張曉蓉 西安文理學(xué)院

淺談用戶參與對信息安全管理有效性的影響

張曉蓉 西安文理學(xué)院

用戶參與是信息安全管理中必不可少的一個部分，本文將通過分析用戶參與及信息安全管理基本理論框架，針對用戶參與對信息安全管理有效性的影響進(jìn)行研究和討論。

用戶參與 信息安全管理 有效性 安全意識

用戶是信息安全機(jī)制中核心，不僅是信息系統(tǒng)的使用者以及安全策略的執(zhí)行者，同時也是安全策略約束的對象。在以往的研究中，通常認(rèn)為用戶是信息安全管理中的不可控和不確定性因素，具有消極的影響和作用，因此，在用戶參與環(huán)節(jié)，都進(jìn)行嚴(yán)格的約束。而另一方面，用戶參與又是不可避免的。有研究顯示，用戶參與、風(fēng)險評估和控制，能夠為安全系統(tǒng)的設(shè)計提供充足的業(yè)務(wù)信息，避免過度控制，提高安全管理的適當(dāng)性，符合信息安全的控制要求。目前，對于用戶參與對信息安全管理有效性影響的研究還比較少見，因此，本文將針對這一內(nèi)容進(jìn)行簡單的研究和討論。

1 用戶參與及信息安全管理基本理論框架

1.1 用戶參與

用戶參與是一個信息系統(tǒng)開發(fā)領(lǐng)域的概念，最早研究開始于上世紀(jì)20年年代。在早期的研究中，并沒有將用戶參與與用戶涉入的概念進(jìn)行區(qū)分，直到Bar-ki等人的研究，將這兩個概念重新定義并分離，認(rèn)為用戶參與是指系統(tǒng)在開發(fā)的過程中，由用戶執(zhí)行的一系列活動和行為。用戶參與理論是一種假設(shè)，認(rèn)為用戶參與與系統(tǒng)成功之間存在某種關(guān)聯(lián)，而系統(tǒng)成本則是從系統(tǒng)質(zhì)量、用戶及接受度和滿意度、系統(tǒng)應(yīng)用等幾個方面評價的。這也說明，在系統(tǒng)開發(fā)的過程中，用戶參與并不是關(guān)鍵且必須的，但在信息安全實踐中，用戶參與就是一項必須的活動，區(qū)別只在于參與的程度。在以往對信息安全的研究中，越來越重視人的因素，Johnston等人研究認(rèn)為，人的恐懼訴求是影響員工是否遵守安全策略的一個重要因素。Bulgurcu等人也認(rèn)為，員工是否遵守安全策略，主自身的規(guī)范信念和自我效能起到重要的影響。從整體上看，用戶參與是作為消極因素出現(xiàn)在安全策略的研究中，是人工評估的一種補(bǔ)充手段。

1.2 信息安全管理有效性

對于信息安全管理有效性的定義，還沒有統(tǒng)一的標(biāo)準(zhǔn)，在以往的研究中，有效的信息安全管理主要被定義為系統(tǒng)成功應(yīng)用，即能夠提高效率和便利性。但同時，安全控制的本身就是增加系統(tǒng)操作的復(fù)雜性，必定會降低效率，從這個角度上看，兩者是矛盾的，很難實現(xiàn)安全性與便利性的共同提高。因此，應(yīng)轉(zhuǎn)換角度，不能從原有的信息系統(tǒng)成功模型上考慮其安全管理。通過分析以往對有效性研究的相關(guān)定義，發(fā)現(xiàn)對有效性的定義主要評價的兩個方向是安全屬性以及安全目的，包括保密性、可用性、可靠性、完整性、真實性等，其中，在學(xué)術(shù)界上，將保密性、可用性、完整性稱為信息安全金三角，認(rèn)為是信息安全有效性的核心屬性。

1.3 信息安全管理體系

信息安全管理體系這一概念最早出現(xiàn)于BS7799，包括60個標(biāo)準(zhǔn)。研究用戶參與對信息安全管理的有效性，必須建立在信息安全管理體系的背景下，一方面，信息安全管理體系是一個理想的安全管理模型；另一方面，這一管理體系涉及到各個方面的內(nèi)容，包括業(yè)務(wù)風(fēng)險評估、改進(jìn)，安全域的實用規(guī)則、審核指南等；此外，這一體系還鼓勵用戶參與，能夠使研究者判斷和評估用戶行為以及對信息安全管理的影響。

2 用戶參與對信息安全管理有效性的影響

研究顯示，用戶參與與信息安全管理存在正向作用，由于安全機(jī)制的運(yùn)行，并不能完全脫離人為活動，因此，用戶參與具有一定的積極意義。通過用戶參與，能夠提高員工的安全意識，并優(yōu)化業(yè)務(wù)流程，使安全管理體系更加符合實際安全需求，從而提高其有效性。在以往的安全管理實踐中，很多安全管理者都選擇減少用戶的參與，控制其不確定性，導(dǎo)致很多組織更加重視安全技術(shù)投入，忽視了終端用戶的安全意識教育投入，導(dǎo)致信息安全事件和受到攻擊的情況并沒有改善。由此可見，組織應(yīng)重視終端用戶的作用，增加終端用戶投入，鼓勵用戶參與，并承擔(dān)其維護(hù)信息系統(tǒng)的責(zé)任。從其影響路徑上看，用戶參與主要起到一個中介的作用，將用戶安全意識和業(yè)務(wù)流程有機(jī)結(jié)合。同時，應(yīng)注意的是，用戶參與并不是影響信息安全管理有效性的唯一因素，還可能與組織類型、組織規(guī)模、高層管理者支持情況等有關(guān)，即還可能存在其他的中介變量。

3 結(jié)束語

綜上所述，組織必須認(rèn)識到，用戶參與能夠提高其安全意識，優(yōu)化業(yè)務(wù)流程，對信息安全管理具有正向作用，能夠?qū)⒂脩舭踩庾R和業(yè)務(wù)流程有機(jī)結(jié)合，進(jìn)一步完善信息安全管理體系。在安全管理中，正視其積極作用，并增加終端用戶的投入，減少信息安全事件的發(fā)生，提高其信息安全管理的有效性。

[1]謝宗曉，林潤輝，王興起.用戶參與對信息安全管理有效性的影響—多重中介方法[J].管理科學(xué).2013，6(23):65-67

[2]方杰，張敏強(qiáng)，李曉鵬.中介效應(yīng)的三類區(qū)間估計方法[J].心理科學(xué)進(jìn)展，2011，19(5):765－774

[3]謝宗曉，劉琦.信息安全管理體系實施案例及文件集[M].北京:中國標(biāo)準(zhǔn)出版社，2010:4－23