類型的人員，如系統主管人員、數據錄入人員、程序員等職責和要求也不同，岡此有必要遵循分級分類原則，避免“一刀切”的做法。

2．從績效考核的內容上看，突出考核信息安全人員的道德品質與工作事故情況，而且不僅考核工作時間內的表現，也考核工作時間外的表現。一般的組織在員工進行績效考核時，多依據“事后”的工作結果及業績，業績高則評價高，業績低則評價低。但是信息安全這一行業具有其特殊性，單純以“事后”的結果與業績作為考核標準，難免會在組織內出現業績高、品德低以及不重視過程的人員，進而存組織內埋下安全隱患，因此應突出考核信息安全人員在工作過程中所表現出來的道德品質、心理素質、忠誠度等。這些素質是一個人的行為指向標，決定一個人的行為方向，其一般標準是責任心強、遵守職業道德、具有進取精神、作風正派、遵紀守法等。而且，由于信息安全工作對安全性要求明顯，岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守，有無工作事故的發生。另外，必須通過日常考核掌握信息安全工作人員工作時間外的表現，包括是否存在隨便與人交往問題，家庭關系是否和諧，生活作風是否正常，以及非工作行為是否怪異等等。

3．從績效考核的期間看，以平時考核為主。信息安全人員的工作由于涉及到安全問題，因此不能像一般丁作人員那樣以年終考核為主，而應突出平時考核以實現日常監控，并達到天天、時時、秒秒不安全問題。基于此，信息安全人員績效考核可實施“月考”、“周考”，甚至“日考”，可以說，考核時間越短越有利于確保安全。安全問題無小事，若不重視平時考核，由此引發的哪怕是一眨眼功夫發生的事故，也有可能導致組織在安全上“功虧一簣”、“全盤皆輸”。考核周期短雖然做起來麻煩，但“安全問題高于一切”，只要有利于保障信息安全，工作上“麻煩”一點是值得的。

五、信息安全人員激勵

信息安全人員激勵的關鍵是調動工作積極性，激發信息安全人員的潛能去實現工作目標，實務要點包括：

1．重視滿足歸屬、人際交往與尊重的需要。內容型激勵理論認為，組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員，特別是關鍵涉密人員的工作基本上是單調、枯燥、責任重大的，他們經常需要長時間值班或加班，長期處于全封閉或半封閉式的環境中，在單位及花在工作上的時間要比常人多得多，生活及社交空間相對狹小，所以組織更要設法滿足其歸屬、人際交往與尊重的需要，而這主要依靠在單位及崗位上與領導或同事之間的相互溝通與關愛中得以實現。因此，組織必須創設關系融洽、和諧的工作氛圍，建立良好的上下級與同事關系，多關心、愛護、支持信息安全人員，以滿足他們歸屬等需要，激發他們的工作積極性。

2．強化目標激勵。過程型激勵理論認為，明確而可行的工作目標可以牽引員工積極付出行動以實現目標。由于信息安全工作責任重、壓力大，同時又相對封閉與單調，容易導致信息安全人員產生工作倦怠和目標迷失等不良現象，進而影響到他們職業發展與組織目標的實現。對此，應幫助信息安全人員樹立合理可行的工作目標，特別要通過引導他們認識到自己所從事工作的光榮與神圣，進而激勵他們努力干好信息安全工作，以此獲得職業發展與心理滿足等。

六、信息安全人員離職管理

離職是政府在信息安全人員使用過程中不可避免出現的現象，它按是否符合員工的主觀意愿分為自愿離職與非自愿離職。對于離職人員，必須嚴格辦理離職手續，并對其進行離職談話，要重點防范那些被開除而心懷不滿的非自愿離職者。而且，無論是自愿離職還是非自愿離職，都應當遵守基本的管理程序：一是做好交接工作，列出離職者需要交出的物品或設備清單，不僅包括安全配置、文件、入門證、鑰匙等有形物品，還包括密碼和今后的聯系方式等，收回儲存或銷毀相關物品及文件；二是對離職者進行檢查或審計，防止關鍵信息被復制、改變等；三是告知離職者要遵守其所簽訂合同中的保密協議，在離去的一段時間內保守組織秘密，不得從事相關行業的工作；四是及時更換密碼或系統口令，撤銷與之有關的所有賬戶，更換辦公室及文件柜的密碼鎖等。

總之，政府部門應該從信息安全人事管理的各個職能人手，完善并優化“選人”、“用人”、“育人”、“留人”全過程管理，以消除管理上的“死角”；同時也要充分認識到信息安全人事管理的特殊性，轉變將信息安全人事管理一般化的做法，將之從一般性人事管理中區分開來，成為專業性和獨立性都很強的工作，進而為保障政府信息安全構筑起牢不可破的“人事管理防線”。