●陳 恒,魏修建,殷 猛(西安交通大學(xué)經(jīng)濟與金融學(xué)院,西安710061)
信息價值鏈視角下的業(yè)務(wù)信息安全管理效率研究
●陳恒,魏修建,殷猛(西安交通大學(xué)經(jīng)濟與金融學(xué)院,西安710061)
[關(guān)鍵詞]信息價值鏈;信息安全;管理效率;DEA模型
[摘要]從業(yè)務(wù)信息價值鏈視角出發(fā),通過分析數(shù)據(jù)信息在業(yè)務(wù)活動流轉(zhuǎn)中“輸入-輸出”過程,識別信息價值鏈的增值方向,從而有效識別業(yè)務(wù)信息價值鏈不同節(jié)點信息安全管理資源的投入數(shù)量,并建立業(yè)務(wù)信息安全管理資源的輸入-輸出指標(biāo),在此基礎(chǔ)上引入數(shù)據(jù)包絡(luò)分析法(DEA模型),計算信息價值鏈節(jié)點的技術(shù)效率值以及投入和輸出指標(biāo)的松弛度?;诖颂岢鰞?yōu)化業(yè)務(wù)信息安全管理效率的具體方案,通過實例驗證本方法的可用性。
近年來,信息安全所涉及的研究內(nèi)容在學(xué)界逐漸得到統(tǒng)一,即信息安全是強調(diào)保護知識產(chǎn)權(quán)、數(shù)據(jù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全等三方面內(nèi)容。[1]在解決信息安全問題上,研究范圍包括風(fēng)險評估、風(fēng)險管理、模型(故障樹模型、[2]模糊層次分析法、[3]BP神經(jīng)網(wǎng)絡(luò)、[4]貝葉斯網(wǎng)絡(luò)模型、[5]博弈論方法[6]等)以及信息安全理論、標(biāo)準(zhǔn)在行業(yè)中的應(yīng)用。[7,8]而國標(biāo)ISO / IEC 27001: 2005指出,信息安全的主要目的是確保業(yè)務(wù)的連續(xù)性、業(yè)務(wù)風(fēng)險最小化、投資回報最大化。這一要求決定了現(xiàn)實中風(fēng)險管理活動不可能無限制投入資源去保障組織的信息安全。因而更多的信息安全管理者需要明確組織信息系統(tǒng)所涉及的業(yè)務(wù)以及業(yè)務(wù)包含流程(節(jié)點)的信息安全管理效率,通過效率高低確定優(yōu)化信息安全管理資源的配置策略,提高信息安全資源投資的回報率。然而,現(xiàn)有信息安全風(fēng)險評估模型、方法、手段僅僅能解決識別信息系統(tǒng)風(fēng)險等級的問題,還不能明確后續(xù)風(fēng)險管理所投入的信息安全管理資源(包括管理、技術(shù)、軟件、硬件資源等)的使用效率。此外,現(xiàn)有信息安全管理與風(fēng)險評估的研究多以整體信息系統(tǒng)作為研究對象,[9]導(dǎo)致后續(xù)的風(fēng)險管理并不能有效明確業(yè)務(wù)子單元的風(fēng)險概況。因而,常存在某些業(yè)務(wù)子單元或業(yè)務(wù)節(jié)點風(fēng)險管理資源投入不當(dāng),造成信息安全管理效率低下。
目前,對業(yè)務(wù)信息安全管理效率的研究較少。基于此,本文提出信息價值鏈視角下的業(yè)務(wù)信息安全管理效率評估方法,通過構(gòu)建業(yè)務(wù)信息價值鏈模型、信息安全管理資源投入與輸出指標(biāo),應(yīng)用DEA模型計算組織業(yè)務(wù)(業(yè)務(wù)節(jié)點)信息安全管理效率,最終明確業(yè)務(wù)信息系統(tǒng)不同節(jié)點的信息安全管理效率。并依據(jù)效率的有效性確定進一步優(yōu)化信息安全資源配置方法,提高業(yè)務(wù)信息價值鏈節(jié)點的信息安全管理效率。
信息價值鏈?zhǔn)侵笖?shù)據(jù)信息在不同節(jié)點流轉(zhuǎn)中,通過組織各項資源的投入對數(shù)據(jù)信息進行加工、處理、精簡、對比、分析等一系列過程形成增值性輸出,并且在不同節(jié)點形成增值環(huán)節(jié),且各個增值環(huán)節(jié)連接起來構(gòu)成一個連續(xù)、具有方向性的業(yè)務(wù)信息價值鏈。
在信息安全管理中,按照GBT-20984對信息資產(chǎn)分類,包括數(shù)據(jù)、軟件、硬件、人員、服務(wù)五類資產(chǎn),進一步分析發(fā)現(xiàn)軟件、硬件不具備信息價值,它們實質(zhì)是處理數(shù)據(jù)信息的載體,[10]而數(shù)據(jù)信息作為支撐組織決策的核心資產(chǎn),是信息安全管理的重點保護對象。在業(yè)務(wù)活動中,人員資產(chǎn)通過勞動投入,借助軟件、硬件、系統(tǒng)服務(wù)對數(shù)據(jù)信息進行加工、處理、流轉(zhuǎn)實現(xiàn)數(shù)據(jù)信息的增值。服務(wù)資產(chǎn)是為處理數(shù)據(jù)信息提供的保障性活動,比如安全服務(wù)、網(wǎng)絡(luò)接入服務(wù)、運營維護服務(wù)、安保服務(wù)等。
在組織業(yè)務(wù)活動中,數(shù)據(jù)信息在業(yè)務(wù)單元內(nèi)部流轉(zhuǎn)會產(chǎn)生一個增值過程,并隨著流轉(zhuǎn)活動形成一條信息價值鏈。在具體增值過程中,數(shù)據(jù)信息經(jīng)過硬件、軟件、人員、服務(wù)資產(chǎn)的流轉(zhuǎn)、加工、濃縮、整序,使原始的數(shù)據(jù)信息增加原來沒有的含義,產(chǎn)生一些更有價值的數(shù)據(jù)輸出。[11]如果將完整的業(yè)務(wù)活動看成一個信息價值鏈,數(shù)據(jù)信息在業(yè)務(wù)活動中流轉(zhuǎn),會形成三個過程,分別為信息輸入端、流程域和輸出端(如圖所示)。[12]
圖 業(yè)務(wù)信息價值鏈模型
由圖可知,原始的數(shù)據(jù)信息輸入業(yè)務(wù)信息系統(tǒng),沿著業(yè)務(wù)信息價值鏈流轉(zhuǎn),經(jīng)過終端的輸出,形成一個完整的信息價值增值鏈。而位于信息價值鏈的不同節(jié)點,數(shù)據(jù)信息逐漸增值。在此過程中,數(shù)據(jù)信息成為輔助組織決策、具有經(jīng)濟價值的數(shù)據(jù)信息。為了保障數(shù)據(jù)信息的安全,組織會投入相應(yīng)的信息安全資源以保障數(shù)據(jù)信息增值后的CIA。因此,隨著商業(yè)和使用價值的增值,數(shù)據(jù)信息的保密性、完整性、可用性價值量在信息價值鏈節(jié)點會實現(xiàn)不同的增值。
2.1信息安全管理效率評估指標(biāo)選取
(1)輸入指標(biāo)描述。信息安全效率評估是以相對效率概念為基礎(chǔ),根據(jù)信息安全管理資源的多指標(biāo)投入和多指標(biāo)產(chǎn)出,對業(yè)務(wù)單元進行信息安全效率的相對有效性評價。信息安全是以保護知識產(chǎn)權(quán)、數(shù)據(jù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全為目標(biāo)。其中,知識產(chǎn)權(quán)有以文字形態(tài)、數(shù)據(jù)形態(tài)、圖片形態(tài)、實物形態(tài)的區(qū)分;數(shù)據(jù)是用于組織決策、預(yù)測或?qū)崿F(xiàn)組織自我管理的重要資產(chǎn);網(wǎng)絡(luò)基礎(chǔ)設(shè)施是為知識產(chǎn)權(quán)、數(shù)據(jù)的產(chǎn)生提供基本的通信服務(wù)、數(shù)據(jù)傳遞、信息收集服務(wù)的重要保障,并且也是知識產(chǎn)權(quán)、數(shù)據(jù)的載體或流轉(zhuǎn)設(shè)備。而數(shù)據(jù)和知識產(chǎn)權(quán)都需要組織業(yè)務(wù)流程產(chǎn)生,并且知識產(chǎn)權(quán)、數(shù)據(jù)形成過程中所需大量的資源投入,包括技術(shù)投入、資本投入、人力投入、信息安全管理資源投入等。其中,信息安全管理資源投入作為業(yè)務(wù)信息價值鏈的一項重要的安全保障,能夠保護知識產(chǎn)權(quán)、數(shù)據(jù)在業(yè)務(wù)流程中不被組織內(nèi)外部風(fēng)險所影響,防止和降低知識產(chǎn)權(quán)、數(shù)據(jù)發(fā)生被竊取、篡改、濫用等信息安全事件的發(fā)生,從而保障數(shù)據(jù)信息、知識產(chǎn)權(quán)的CIA。文中,我們從管理、人員、技術(shù)、軟件、硬件角度對信息安全管理資源進行分類,具體包括信息安全管理制度、信息安全管理人員、信息安全技術(shù)和信息資產(chǎn)。對指標(biāo)的基本描述如下。
①信息安全管理制度。信息安全管理制度的主要作用是對組織業(yè)務(wù)可能發(fā)生的風(fēng)險進行提前的規(guī)劃、防范、控制、處理,以提高信息安全管理的有效性,[13]并能防范由于信息資產(chǎn)脆弱性引發(fā)的信息安全事件。一般情況下,組織對已執(zhí)行的業(yè)務(wù)信息安全管理制度或規(guī)程制定得越多、越詳細(xì)并且不存在制度或規(guī)范內(nèi)容之間相互沖突,越能對員工的信息安全行為和信息安全意識起到規(guī)范和警示作用,降低內(nèi)外部信息安全風(fēng)險發(fā)生的可能性。
②信息安全管理人員。信息安全管理人員是為防止在信息價值鏈中不同業(yè)務(wù)節(jié)點發(fā)生信息安全事件而投入的專業(yè)技術(shù)人員。根據(jù)組織信息系統(tǒng)的安全要求,信息安全人員的職責(zé)要求如表1所示。
表1信息安全管理人員分類
在實踐中,信息安全管理人員分類與職責(zé)設(shè)定可按照組織對業(yè)務(wù)信息安全的要求及業(yè)務(wù)信息系統(tǒng)的安全屬性來決定,并且在信息安全管理活動中,可能由于人力資源有限會存在一人多責(zé)的現(xiàn)象。但是,并非組織對安全管理人員投入數(shù)量越多越好。如果存在人員責(zé)任重疊或人員設(shè)置重疊,將會導(dǎo)致信息安全管理職責(zé)與行為混亂,造成后續(xù)信息安全管理效率低下。
③信息安全技術(shù)。組織投入信息安全技術(shù)的目的是保障數(shù)據(jù)信息的CAI。在業(yè)務(wù)信息價值鏈中能夠保障數(shù)據(jù)信息在搜集、加工、流轉(zhuǎn)、增值的一系列過程無論數(shù)據(jù)信息在任意的業(yè)務(wù)節(jié)點均是可用的,并對一些敏感的數(shù)據(jù)信息能夠做到防止被內(nèi)外部威脅利用而產(chǎn)生信息安全問題。按照TCP/IP劃分,信息安全技術(shù)可分為四個層面的保護技術(shù),包括物理鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層保護技術(shù)。涉及的技術(shù)包括加密技術(shù)、安全涉及技術(shù)、權(quán)限管理技術(shù)、數(shù)字認(rèn)證技術(shù)、病毒檢測技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、路由安全技術(shù)、VPN/MPLS技術(shù)等。組織投入的信息安全技術(shù)越全面、覆蓋的業(yè)務(wù)范圍越廣,且不存在重復(fù)投入的情況下,越能有效保障數(shù)據(jù)信息在信息價值鏈中的安全性,且能降低組織整體投入成本,提高信息安全管理效率。
④信息資產(chǎn)。信息資產(chǎn)是組織業(yè)務(wù)系統(tǒng)控制的一項特殊資產(chǎn),既具有一般物質(zhì)資產(chǎn)的特征,又兼有無形資產(chǎn)和信息資源的雙重特征。按照GBT/20984資產(chǎn)分類方法,將信息價值鏈視角下的信息資產(chǎn)劃分為軟件、硬件、人員、服務(wù)、數(shù)據(jù)五種類型。在信息價值鏈模型中,軟件、硬件、服務(wù)資產(chǎn)服務(wù)于數(shù)據(jù)信息的增值過程,并且該過程主要依靠人員資產(chǎn)對軟、硬件、服務(wù)的人工操作來實現(xiàn)。因此,勞動力投入、使用的軟件、硬件、服務(wù)、數(shù)據(jù)數(shù)量將直接影響后續(xù)信息安全管理資源的投入規(guī)模,進而影響信息安全管理效率。如,軟件的安裝目的主要是處理、分析、存儲數(shù)據(jù),但若相同類型或具有相同作用的同類軟件安裝過多,會占有較大的內(nèi)存空間,造成系統(tǒng)運行緩慢。一方面降低信息價值鏈的增值效率,另一方面將占有更多人力去彌補系統(tǒng)運行緩慢而造成的工作延誤,將迫使組織業(yè)務(wù)活動投入更多的人力,從而增加系統(tǒng)人員道德風(fēng)險的概率,且在后續(xù)信息安全管理中,將提高信息安全資源的投入規(guī)模。同樣,硬件資產(chǎn)如果投入數(shù)量過多,會導(dǎo)致信息價值鏈增值過程占有空閑資源過多,而需要較多的安全管理人員進行硬件維護,具有不經(jīng)濟性,還將給信息增值帶來信息安全風(fēng)險,降低數(shù)據(jù)信息增值效率和信息安全管理效率;若投入數(shù)量較少,會造成硬件系統(tǒng)頻繁使用或交叉使用,有導(dǎo)致業(yè)務(wù)中斷的風(fēng)險,降低數(shù)據(jù)信息增值效率和信息安全管理效率。而人員資產(chǎn)、服務(wù)資產(chǎn)在投入數(shù)量上對數(shù)據(jù)信息的增值和信息安全管理效率影響與以上資產(chǎn)具有同樣的效果。
(2)輸出指標(biāo)描述。在業(yè)務(wù)信息價值鏈模型中組織所投入的信息安全管理資源均服務(wù)于數(shù)據(jù)信息增值過程,并隨著數(shù)據(jù)信息在不同的價值鏈節(jié)點被加工、流轉(zhuǎn)、集成,其使用價值對客戶或用戶而言逐漸增加,最終輸出具有使用價值或商業(yè)價值的數(shù)據(jù)信息。增值后的數(shù)據(jù)信息在不同節(jié)點,根據(jù)價值以及對用戶的重要性不同,其保密性、完整性、可用性具有不同的安全等級要求,相應(yīng)其CIA價值增量也得以體現(xiàn)。因此選擇保密性(C)、完整性(I)、可用性(A)作為業(yè)務(wù)節(jié)點和業(yè)務(wù)輸出評價指標(biāo)。具體指標(biāo)描述如下。
①保密性。按照ISO/IEC27002:2005對信息安全屬性定義,保密性是指信息不能被未授權(quán)人、實體或過程利用、獲悉的特性。在業(yè)務(wù)信息價值鏈模型中數(shù)據(jù)信息沿著信息價值鏈不斷增值。由于增值后數(shù)據(jù)信息價值不同,其保密性等級要求也不相同,因此,保密性屬性具有增值性。若信息價值鏈各個節(jié)點存在風(fēng)險,將會影響保密性的增值。而信息安全管理資源投入可以保障增值后的數(shù)據(jù)信息的保密性正常增值。
②完整性。完整性是保障數(shù)據(jù)信息在傳遞過程中沒有被非法用戶刪除、替換或添加的行為。在業(yè)務(wù)信息價值鏈中數(shù)據(jù)信息沿著信息價值鏈不同節(jié)點流轉(zhuǎn)、集成、加工后其使用價值或商業(yè)價值不斷增加,數(shù)據(jù)信息的完整性也實現(xiàn)不同的增值。隨著數(shù)據(jù)信息完整性的增值,非法用戶的行為將對數(shù)據(jù)信息的完整性產(chǎn)生較大危害,降低完整性增值量大小。而信息安全管理資源投入能夠保障數(shù)據(jù)信息完整性增值的實現(xiàn)。
③可用性。可用性是數(shù)據(jù)信息能夠為授權(quán)者提供服務(wù),保障合法用戶對數(shù)據(jù)信息的訪問不被拒絕。在業(yè)務(wù)信息價值鏈中,數(shù)據(jù)信息不斷增值,其使用價值或商業(yè)價值不斷提高。對組織而言,若數(shù)據(jù)信息增值后拒絕合法用戶訪問將產(chǎn)生較大的損失。比如,組織用來進行決策的數(shù)據(jù)信息,當(dāng)數(shù)據(jù)信息處于信息價值鏈初端的時候其價值較小,而處于終端時使用價值較大。若在初端可用性較低(出現(xiàn)拒絕訪問)對組織正確決策影響較??;若處于信息價值鏈終端時(出現(xiàn)拒絕訪問)將對決策的影響較為嚴(yán)重。因此,在業(yè)務(wù)信息價值鏈中,隨著數(shù)據(jù)信息的不斷增值,其可用性也得到相應(yīng)的增值,才能保障數(shù)據(jù)信息的使用價值或商業(yè)價值的最終體現(xiàn)。
2.2信息價值鏈視角下的業(yè)務(wù)信息安全管理資源投入識別
基于上文所構(gòu)建業(yè)務(wù)信息安全管理效率評估指標(biāo),需要進一步識別輸出指標(biāo)所涉及的信息安全管理資源。在信息價值鏈中識別信息安全管理資源,首先,需要對信息價值鏈的增值方向進行分析,確定業(yè)務(wù)信息價值鏈的節(jié)點(環(huán)節(jié))構(gòu)成,相應(yīng)識別出不同節(jié)點所投入的信息安全管理資源規(guī)模,包括信息資產(chǎn)載體、信息技術(shù)、信息安全管理人員、信息安全管理制度或規(guī)范的數(shù)量或規(guī)模,形成表2所示的信息安全管理資源的識別過程。
表2信息安全管理資源投入識別過程
基于業(yè)務(wù)信息價值鏈可以有效識別出為保障組織業(yè)務(wù)信息安全所投入的信息安全管理資源,通過識別組織不同業(yè)務(wù)及業(yè)務(wù)節(jié)點不同信息安全保障資源的數(shù)量、種類,可以幫助組織摸清信息安全風(fēng)險管理所投入的資源。同時,為計算組織業(yè)務(wù)信息安全管理效率及進一步優(yōu)化信息安全管理資源配置作詳細(xì)的清單。
2.3信息安全管理效率評估模型(DEA)引入
在業(yè)務(wù)信息價值鏈中引入運籌學(xué)領(lǐng)域的DEA模型處理“多輸入-輸出”指標(biāo)觀測值來估計有效生產(chǎn)[14]的理論思想,確定組織不同業(yè)務(wù)及業(yè)務(wù)節(jié)點的信息安全管理效率。與DEA模型相同,業(yè)務(wù)信息價值鏈也具有“多輸入-輸出”的生產(chǎn)系統(tǒng)。即業(yè)務(wù)數(shù)據(jù)信息通過輸入業(yè)務(wù)子系統(tǒng),經(jīng)過加工、處理、集成、流轉(zhuǎn),沿著信息價值鏈實現(xiàn)增值性輸出。在“多輸入-輸出”系統(tǒng)中,我們將在信息價值鏈節(jié)點識別的信息資產(chǎn)、信息技術(shù)、信息安全管理人員、信息安全管理制度和規(guī)范的數(shù)量或規(guī)模4個指標(biāo)作為信息價值鏈輸入的可觀測指標(biāo)。同時,為區(qū)分這四個指標(biāo)的權(quán)重(取值0<權(quán)重<1),可根據(jù)4個指標(biāo)對組織信息安全風(fēng)險有效管理的影響程度大小加以區(qū)分。
在輸出指標(biāo)確定中,數(shù)據(jù)信息沿著信息價值鏈流轉(zhuǎn),形成增值性輸出,最終成為組織重要決策與服務(wù)的資產(chǎn)。對數(shù)據(jù)信息的使用者而言,經(jīng)過增值后的數(shù)據(jù)信息其CIA價值相應(yīng)得以提高。因此,信息價值鏈下,CAI增值可作為信息價值鏈“輸出”的測量指標(biāo)。而根據(jù)組織屬性差異(對數(shù)據(jù)信息CIA的等級要求),對3個輸出性增值指標(biāo)的重視程度也有所區(qū)別。因此,在信息價值鏈視角下,數(shù)據(jù)信息最終的增值需要依據(jù)3個增值指標(biāo)的權(quán)重大小來確定。
與傳統(tǒng)DEA模型中“輸入-輸出”數(shù)據(jù)均與客觀數(shù)據(jù)相區(qū)別,信息價值鏈視角下業(yè)務(wù)信息系統(tǒng)輸入指標(biāo)為可統(tǒng)計的客觀數(shù)據(jù),但輸出指標(biāo)(數(shù)據(jù)信息的CIA增值量)需要與組織內(nèi)部相關(guān)業(yè)務(wù)人員和專家共同評估。根據(jù)業(yè)務(wù)信息價值鏈增值原理,假設(shè)數(shù)據(jù)信息的初始CAI價值為K[S],在組織信息安全管理資源的保障下,實現(xiàn)CAI價值的增加,設(shè)增加值為△L,最終形成CAI的最終價值量,如下公式所示:
K[S]+△L=K[S+△L]
其中,K[S+△L]為最終節(jié)點輸出CIA價值量。
對業(yè)務(wù)信息價值鏈下數(shù)據(jù)信息的原始CIA價值判斷,可根據(jù)其初始價值等級分為五個等級,量化取值如表3所示。
表3數(shù)據(jù)信息CIA初始價值判斷
而數(shù)據(jù)信息在信息價值鏈不同節(jié)點的CIA增值可按表4進行操作。
表4業(yè)務(wù)信息價值鏈節(jié)點輸出系統(tǒng)信息價值C! A增量取值
依據(jù)DEA模型理論,假設(shè)組織業(yè)務(wù)信息價值鏈有N個節(jié)點,在信息價值鏈視角下每個節(jié)點都有4種類型信息安全管理資源“輸入”以及CIA 3種“輸出”,這N個業(yè)務(wù)單元的輸入-輸出關(guān)系如表5所示。
表5信息價值鏈視角下數(shù)據(jù)信息輸入-輸出關(guān)系表
相對應(yīng)業(yè)務(wù)信息價值鏈的節(jié)點都有相應(yīng)的信息安全管理效率評價指數(shù)如下:
而第j0個節(jié)點的信息安全管理相對效率優(yōu)化評價模型為:
其中,i=1,2,3;r=1,2,……4 j=1,2,……n
將以上規(guī)劃模型化為線性規(guī)劃模型求解:令
xj=(xij,x2j,……,xmj)T, j=1,2,……n; yj=(yij,y2j,……, yPj)T, j=1,2,……n
通過上式引入對偶問題求業(yè)務(wù)信息價值鏈節(jié)點增值效率θ值如下:
其中:i=1,2,3;r=1,2,……4
通過以上DEA數(shù)值計算過程,可以求出信息價值鏈節(jié)點的數(shù)據(jù)信息CIA增值的效率θ,根據(jù)θ值是否為1,可以判斷每一個節(jié)點的信息安全管理效率是否處于有效狀態(tài)。形成每個節(jié)點的增值效率值以及是否需要優(yōu)化的節(jié)點位置,如表6所示。
表6業(yè)務(wù)信息價值鏈節(jié)點信息安全管理效率
以西安高校圖書館外文期刊采購業(yè)務(wù)為例進行研究。在對該業(yè)務(wù)信息安全管理效率進行評估前,風(fēng)險評估人員已經(jīng)對該業(yè)務(wù)進行了有效的信息安全風(fēng)險評估,且在風(fēng)險管理中對現(xiàn)有風(fēng)險配置了相應(yīng)的信息安全管理資源。根據(jù)信息價值鏈的業(yè)務(wù)信息安全管理資源識別方法,我們對外文采購業(yè)務(wù)的信息價值鏈分析,確定了該業(yè)務(wù)的6個信息價值鏈節(jié)點,分別為:(1)由采購人員定期向各學(xué)院(中心)發(fā)出訂購需求;(2)信息匯總?cè)藛T匯總、審核、篩選;(3)圖書館館長審定;(4)采購部門人員將采購信息輸入計算機內(nèi);(5)訂單發(fā)往相關(guān)外文訂購部門;(6)到館書刊的驗收、核對、登錄、書刊分類統(tǒng)計及固定資產(chǎn)登記,通過6個節(jié)點的信息CIA增值,最終在信息價值鏈終端輸出。
根據(jù)外文期刊采購業(yè)務(wù)的信息價值鏈,分析數(shù)據(jù)信息的流轉(zhuǎn)、加工、處理過程,確定數(shù)據(jù)信息的增值方向,獲得外文期刊采購業(yè)務(wù)所投入的信息安全管理資源數(shù)量(如表7所示)。
表7信息價值鏈視角下業(yè)務(wù)信息安全管理資源投入識別
在業(yè)務(wù)信息價值鏈節(jié)點,通過圖書館信息技術(shù)人員對數(shù)據(jù)信息的CIA價值判斷,初始價值K[S]分別為0、1、1。數(shù)據(jù)信息經(jīng)過業(yè)務(wù)信息價值鏈流轉(zhuǎn)、加工、集成,在每個節(jié)點輸出CIA增值量,增值大小如表8所示。
表8業(yè)務(wù)信息價值鏈節(jié)點CIA增量表
對于輸入-輸出指標(biāo)權(quán)重的確定,通過與信息技術(shù)人員、業(yè)務(wù)人員溝通,確定投入指標(biāo)與輸入指標(biāo)的重要性相同,因此,在計算信息安全管理效率中可忽略權(quán)重影響。
依據(jù)表8外文期刊采購業(yè)務(wù)單元的“輸入-輸出”數(shù)據(jù),文中使用DEAP計算出外文采購業(yè)務(wù)信息價值鏈6個節(jié)點的信息安全管理效率(如表9所示)。
表9外文期刊采購業(yè)務(wù)信息價值鏈信息安全管理效率
由表9可知。節(jié)點2、4、5最優(yōu)規(guī)模技術(shù)效率θ均低于1,是需要進一步優(yōu)化的信息價值鏈節(jié)點。具體的優(yōu)化方法根據(jù)DEAP計算的SLACKS(松弛度)計算結(jié)果,CIA產(chǎn)出和業(yè)務(wù)信息安全資源投入的優(yōu)化目標(biāo)如表10、11所示。
表10信息價值鏈節(jié)點CIA產(chǎn)出(SLACKS)松弛度
表11信息價值鏈節(jié)點信息安全管理資源投入(SLACKS)松弛度
由表10、11可知,節(jié)點2、4、5存在數(shù)據(jù)信息安全屬性產(chǎn)出增量、信息安全管理資源具有投入、產(chǎn)出松弛度。從表中松弛度數(shù)值可知,由于外文采購業(yè)務(wù)信息價值鏈節(jié)點2信息資產(chǎn)數(shù)量、信息安全管理人員投入過多而導(dǎo)致數(shù)據(jù)信息可用性增值產(chǎn)出不足。因此,節(jié)點2應(yīng)該減少0.041和1.959的信息資產(chǎn)和信息安全管理人員數(shù)量投入。節(jié)點4信息安全管理人員數(shù)量、信息技術(shù)、信息資產(chǎn)投入過多而導(dǎo)致數(shù)據(jù)信息完整性增值產(chǎn)出不足。因此,在業(yè)務(wù)節(jié)點4應(yīng)該減少2.918、1.0、0.082的信息安全管理人員、信息技術(shù)、信息資產(chǎn)數(shù)量的投入。節(jié)點5依舊由于信息安全管理人員、信息資產(chǎn)數(shù)量多投入0.928和0.072,導(dǎo)致數(shù)據(jù)信息完整性增量產(chǎn)出不足。同時,根據(jù)需要減少的信息安全管理資源的數(shù)量,還需要進一步分析投入的信息資產(chǎn)、信息安全技術(shù)、安全管理人員是否存在職能重疊,軟、硬件等安裝過多或功能是否重疊以及是否存在相關(guān)信息安全技術(shù)資源浪費的現(xiàn)象,以便落實減少投入資源時能夠做到有的放矢。
通過以上對外文采購業(yè)務(wù)信息安全管理效率的分析,確定不同節(jié)點的具體優(yōu)化方案,可以實現(xiàn)對業(yè)務(wù)信息安全管理投入資源的優(yōu)化配置,實現(xiàn)在有限資源條件下保障信息安全管理資源投入與數(shù)據(jù)信息CIA增值的最大化。
綜上所述,基于信息價值鏈視角,通過構(gòu)建信息安全管理資源投入與輸出指標(biāo),并應(yīng)用數(shù)據(jù)包絡(luò)分析法有效分析了業(yè)務(wù)信息價值鏈不同節(jié)點的信息安全管理效率,為組織進一步改善信息安全管理資源的配置提供了一個具體的行動方案,并能夠有效降低組織信息安全管理資源,提高組織信息安全管理資源的投資回報率。
[1]宋艷,陳冬華.信息系統(tǒng)安全風(fēng)險評估綜述[J].情報理論與實踐,2009(5):114-116.
[2]王艷瑋,陳恒.故障樹模型在校園網(wǎng)信息系統(tǒng)風(fēng)險評估中的應(yīng)用[J].現(xiàn)代情報,2011(3):89-92.
[3]王奕,等.FAHP方法在信息安全風(fēng)險評估中的研究[J].計算機工程與科學(xué), 2006(9):4-12.
[4]趙冬梅,等.基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險評估[J].計算機工程與科學(xué),2007(1):139-141.
[5]付鈺,等.基于貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險評估方法[J].武漢大學(xué)學(xué)報(理學(xué)版),2006(5):631-634.
[6]吳葉科,等.基于博弈論的綜合賦權(quán)法的信息安全風(fēng)險評估[J].計算機工程與科學(xué),2011 (5):9-13.
[7]黃水清,任妮.?dāng)?shù)字圖書館信息安全風(fēng)險評估的方法與模型[J].圖書情報工作,2014(1):14-19.
[8]黃水清,等.?dāng)?shù)字圖書館信息安全風(fēng)險評估[J].現(xiàn)代圖書情報技術(shù),2010(7/8):33-38.
[9]付沙.一種基于信息熵的信息系統(tǒng)安全風(fēng)險分析方法[J].情報科學(xué),2013(6):38-42.
[10]王艷瑋,陳恒.基于業(yè)務(wù)流程的信息資產(chǎn)識別及其價值確定[J].圖書館理論與實踐,2011 (8):35-38.
[11]吳鋼華,李光建.論信息工作的增值過程及其途徑[J].情報雜志,1998,17(3):7-9.
[12]張海濤,靖繼鵬.信息價值鏈:內(nèi)涵、模型、增值機制與策略[J].情報理論與實踐,2009,32(3):16-18.
[13]謝宗曉,等.用戶參與對信息安全管理有效性的影響——多重中介方法[J].管理科學(xué),2013 (6):65-76.
[14]牛映武.運籌學(xué)[M].西安:西安交通大學(xué)出版社,2008:328.
[收稿日期]2015-03-19[責(zé)任編輯]菊秋芳
[作者簡介]陳恒(1985-),男,西安交通大學(xué)經(jīng)濟與金融學(xué)院博士研究生,研究方向:物流與電子商務(wù)、信息安全管理;魏修建(1962-),男,博士生導(dǎo)師,教授,電子商務(wù)系主任,研究方向:物流與電子商務(wù);殷猛(1986-),男,博士研究生,研究方向:電子商務(wù)與網(wǎng)絡(luò)經(jīng)濟。
[文章編號]1005-8214(2015)12-0039-06
[文獻標(biāo)志碼]A
[中圖分類號]G203