摘 要：在大數(shù)據(jù)的時代背景下，信息系統(tǒng)的廣泛運用在為市場及企業(yè)發(fā)展帶來紅利的同時也帶來許多安全隱患。將安全業(yè)務(wù)外包給管理安全服務(wù)供應(yīng)商（MSSP）已成為應(yīng)對不斷變化的安全挑戰(zhàn)的關(guān)鍵策略。本文通過研究大數(shù)據(jù)背景下信息安全外包的問題和特征，進一步分析將保險機制引入到企業(yè)信息安全外包策略體系中的可行性，為企業(yè)乃至政府部門和事業(yè)單位制定信息安全外包策略、設(shè)計合理的信息安全外包契約提供指導(dǎo)。

關(guān)鍵詞：信息安全策略;外包;保險機制

1.基于大數(shù)據(jù)背景的信息安全市場

大數(shù)據(jù)技術(shù)的高速成長推動產(chǎn)生了海量非結(jié)構(gòu)化數(shù)據(jù)，如果不通過大數(shù)據(jù)分析及時挖掘其價值，本身沒有關(guān)聯(lián)性的非結(jié)構(gòu)化數(shù)據(jù)便會隨著周期延遲而失去時效性。非結(jié)構(gòu)化數(shù)據(jù)隱藏的巨大價值使得信息安全問題頻頻發(fā)生，數(shù)據(jù)信息的泄露和非法使用往往會給國家和人民群眾造成較大的經(jīng)濟損失。數(shù)據(jù)顯示，全球 20個國家大約有 9.78 億人在 2020 年遭受網(wǎng)絡(luò)攻擊，經(jīng)濟損失高達(dá) 1720 億美元。其中中國作為遭受網(wǎng)絡(luò)犯罪最嚴(yán)重的國家，大約3.52億的中國消費者曾是網(wǎng)絡(luò)犯罪的受害者，經(jīng)濟損失達(dá)到 663 億美元，過去 4 年復(fù)合增長率為15.7%。層出不窮的互聯(lián)網(wǎng)信息安全問題引起了政府的關(guān)注，例如2017年我國出臺了《中國網(wǎng)絡(luò)安全法》，信息安全行業(yè)面臨空前的發(fā)展機遇。據(jù)Frost and Sullivan調(diào)查顯示，2016年全球MSSP市場達(dá)到147億美元，預(yù)計年均上升18.5%。伴隨信息安全產(chǎn)業(yè)爆發(fā)式增長機遇，我國信息安全外包服務(wù)市場規(guī)模迅速擴張。

2.大數(shù)據(jù)背景下信息安全外包風(fēng)險控制的影響因素

信息安全外包服務(wù)市場呈現(xiàn)快速崛起的趨勢。但在大數(shù)據(jù)背景下信息安全外包服務(wù)不一定總是最佳選擇，一方面復(fù)雜又動態(tài)變化的信息系統(tǒng)不總那么安全，MSSP的操作不當(dāng)可能會導(dǎo)致海量數(shù)據(jù)泄露，企業(yè)將產(chǎn)生巨大的損失;另一方面存在因信息及利益不對稱導(dǎo)致的委托代理問題[1];在動態(tài)變化的信息系統(tǒng)環(huán)境中信息安全外包策略的一大重要影響因素是黑客的攻擊，在信息安全投資策略中，通常把黑客攻擊按模式差異劃分成針對性攻擊與大規(guī)模攻擊。針對性攻擊指的是黑客以效益最大化為原則針對不同用戶或者企業(yè)實施不同的攻擊手段;而大規(guī)模攻擊則是黑客忽略攻擊對象的差異化隨機分配攻擊資源[2]。

隨著信息安全外包服務(wù)供應(yīng)商（MSSP）的出現(xiàn)促進了企業(yè)將信息系統(tǒng)被黑客攻擊的風(fēng)險轉(zhuǎn)移給MSSP。企業(yè)和MSSP之間極可能因為信息不對稱產(chǎn)生雙邊道德風(fēng)險。因為企業(yè)和MSSP都無法準(zhǔn)確知曉對方安全投資的績效，很難在外包過程中評估服務(wù)質(zhì)量，所以會導(dǎo)致雙方做出低于社會最優(yōu)水平的努力[3]，此時有效的信息安全外包策略能夠最大程度規(guī)避雙邊道德風(fēng)險，引導(dǎo)企業(yè)和MSSP做出最高水平努力。因此，怎樣結(jié)合信息安全外包的特點和要求解決契約設(shè)計和風(fēng)險控制問題;怎樣更好降低存在的風(fēng)險都十分值得研究。

3.基于保險機制的信息安全外包服務(wù)選擇分析

鑒于信息安全復(fù)雜及動態(tài)變化的特點和前人已有的研究基礎(chǔ)，本文將保險機制引入到信息安全契約設(shè)計中進行分析，發(fā)現(xiàn)當(dāng)企業(yè)和MSSP均為風(fēng)險中性時，企業(yè)和MSSP在不引入保險機制與引入保險機制時的收益均相同;當(dāng)企業(yè)和MSSP均為風(fēng)險厭惡時，一定條件下，引入保險機制時企業(yè)和MSSP的效益大于不引入保險機制時雙方的效益，此時保險公司要求雙方繳納的保險費應(yīng)隨著企業(yè)檢測能力和MSSP提供的服務(wù)質(zhì)量達(dá)標(biāo)率的提高而減少[4]。一方面可以根據(jù)企業(yè)和MSSP雙方的風(fēng)險偏好選擇是否在信息安全外包策略中引入保險機制;另一方面，保險公司的保險費設(shè)置與企業(yè)及MSSP的努力水平成負(fù)相關(guān)。可以激勵雙方發(fā)揮其最大努力水平來降低其信息安全投資成本，有效解決委托代理問題并增加企業(yè)效益。

參考文獻(xiàn)：

[1]Koh C， Soon A， Straub D W. IT outsourcing success： a psychological contract perspective[J]. Information Systems Research， 2004， 15（4）： 356-373.

[2]顧建強. 信息系統(tǒng)安全投資策略及風(fēng)險管理研究[D]. 2016.

[3]Bandyopadhyay T， Mookerjee V， Rao R C. Why IT managers dont go for ?cyber insurance products[J]. Communications of the ACM， 2009， 52（11）： 68-73.

[4]解慧慧， 廖貅武， 陳剛. 引入保險機制的IT外包合同設(shè)計及分析[J]. 系統(tǒng)工程學(xué)報， 2012， 27（3）： 18-26.

作者簡介：

康飛宇（2000-），女，漢族，本科。