張曉蓉 西安文理學(xué)院
淺談?dòng)脩魠⑴c對(duì)信息安全管理有效性的影響
張曉蓉 西安文理學(xué)院
用戶參與是信息安全管理中必不可少的一個(gè)部分,本文將通過分析用戶參與及信息安全管理基本理論框架,針對(duì)用戶參與對(duì)信息安全管理有效性的影響進(jìn)行研究和討論。
用戶參與 信息安全管理 有效性 安全意識(shí)
用戶是信息安全機(jī)制中核心,不僅是信息系統(tǒng)的使用者以及安全策略的執(zhí)行者,同時(shí)也是安全策略約束的對(duì)象。在以往的研究中,通常認(rèn)為用戶是信息安全管理中的不可控和不確定性因素,具有消極的影響和作用,因此,在用戶參與環(huán)節(jié),都進(jìn)行嚴(yán)格的約束。而另一方面,用戶參與又是不可避免的。有研究顯示,用戶參與、風(fēng)險(xiǎn)評(píng)估和控制,能夠?yàn)榘踩到y(tǒng)的設(shè)計(jì)提供充足的業(yè)務(wù)信息,避免過度控制,提高安全管理的適當(dāng)性,符合信息安全的控制要求。目前,對(duì)于用戶參與對(duì)信息安全管理有效性影響的研究還比較少見,因此,本文將針對(duì)這一內(nèi)容進(jìn)行簡(jiǎn)單的研究和討論。
1.1 用戶參與
用戶參與是一個(gè)信息系統(tǒng)開發(fā)領(lǐng)域的概念,最早研究開始于上世紀(jì)20年年代。在早期的研究中,并沒有將用戶參與與用戶涉入的概念進(jìn)行區(qū)分,直到Bar-ki等人的研究,將這兩個(gè)概念重新定義并分離,認(rèn)為用戶參與是指系統(tǒng)在開發(fā)的過程中,由用戶執(zhí)行的一系列活動(dòng)和行為。用戶參與理論是一種假設(shè),認(rèn)為用戶參與與系統(tǒng)成功之間存在某種關(guān)聯(lián),而系統(tǒng)成本則是從系統(tǒng)質(zhì)量、用戶及接受度和滿意度、系統(tǒng)應(yīng)用等幾個(gè)方面評(píng)價(jià)的。這也說明,在系統(tǒng)開發(fā)的過程中,用戶參與并不是關(guān)鍵且必須的,但在信息安全實(shí)踐中,用戶參與就是一項(xiàng)必須的活動(dòng),區(qū)別只在于參與的程度。在以往對(duì)信息安全的研究中,越來越重視人的因素,Johnston等人研究認(rèn)為,人的恐懼訴求是影響員工是否遵守安全策略的一個(gè)重要因素。Bulgurcu等人也認(rèn)為,員工是否遵守安全策略,主自身的規(guī)范信念和自我效能起到重要的影響。從整體上看,用戶參與是作為消極因素出現(xiàn)在安全策略的研究中,是人工評(píng)估的一種補(bǔ)充手段。
1.2 信息安全管理有效性
對(duì)于信息安全管理有效性的定義,還沒有統(tǒng)一的標(biāo)準(zhǔn),在以往的研究中,有效的信息安全管理主要被定義為系統(tǒng)成功應(yīng)用,即能夠提高效率和便利性。但同時(shí),安全控制的本身就是增加系統(tǒng)操作的復(fù)雜性,必定會(huì)降低效率,從這個(gè)角度上看,兩者是矛盾的,很難實(shí)現(xiàn)安全性與便利性的共同提高。因此,應(yīng)轉(zhuǎn)換角度,不能從原有的信息系統(tǒng)成功模型上考慮其安全管理。通過分析以往對(duì)有效性研究的相關(guān)定義,發(fā)現(xiàn)對(duì)有效性的定義主要評(píng)價(jià)的兩個(gè)方向是安全屬性以及安全目的,包括保密性、可用性、可靠性、完整性、真實(shí)性等,其中,在學(xué)術(shù)界上,將保密性、可用性、完整性稱為信息安全金三角,認(rèn)為是信息安全有效性的核心屬性。
1.3 信息安全管理體系
信息安全管理體系這一概念最早出現(xiàn)于BS7799,包括60個(gè)標(biāo)準(zhǔn)。研究用戶參與對(duì)信息安全管理的有效性,必須建立在信息安全管理體系的背景下,一方面,信息安全管理體系是一個(gè)理想的安全管理模型;另一方面,這一管理體系涉及到各個(gè)方面的內(nèi)容,包括業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估、改進(jìn),安全域的實(shí)用規(guī)則、審核指南等;此外,這一體系還鼓勵(lì)用戶參與,能夠使研究者判斷和評(píng)估用戶行為以及對(duì)信息安全管理的影響。
研究顯示,用戶參與與信息安全管理存在正向作用,由于安全機(jī)制的運(yùn)行,并不能完全脫離人為活動(dòng),因此,用戶參與具有一定的積極意義。通過用戶參與,能夠提高員工的安全意識(shí),并優(yōu)化業(yè)務(wù)流程,使安全管理體系更加符合實(shí)際安全需求,從而提高其有效性。在以往的安全管理實(shí)踐中,很多安全管理者都選擇減少用戶的參與,控制其不確定性,導(dǎo)致很多組織更加重視安全技術(shù)投入,忽視了終端用戶的安全意識(shí)教育投入,導(dǎo)致信息安全事件和受到攻擊的情況并沒有改善。由此可見,組織應(yīng)重視終端用戶的作用,增加終端用戶投入,鼓勵(lì)用戶參與,并承擔(dān)其維護(hù)信息系統(tǒng)的責(zé)任。從其影響路徑上看,用戶參與主要起到一個(gè)中介的作用,將用戶安全意識(shí)和業(yè)務(wù)流程有機(jī)結(jié)合。同時(shí),應(yīng)注意的是,用戶參與并不是影響信息安全管理有效性的唯一因素,還可能與組織類型、組織規(guī)模、高層管理者支持情況等有關(guān),即還可能存在其他的中介變量。
綜上所述,組織必須認(rèn)識(shí)到,用戶參與能夠提高其安全意識(shí),優(yōu)化業(yè)務(wù)流程,對(duì)信息安全管理具有正向作用,能夠?qū)⒂脩舭踩庾R(shí)和業(yè)務(wù)流程有機(jī)結(jié)合,進(jìn)一步完善信息安全管理體系。在安全管理中,正視其積極作用,并增加終端用戶的投入,減少信息安全事件的發(fā)生,提高其信息安全管理的有效性。
[1]謝宗曉,林潤(rùn)輝,王興起.用戶參與對(duì)信息安全管理有效性的影響—多重中介方法[J].管理科學(xué).2013,6(23):65-67
[2]方杰,張敏強(qiáng),李曉鵬.中介效應(yīng)的三類區(qū)間估計(jì)方法[J].心理科學(xué)進(jìn)展,2011,19(5):765-774
[3]謝宗曉,劉琦.信息安全管理體系實(shí)施案例及文件集[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2010:4-23