●陳　恒，魏修建，殷　猛（西安交通大學(xué)經(jīng)濟(jì)與金融學(xué)院，西安710061）

信息價(jià)值鏈視角下的業(yè)務(wù)信息安全管理效率研究

●陳恒，魏修建，殷猛（西安交通大學(xué)經(jīng)濟(jì)與金融學(xué)院，西安710061）

［關(guān)鍵詞］信息價(jià)值鏈；信息安全；管理效率；DEA模型

［摘要］從業(yè)務(wù)信息價(jià)值鏈視角出發(fā)，通過(guò)分析數(shù)據(jù)信息在業(yè)務(wù)活動(dòng)流轉(zhuǎn)中“輸入－輸出”過(guò)程，識(shí)別信息價(jià)值鏈的增值方向，從而有效識(shí)別業(yè)務(wù)信息價(jià)值鏈不同節(jié)點(diǎn)信息安全管理資源的投入數(shù)量，并建立業(yè)務(wù)信息安全管理資源的輸入-輸出指標(biāo)，在此基礎(chǔ)上引入數(shù)據(jù)包絡(luò)分析法（DEA模型），計(jì)算信息價(jià)值鏈節(jié)點(diǎn)的技術(shù)效率值以及投入和輸出指標(biāo)的松弛度?；诖颂岢鰞?yōu)化業(yè)務(wù)信息安全管理效率的具體方案，通過(guò)實(shí)例驗(yàn)證本方法的可用性。

近年來(lái)，信息安全所涉及的研究?jī)?nèi)容在學(xué)界逐漸得到統(tǒng)一，即信息安全是強(qiáng)調(diào)保護(hù)知識(shí)產(chǎn)權(quán)、數(shù)據(jù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全等三方面內(nèi)容。［1］在解決信息安全問(wèn)題上，研究范圍包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、模型（故障樹(shù)模型、［2］模糊層次分析法、［3］BP神經(jīng)網(wǎng)絡(luò)、［4］貝葉斯網(wǎng)絡(luò)模型、［5］博弈論方法［6］等）以及信息安全理論、標(biāo)準(zhǔn)在行業(yè)中的應(yīng)用。［7,8］而國(guó)標(biāo)ISO / IEC 27001: 2005指出，信息安全的主要目的是確保業(yè)務(wù)的連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)最大化。這一要求決定了現(xiàn)實(shí)中風(fēng)險(xiǎn)管理活動(dòng)不可能無(wú)限制投入資源去保障組織的信息安全。因而更多的信息安全管理者需要明確組織信息系統(tǒng)所涉及的業(yè)務(wù)以及業(yè)務(wù)包含流程（節(jié)點(diǎn)）的信息安全管理效率，通過(guò)效率高低確定優(yōu)化信息安全管理資源的配置策略，提高信息安全資源投資的回報(bào)率。然而，現(xiàn)有信息安全風(fēng)險(xiǎn)評(píng)估模型、方法、手段僅僅能解決識(shí)別信息系統(tǒng)風(fēng)險(xiǎn)等級(jí)的問(wèn)題，還不能明確后續(xù)風(fēng)險(xiǎn)管理所投入的信息安全管理資源（包括管理、技術(shù)、軟件、硬件資源等）的使用效率。此外，現(xiàn)有信息安全管理與風(fēng)險(xiǎn)評(píng)估的研究多以整體信息系統(tǒng)作為研究對(duì)象，［9］導(dǎo)致后續(xù)的風(fēng)險(xiǎn)管理并不能有效明確業(yè)務(wù)子單元的風(fēng)險(xiǎn)概況。因而，常存在某些業(yè)務(wù)子單元或業(yè)務(wù)節(jié)點(diǎn)風(fēng)險(xiǎn)管理資源投入不當(dāng)，造成信息安全管理效率低下。

目前，對(duì)業(yè)務(wù)信息安全管理效率的研究較少?；诖?，本文提出信息價(jià)值鏈視角下的業(yè)務(wù)信息安全管理效率評(píng)估方法，通過(guò)構(gòu)建業(yè)務(wù)信息價(jià)值鏈模型、信息安全管理資源投入與輸出指標(biāo)，應(yīng)用DEA模型計(jì)算組織業(yè)務(wù)（業(yè)務(wù)節(jié)點(diǎn)）信息安全管理效率，最終明確業(yè)務(wù)信息系統(tǒng)不同節(jié)點(diǎn)的信息安全管理效率。并依據(jù)效率的有效性確定進(jìn)一步優(yōu)化信息安全資源配置方法，提高業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)的信息安全管理效率。

1業(yè)務(wù)信息價(jià)值鏈模型構(gòu)建

信息價(jià)值鏈?zhǔn)侵笖?shù)據(jù)信息在不同節(jié)點(diǎn)流轉(zhuǎn)中，通過(guò)組織各項(xiàng)資源的投入對(duì)數(shù)據(jù)信息進(jìn)行加工、處理、精簡(jiǎn)、對(duì)比、分析等一系列過(guò)程形成增值性輸出，并且在不同節(jié)點(diǎn)形成增值環(huán)節(jié)，且各個(gè)增值環(huán)節(jié)連接起來(lái)構(gòu)成一個(gè)連續(xù)、具有方向性的業(yè)務(wù)信息價(jià)值鏈。

在信息安全管理中，按照GBT-20984對(duì)信息資產(chǎn)分類，包括數(shù)據(jù)、軟件、硬件、人員、服務(wù)五類資產(chǎn)，進(jìn)一步分析發(fā)現(xiàn)軟件、硬件不具備信息價(jià)值，它們實(shí)質(zhì)是處理數(shù)據(jù)信息的載體，［10］而數(shù)據(jù)信息作為支撐組織決策的核心資產(chǎn)，是信息安全管理的重點(diǎn)保護(hù)對(duì)象。在業(yè)務(wù)活動(dòng)中，人員資產(chǎn)通過(guò)勞動(dòng)投入，借助軟件、硬件、系統(tǒng)服務(wù)對(duì)數(shù)據(jù)信息進(jìn)行加工、處理、流轉(zhuǎn)實(shí)現(xiàn)數(shù)據(jù)信息的增值。服務(wù)資產(chǎn)是為處理數(shù)據(jù)信息提供的保障性活動(dòng)，比如安全服務(wù)、網(wǎng)絡(luò)接入服務(wù)、運(yùn)營(yíng)維護(hù)服務(wù)、安保服務(wù)等。

在組織業(yè)務(wù)活動(dòng)中，數(shù)據(jù)信息在業(yè)務(wù)單元內(nèi)部流轉(zhuǎn)會(huì)產(chǎn)生一個(gè)增值過(guò)程，并隨著流轉(zhuǎn)活動(dòng)形成一條信息價(jià)值鏈。在具體增值過(guò)程中，數(shù)據(jù)信息經(jīng)過(guò)硬件、軟件、人員、服務(wù)資產(chǎn)的流轉(zhuǎn)、加工、濃縮、整序，使原始的數(shù)據(jù)信息增加原來(lái)沒(méi)有的含義，產(chǎn)生一些更有價(jià)值的數(shù)據(jù)輸出。［11］如果將完整的業(yè)務(wù)活動(dòng)看成一個(gè)信息價(jià)值鏈，數(shù)據(jù)信息在業(yè)務(wù)活動(dòng)中流轉(zhuǎn)，會(huì)形成三個(gè)過(guò)程，分別為信息輸入端、流程域和輸出端（如圖所示）。［12］

圖　業(yè)務(wù)信息價(jià)值鏈模型

由圖可知，原始的數(shù)據(jù)信息輸入業(yè)務(wù)信息系統(tǒng)，沿著業(yè)務(wù)信息價(jià)值鏈流轉(zhuǎn)，經(jīng)過(guò)終端的輸出，形成一個(gè)完整的信息價(jià)值增值鏈。而位于信息價(jià)值鏈的不同節(jié)點(diǎn)，數(shù)據(jù)信息逐漸增值。在此過(guò)程中，數(shù)據(jù)信息成為輔助組織決策、具有經(jīng)濟(jì)價(jià)值的數(shù)據(jù)信息。為了保障數(shù)據(jù)信息的安全，組織會(huì)投入相應(yīng)的信息安全資源以保障數(shù)據(jù)信息增值后的CIA。因此，隨著商業(yè)和使用價(jià)值的增值，數(shù)據(jù)信息的保密性、完整性、可用性價(jià)值量在信息價(jià)值鏈節(jié)點(diǎn)會(huì)實(shí)現(xiàn)不同的增值。

2信息價(jià)值鏈視角下的業(yè)務(wù)信息安全管理效率評(píng)估

2.1信息安全管理效率評(píng)估指標(biāo)選取

（1）輸入指標(biāo)描述。信息安全效率評(píng)估是以相對(duì)效率概念為基礎(chǔ)，根據(jù)信息安全管理資源的多指標(biāo)投入和多指標(biāo)產(chǎn)出，對(duì)業(yè)務(wù)單元進(jìn)行信息安全效率的相對(duì)有效性評(píng)價(jià)。信息安全是以保護(hù)知識(shí)產(chǎn)權(quán)、數(shù)據(jù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全為目標(biāo)。其中，知識(shí)產(chǎn)權(quán)有以文字形態(tài)、數(shù)據(jù)形態(tài)、圖片形態(tài)、實(shí)物形態(tài)的區(qū)分；數(shù)據(jù)是用于組織決策、預(yù)測(cè)或?qū)崿F(xiàn)組織自我管理的重要資產(chǎn)；網(wǎng)絡(luò)基礎(chǔ)設(shè)施是為知識(shí)產(chǎn)權(quán)、數(shù)據(jù)的產(chǎn)生提供基本的通信服務(wù)、數(shù)據(jù)傳遞、信息收集服務(wù)的重要保障，并且也是知識(shí)產(chǎn)權(quán)、數(shù)據(jù)的載體或流轉(zhuǎn)設(shè)備。而數(shù)據(jù)和知識(shí)產(chǎn)權(quán)都需要組織業(yè)務(wù)流程產(chǎn)生，并且知識(shí)產(chǎn)權(quán)、數(shù)據(jù)形成過(guò)程中所需大量的資源投入，包括技術(shù)投入、資本投入、人力投入、信息安全管理資源投入等。其中，信息安全管理資源投入作為業(yè)務(wù)信息價(jià)值鏈的一項(xiàng)重要的安全保障，能夠保護(hù)知識(shí)產(chǎn)權(quán)、數(shù)據(jù)在業(yè)務(wù)流程中不被組織內(nèi)外部風(fēng)險(xiǎn)所影響，防止和降低知識(shí)產(chǎn)權(quán)、數(shù)據(jù)發(fā)生被竊取、篡改、濫用等信息安全事件的發(fā)生，從而保障數(shù)據(jù)信息、知識(shí)產(chǎn)權(quán)的CIA。文中，我們從管理、人員、技術(shù)、軟件、硬件角度對(duì)信息安全管理資源進(jìn)行分類，具體包括信息安全管理制度、信息安全管理人員、信息安全技術(shù)和信息資產(chǎn)。對(duì)指標(biāo)的基本描述如下。

①信息安全管理制度。信息安全管理制度的主要作用是對(duì)組織業(yè)務(wù)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行提前的規(guī)劃、防范、控制、處理，以提高信息安全管理的有效性，［13］并能防范由于信息資產(chǎn)脆弱性引發(fā)的信息安全事件。一般情況下，組織對(duì)已執(zhí)行的業(yè)務(wù)信息安全管理制度或規(guī)程制定得越多、越詳細(xì)并且不存在制度或規(guī)范內(nèi)容之間相互沖突，越能對(duì)員工的信息安全行為和信息安全意識(shí)起到規(guī)范和警示作用，降低內(nèi)外部信息安全風(fēng)險(xiǎn)發(fā)生的可能性。

②信息安全管理人員。信息安全管理人員是為防止在信息價(jià)值鏈中不同業(yè)務(wù)節(jié)點(diǎn)發(fā)生信息安全事件而投入的專業(yè)技術(shù)人員。根據(jù)組織信息系統(tǒng)的安全要求，信息安全人員的職責(zé)要求如表1所示。

表1信息安全管理人員分類

在實(shí)踐中，信息安全管理人員分類與職責(zé)設(shè)定可按照組織對(duì)業(yè)務(wù)信息安全的要求及業(yè)務(wù)信息系統(tǒng)的安全屬性來(lái)決定，并且在信息安全管理活動(dòng)中，可能由于人力資源有限會(huì)存在一人多責(zé)的現(xiàn)象。但是，并非組織對(duì)安全管理人員投入數(shù)量越多越好。如果存在人員責(zé)任重疊或人員設(shè)置重疊，將會(huì)導(dǎo)致信息安全管理職責(zé)與行為混亂，造成后續(xù)信息安全管理效率低下。

③信息安全技術(shù)。組織投入信息安全技術(shù)的目的是保障數(shù)據(jù)信息的CAI。在業(yè)務(wù)信息價(jià)值鏈中能夠保障數(shù)據(jù)信息在搜集、加工、流轉(zhuǎn)、增值的一系列過(guò)程無(wú)論數(shù)據(jù)信息在任意的業(yè)務(wù)節(jié)點(diǎn)均是可用的，并對(duì)一些敏感的數(shù)據(jù)信息能夠做到防止被內(nèi)外部威脅利用而產(chǎn)生信息安全問(wèn)題。按照TCP/IP劃分，信息安全技術(shù)可分為四個(gè)層面的保護(hù)技術(shù)，包括物理鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層保護(hù)技術(shù)。涉及的技術(shù)包括加密技術(shù)、安全涉及技術(shù)、權(quán)限管理技術(shù)、數(shù)字認(rèn)證技術(shù)、病毒檢測(cè)技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)、路由安全技術(shù)、VPN/MPLS技術(shù)等。組織投入的信息安全技術(shù)越全面、覆蓋的業(yè)務(wù)范圍越廣，且不存在重復(fù)投入的情況下，越能有效保障數(shù)據(jù)信息在信息價(jià)值鏈中的安全性，且能降低組織整體投入成本，提高信息安全管理效率。

④信息資產(chǎn)。信息資產(chǎn)是組織業(yè)務(wù)系統(tǒng)控制的一項(xiàng)特殊資產(chǎn)，既具有一般物質(zhì)資產(chǎn)的特征，又兼有無(wú)形資產(chǎn)和信息資源的雙重特征。按照GBT/20984資產(chǎn)分類方法，將信息價(jià)值鏈視角下的信息資產(chǎn)劃分為軟件、硬件、人員、服務(wù)、數(shù)據(jù)五種類型。在信息價(jià)值鏈模型中，軟件、硬件、服務(wù)資產(chǎn)服務(wù)于數(shù)據(jù)信息的增值過(guò)程，并且該過(guò)程主要依靠人員資產(chǎn)對(duì)軟、硬件、服務(wù)的人工操作來(lái)實(shí)現(xiàn)。因此，勞動(dòng)力投入、使用的軟件、硬件、服務(wù)、數(shù)據(jù)數(shù)量將直接影響后續(xù)信息安全管理資源的投入規(guī)模，進(jìn)而影響信息安全管理效率。如，軟件的安裝目的主要是處理、分析、存儲(chǔ)數(shù)據(jù)，但若相同類型或具有相同作用的同類軟件安裝過(guò)多，會(huì)占有較大的內(nèi)存空間，造成系統(tǒng)運(yùn)行緩慢。一方面降低信息價(jià)值鏈的增值效率，另一方面將占有更多人力去彌補(bǔ)系統(tǒng)運(yùn)行緩慢而造成的工作延誤，將迫使組織業(yè)務(wù)活動(dòng)投入更多的人力，從而增加系統(tǒng)人員道德風(fēng)險(xiǎn)的概率，且在后續(xù)信息安全管理中，將提高信息安全資源的投入規(guī)模。同樣，硬件資產(chǎn)如果投入數(shù)量過(guò)多，會(huì)導(dǎo)致信息價(jià)值鏈增值過(guò)程占有空閑資源過(guò)多，而需要較多的安全管理人員進(jìn)行硬件維護(hù)，具有不經(jīng)濟(jì)性，還將給信息增值帶來(lái)信息安全風(fēng)險(xiǎn)，降低數(shù)據(jù)信息增值效率和信息安全管理效率；若投入數(shù)量較少，會(huì)造成硬件系統(tǒng)頻繁使用或交叉使用，有導(dǎo)致業(yè)務(wù)中斷的風(fēng)險(xiǎn)，降低數(shù)據(jù)信息增值效率和信息安全管理效率。而人員資產(chǎn)、服務(wù)資產(chǎn)在投入數(shù)量上對(duì)數(shù)據(jù)信息的增值和信息安全管理效率影響與以上資產(chǎn)具有同樣的效果。

（2）輸出指標(biāo)描述。在業(yè)務(wù)信息價(jià)值鏈模型中組織所投入的信息安全管理資源均服務(wù)于數(shù)據(jù)信息增值過(guò)程，并隨著數(shù)據(jù)信息在不同的價(jià)值鏈節(jié)點(diǎn)被加工、流轉(zhuǎn)、集成，其使用價(jià)值對(duì)客戶或用戶而言逐漸增加，最終輸出具有使用價(jià)值或商業(yè)價(jià)值的數(shù)據(jù)信息。增值后的數(shù)據(jù)信息在不同節(jié)點(diǎn)，根據(jù)價(jià)值以及對(duì)用戶的重要性不同，其保密性、完整性、可用性具有不同的安全等級(jí)要求，相應(yīng)其CIA價(jià)值增量也得以體現(xiàn)。因此選擇保密性（C）、完整性（I）、可用性（A）作為業(yè)務(wù)節(jié)點(diǎn)和業(yè)務(wù)輸出評(píng)價(jià)指標(biāo)。具體指標(biāo)描述如下。

①保密性。按照ISO/IEC27002:2005對(duì)信息安全屬性定義，保密性是指信息不能被未授權(quán)人、實(shí)體或過(guò)程利用、獲悉的特性。在業(yè)務(wù)信息價(jià)值鏈模型中數(shù)據(jù)信息沿著信息價(jià)值鏈不斷增值。由于增值后數(shù)據(jù)信息價(jià)值不同，其保密性等級(jí)要求也不相同，因此，保密性屬性具有增值性。若信息價(jià)值鏈各個(gè)節(jié)點(diǎn)存在風(fēng)險(xiǎn)，將會(huì)影響保密性的增值。而信息安全管理資源投入可以保障增值后的數(shù)據(jù)信息的保密性正常增值。

②完整性。完整性是保障數(shù)據(jù)信息在傳遞過(guò)程中沒(méi)有被非法用戶刪除、替換或添加的行為。在業(yè)務(wù)信息價(jià)值鏈中數(shù)據(jù)信息沿著信息價(jià)值鏈不同節(jié)點(diǎn)流轉(zhuǎn)、集成、加工后其使用價(jià)值或商業(yè)價(jià)值不斷增加，數(shù)據(jù)信息的完整性也實(shí)現(xiàn)不同的增值。隨著數(shù)據(jù)信息完整性的增值，非法用戶的行為將對(duì)數(shù)據(jù)信息的完整性產(chǎn)生較大危害，降低完整性增值量大小。而信息安全管理資源投入能夠保障數(shù)據(jù)信息完整性增值的實(shí)現(xiàn)。

③可用性?？捎眯允菙?shù)據(jù)信息能夠?yàn)槭跈?quán)者提供服務(wù)，保障合法用戶對(duì)數(shù)據(jù)信息的訪問(wèn)不被拒絕。在業(yè)務(wù)信息價(jià)值鏈中，數(shù)據(jù)信息不斷增值，其使用價(jià)值或商業(yè)價(jià)值不斷提高。對(duì)組織而言，若數(shù)據(jù)信息增值后拒絕合法用戶訪問(wèn)將產(chǎn)生較大的損失。比如，組織用來(lái)進(jìn)行決策的數(shù)據(jù)信息，當(dāng)數(shù)據(jù)信息處于信息價(jià)值鏈初端的時(shí)候其價(jià)值較小，而處于終端時(shí)使用價(jià)值較大。若在初端可用性較低（出現(xiàn)拒絕訪問(wèn)）對(duì)組織正確決策影響較?。蝗籼幱谛畔r(jià)值鏈終端時(shí)（出現(xiàn)拒絕訪問(wèn)）將對(duì)決策的影響較為嚴(yán)重。因此，在業(yè)務(wù)信息價(jià)值鏈中，隨著數(shù)據(jù)信息的不斷增值，其可用性也得到相應(yīng)的增值，才能保障數(shù)據(jù)信息的使用價(jià)值或商業(yè)價(jià)值的最終體現(xiàn)。

2.2信息價(jià)值鏈視角下的業(yè)務(wù)信息安全管理資源投入識(shí)別

基于上文所構(gòu)建業(yè)務(wù)信息安全管理效率評(píng)估指標(biāo)，需要進(jìn)一步識(shí)別輸出指標(biāo)所涉及的信息安全管理資源。在信息價(jià)值鏈中識(shí)別信息安全管理資源，首先，需要對(duì)信息價(jià)值鏈的增值方向進(jìn)行分析，確定業(yè)務(wù)信息價(jià)值鏈的節(jié)點(diǎn)（環(huán)節(jié)）構(gòu)成，相應(yīng)識(shí)別出不同節(jié)點(diǎn)所投入的信息安全管理資源規(guī)模，包括信息資產(chǎn)載體、信息技術(shù)、信息安全管理人員、信息安全管理制度或規(guī)范的數(shù)量或規(guī)模，形成表2所示的信息安全管理資源的識(shí)別過(guò)程。

表2信息安全管理資源投入識(shí)別過(guò)程

基于業(yè)務(wù)信息價(jià)值鏈可以有效識(shí)別出為保障組織業(yè)務(wù)信息安全所投入的信息安全管理資源，通過(guò)識(shí)別組織不同業(yè)務(wù)及業(yè)務(wù)節(jié)點(diǎn)不同信息安全保障資源的數(shù)量、種類，可以幫助組織摸清信息安全風(fēng)險(xiǎn)管理所投入的資源。同時(shí)，為計(jì)算組織業(yè)務(wù)信息安全管理效率及進(jìn)一步優(yōu)化信息安全管理資源配置作詳細(xì)的清單。

2.3信息安全管理效率評(píng)估模型（DEA）引入

在業(yè)務(wù)信息價(jià)值鏈中引入運(yùn)籌學(xué)領(lǐng)域的DEA模型處理“多輸入-輸出”指標(biāo)觀測(cè)值來(lái)估計(jì)有效生產(chǎn)［14］的理論思想，確定組織不同業(yè)務(wù)及業(yè)務(wù)節(jié)點(diǎn)的信息安全管理效率。與DEA模型相同，業(yè)務(wù)信息價(jià)值鏈也具有“多輸入-輸出”的生產(chǎn)系統(tǒng)。即業(yè)務(wù)數(shù)據(jù)信息通過(guò)輸入業(yè)務(wù)子系統(tǒng)，經(jīng)過(guò)加工、處理、集成、流轉(zhuǎn)，沿著信息價(jià)值鏈實(shí)現(xiàn)增值性輸出。在“多輸入-輸出”系統(tǒng)中，我們將在信息價(jià)值鏈節(jié)點(diǎn)識(shí)別的信息資產(chǎn)、信息技術(shù)、信息安全管理人員、信息安全管理制度和規(guī)范的數(shù)量或規(guī)模4個(gè)指標(biāo)作為信息價(jià)值鏈輸入的可觀測(cè)指標(biāo)。同時(shí)，為區(qū)分這四個(gè)指標(biāo)的權(quán)重（取值0＜權(quán)重＜1），可根據(jù)4個(gè)指標(biāo)對(duì)組織信息安全風(fēng)險(xiǎn)有效管理的影響程度大小加以區(qū)分。

在輸出指標(biāo)確定中，數(shù)據(jù)信息沿著信息價(jià)值鏈流轉(zhuǎn)，形成增值性輸出，最終成為組織重要決策與服務(wù)的資產(chǎn)。對(duì)數(shù)據(jù)信息的使用者而言，經(jīng)過(guò)增值后的數(shù)據(jù)信息其CIA價(jià)值相應(yīng)得以提高。因此，信息價(jià)值鏈下，CAI增值可作為信息價(jià)值鏈“輸出”的測(cè)量指標(biāo)。而根據(jù)組織屬性差異（對(duì)數(shù)據(jù)信息CIA的等級(jí)要求），對(duì)3個(gè)輸出性增值指標(biāo)的重視程度也有所區(qū)別。因此，在信息價(jià)值鏈視角下，數(shù)據(jù)信息最終的增值需要依據(jù)3個(gè)增值指標(biāo)的權(quán)重大小來(lái)確定。

與傳統(tǒng)DEA模型中“輸入－輸出”數(shù)據(jù)均與客觀數(shù)據(jù)相區(qū)別，信息價(jià)值鏈視角下業(yè)務(wù)信息系統(tǒng)輸入指標(biāo)為可統(tǒng)計(jì)的客觀數(shù)據(jù)，但輸出指標(biāo)（數(shù)據(jù)信息的CIA增值量）需要與組織內(nèi)部相關(guān)業(yè)務(wù)人員和專家共同評(píng)估。根據(jù)業(yè)務(wù)信息價(jià)值鏈增值原理，假設(shè)數(shù)據(jù)信息的初始CAI價(jià)值為K［S］，在組織信息安全管理資源的保障下，實(shí)現(xiàn)CAI價(jià)值的增加，設(shè)增加值為△L，最終形成CAI的最終價(jià)值量，如下公式所示：

K［S］+△L=K［S+△L］

其中，K［S+△L］為最終節(jié)點(diǎn)輸出CIA價(jià)值量。

對(duì)業(yè)務(wù)信息價(jià)值鏈下數(shù)據(jù)信息的原始CIA價(jià)值判斷，可根據(jù)其初始價(jià)值等級(jí)分為五個(gè)等級(jí)，量化取值如表3所示。

表3數(shù)據(jù)信息CIA初始價(jià)值判斷

而數(shù)據(jù)信息在信息價(jià)值鏈不同節(jié)點(diǎn)的CIA增值可按表4進(jìn)行操作。

表4業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)輸出系統(tǒng)信息價(jià)值C! A增量取值

依據(jù)DEA模型理論，假設(shè)組織業(yè)務(wù)信息價(jià)值鏈有N個(gè)節(jié)點(diǎn)，在信息價(jià)值鏈視角下每個(gè)節(jié)點(diǎn)都有4種類型信息安全管理資源“輸入”以及CIA 3種“輸出”，這N個(gè)業(yè)務(wù)單元的輸入－輸出關(guān)系如表5所示。

表5信息價(jià)值鏈視角下數(shù)據(jù)信息輸入－輸出關(guān)系表

相對(duì)應(yīng)業(yè)務(wù)信息價(jià)值鏈的節(jié)點(diǎn)都有相應(yīng)的信息安全管理效率評(píng)價(jià)指數(shù)如下：

而第j0個(gè)節(jié)點(diǎn)的信息安全管理相對(duì)效率優(yōu)化評(píng)價(jià)模型為：

其中，i=1,2,3；r=1,2,……4 j=1,2,……n

將以上規(guī)劃模型化為線性規(guī)劃模型求解：令

xj=（xij,x2j,……,xmj）T, j=1,2,……n; yj=（yij,y2j,……, yPj）T, j=1,2,……n

通過(guò)上式引入對(duì)偶問(wèn)題求業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)增值效率θ值如下：

其中：i=1,2,3；r=1,2,……4

通過(guò)以上DEA數(shù)值計(jì)算過(guò)程，可以求出信息價(jià)值鏈節(jié)點(diǎn)的數(shù)據(jù)信息CIA增值的效率θ，根據(jù)θ值是否為1，可以判斷每一個(gè)節(jié)點(diǎn)的信息安全管理效率是否處于有效狀態(tài)。形成每個(gè)節(jié)點(diǎn)的增值效率值以及是否需要優(yōu)化的節(jié)點(diǎn)位置，如表6所示。

表6業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)信息安全管理效率

3實(shí)例研究

以西安高校圖書館外文期刊采購(gòu)業(yè)務(wù)為例進(jìn)行研究。在對(duì)該業(yè)務(wù)信息安全管理效率進(jìn)行評(píng)估前，風(fēng)險(xiǎn)評(píng)估人員已經(jīng)對(duì)該業(yè)務(wù)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評(píng)估，且在風(fēng)險(xiǎn)管理中對(duì)現(xiàn)有風(fēng)險(xiǎn)配置了相應(yīng)的信息安全管理資源。根據(jù)信息價(jià)值鏈的業(yè)務(wù)信息安全管理資源識(shí)別方法，我們對(duì)外文采購(gòu)業(yè)務(wù)的信息價(jià)值鏈分析，確定了該業(yè)務(wù)的6個(gè)信息價(jià)值鏈節(jié)點(diǎn)，分別為：（1）由采購(gòu)人員定期向各學(xué)院（中心）發(fā)出訂購(gòu)需求；（2）信息匯總?cè)藛T匯總、審核、篩選；（3）圖書館館長(zhǎng)審定；（4）采購(gòu)部門人員將采購(gòu)信息輸入計(jì)算機(jī)內(nèi)；（5）訂單發(fā)往相關(guān)外文訂購(gòu)部門；（6）到館書刊的驗(yàn)收、核對(duì)、登錄、書刊分類統(tǒng)計(jì)及固定資產(chǎn)登記，通過(guò)6個(gè)節(jié)點(diǎn)的信息CIA增值，最終在信息價(jià)值鏈終端輸出。

根據(jù)外文期刊采購(gòu)業(yè)務(wù)的信息價(jià)值鏈，分析數(shù)據(jù)信息的流轉(zhuǎn)、加工、處理過(guò)程，確定數(shù)據(jù)信息的增值方向，獲得外文期刊采購(gòu)業(yè)務(wù)所投入的信息安全管理資源數(shù)量（如表7所示）。

表7信息價(jià)值鏈視角下業(yè)務(wù)信息安全管理資源投入識(shí)別

在業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)，通過(guò)圖書館信息技術(shù)人員對(duì)數(shù)據(jù)信息的CIA價(jià)值判斷，初始價(jià)值K［S］分別為0、1、1。數(shù)據(jù)信息經(jīng)過(guò)業(yè)務(wù)信息價(jià)值鏈流轉(zhuǎn)、加工、集成，在每個(gè)節(jié)點(diǎn)輸出CIA增值量，增值大小如表8所示。

表8業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)CIA增量表

對(duì)于輸入-輸出指標(biāo)權(quán)重的確定，通過(guò)與信息技術(shù)人員、業(yè)務(wù)人員溝通，確定投入指標(biāo)與輸入指標(biāo)的重要性相同，因此，在計(jì)算信息安全管理效率中可忽略權(quán)重影響。

依據(jù)表8外文期刊采購(gòu)業(yè)務(wù)單元的“輸入－輸出”數(shù)據(jù)，文中使用DEAP計(jì)算出外文采購(gòu)業(yè)務(wù)信息價(jià)值鏈6個(gè)節(jié)點(diǎn)的信息安全管理效率（如表9所示）。

表9外文期刊采購(gòu)業(yè)務(wù)信息價(jià)值鏈信息安全管理效率

由表9可知。節(jié)點(diǎn)2、4、5最優(yōu)規(guī)模技術(shù)效率θ均低于1，是需要進(jìn)一步優(yōu)化的信息價(jià)值鏈節(jié)點(diǎn)。具體的優(yōu)化方法根據(jù)DEAP計(jì)算的SLACKS（松弛度）計(jì)算結(jié)果，CIA產(chǎn)出和業(yè)務(wù)信息安全資源投入的優(yōu)化目標(biāo)如表10、11所示。

表10信息價(jià)值鏈節(jié)點(diǎn)CIA產(chǎn)出（SLACKS）松弛度

表11信息價(jià)值鏈節(jié)點(diǎn)信息安全管理資源投入（SLACKS）松弛度

由表10、11可知，節(jié)點(diǎn)2、4、5存在數(shù)據(jù)信息安全屬性產(chǎn)出增量、信息安全管理資源具有投入、產(chǎn)出松弛度。從表中松弛度數(shù)值可知，由于外文采購(gòu)業(yè)務(wù)信息價(jià)值鏈節(jié)點(diǎn)2信息資產(chǎn)數(shù)量、信息安全管理人員投入過(guò)多而導(dǎo)致數(shù)據(jù)信息可用性增值產(chǎn)出不足。因此，節(jié)點(diǎn)2應(yīng)該減少0.041和1.959的信息資產(chǎn)和信息安全管理人員數(shù)量投入。節(jié)點(diǎn)4信息安全管理人員數(shù)量、信息技術(shù)、信息資產(chǎn)投入過(guò)多而導(dǎo)致數(shù)據(jù)信息完整性增值產(chǎn)出不足。因此，在業(yè)務(wù)節(jié)點(diǎn)4應(yīng)該減少2.918、1.0、0.082的信息安全管理人員、信息技術(shù)、信息資產(chǎn)數(shù)量的投入。節(jié)點(diǎn)5依舊由于信息安全管理人員、信息資產(chǎn)數(shù)量多投入0.928和0.072，導(dǎo)致數(shù)據(jù)信息完整性增量產(chǎn)出不足。同時(shí)，根據(jù)需要減少的信息安全管理資源的數(shù)量，還需要進(jìn)一步分析投入的信息資產(chǎn)、信息安全技術(shù)、安全管理人員是否存在職能重疊，軟、硬件等安裝過(guò)多或功能是否重疊以及是否存在相關(guān)信息安全技術(shù)資源浪費(fèi)的現(xiàn)象，以便落實(shí)減少投入資源時(shí)能夠做到有的放矢。

通過(guò)以上對(duì)外文采購(gòu)業(yè)務(wù)信息安全管理效率的分析，確定不同節(jié)點(diǎn)的具體優(yōu)化方案，可以實(shí)現(xiàn)對(duì)業(yè)務(wù)信息安全管理投入資源的優(yōu)化配置，實(shí)現(xiàn)在有限資源條件下保障信息安全管理資源投入與數(shù)據(jù)信息CIA增值的最大化。

綜上所述，基于信息價(jià)值鏈視角，通過(guò)構(gòu)建信息安全管理資源投入與輸出指標(biāo)，并應(yīng)用數(shù)據(jù)包絡(luò)分析法有效分析了業(yè)務(wù)信息價(jià)值鏈不同節(jié)點(diǎn)的信息安全管理效率，為組織進(jìn)一步改善信息安全管理資源的配置提供了一個(gè)具體的行動(dòng)方案，并能夠有效降低組織信息安全管理資源，提高組織信息安全管理資源的投資回報(bào)率。

［參考文獻(xiàn)］

［1］宋艷，陳冬華．信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估綜述［J］.情報(bào)理論與實(shí)踐，2009（5）：114－116.

［2］王艷瑋，陳恒．故障樹(shù)模型在校園網(wǎng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用［J］．現(xiàn)代情報(bào)，2011（3）：89－92.

［3］王奕,等．FAHP方法在信息安全風(fēng)險(xiǎn)評(píng)估中的研究［J］．計(jì)算機(jī)工程與科學(xué), 2006（9）：4－12.

［4］趙冬梅，等．基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估［J］．計(jì)算機(jī)工程與科學(xué)，2007（1）：139－141.

［5］付鈺，等．基于貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估方法［J］．武漢大學(xué)學(xué)報(bào)（理學(xué)版），2006（5）：631－634．

［6］吳葉科，等．基于博弈論的綜合賦權(quán)法的信息安全風(fēng)險(xiǎn)評(píng)估［J］．計(jì)算機(jī)工程與科學(xué)，2011 （5）：9－13．

［7］黃水清，任妮．?dāng)?shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型［J］．圖書情報(bào)工作，2014（1）：14－19.

［8］黃水清，等．?dāng)?shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估［J］.現(xiàn)代圖書情報(bào)技術(shù)，2010（7/8）：33－38.

［9］付沙．一種基于信息熵的信息系統(tǒng)安全風(fēng)險(xiǎn)分析方法［J］．情報(bào)科學(xué)，2013（6）：38－42.

［10］王艷瑋，陳恒．基于業(yè)務(wù)流程的信息資產(chǎn)識(shí)別及其價(jià)值確定［J］．圖書館理論與實(shí)踐，2011 （8）：35－38.

［11］吳鋼華，李光建．論信息工作的增值過(guò)程及其途徑［J］．情報(bào)雜志，1998，17（3）：7－9.

［12］張海濤，靖繼鵬．信息價(jià)值鏈：內(nèi)涵、模型、增值機(jī)制與策略［J］．情報(bào)理論與實(shí)踐，2009，32（3）：16－18.

［13］謝宗曉，等．用戶參與對(duì)信息安全管理有效性的影響——多重中介方法［J］．管理科學(xué)，2013 （6）：65－76.

［14］牛映武．運(yùn)籌學(xué)［M］．西安：西安交通大學(xué)出版社，2008：328.

［收稿日期］2015－03－19［責(zé)任編輯］菊秋芳

［作者簡(jiǎn)介］陳恒（1985－），男，西安交通大學(xué)經(jīng)濟(jì)與金融學(xué)院博士研究生，研究方向：物流與電子商務(wù)、信息安全管理；魏修建（1962－），男，博士生導(dǎo)師，教授，電子商務(wù)系主任，研究方向：物流與電子商務(wù);殷猛（1986－），男，博士研究生，研究方向：電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟(jì)。

［文章編號(hào)］1005－8214（2015）12－0039－06

［文獻(xiàn)標(biāo)志碼］A

［中圖分類號(hào)］G203