冯春林

(安徽商贸职业技术学院，安徽 芜湖 241003)

国内外企业信息安全评价研究述评

冯春林

(安徽商贸职业技术学院，安徽 芜湖 241003)

企业信息安全评价是企业信息安全管理的重要内容，企业通过信息安全评价，能对企业自身信息安全系统进行检测和度量，能提升企业信息安全管理水平。文章通过梳理国内外企业信息安全评价研究成果，厘清企业信息安全评价研究的主要内容。

企业信息安全；评价；述评

企业信息安全评价问题是信息安全领域的前沿课题，我国《2006-2020年国家信息化发展战略》指出，当前企业信息安全事故频发的主要原因在于信息安全意识薄弱和信息安全水平低下。为此需要积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态。本文通过对国内外企业信息安全评价研究的梳理，一方面在学术上厘清企业信息安全领域相关研究成果，为后续研究提供参考；另一方面为企业界选择企业信息安全评价指标与评价方法，对自身信息安全系统进行及时、动态和客观的评价提供理论依据。

一、国外企业信息安全评价研究进展

(一)国外企业信息安全评价理论研究

在社会信息安全环境不断变化的情况下，企业需要对信息管理系统中存在的威胁，运用系统的方法进行定性分析与定量测度，以提升和改善企业信息安全水平。国外关于企业信息安全评价研究可以追溯到本世纪初，Rayford Vaughn研究了企业信息安全评价的定义和内涵。[1]Edward Humphreys通过分析公司治理和风险管理中存在的问题，提出了企业信息安全管理的评价标准。[2]Peggy Chaudhry等研究发现，信息安全策略、员工信息安全意识、企业高层的支持以及访问控制是一个企业内部建立信息安全系统的关键要素，企业需要整合关键四要素对信息安全系统进行评价。[3]Zahoor Soomro等从企业管理活动的角度研究发现，管理的许多活动，特别是发展和信息安全政策的执行意识、有效的培训、企业信息架构、IT基础设施管理、业务和IT的一致性以及人力资源管理对信息安全管理的质量有显著的影响。[4]

(二)国外企业信息安全评价模型与方法

国外学者对企业信息安全的评价主要集中在以管理体系整体为研究对象，多数采取贝叶斯网络、层次分析法、Markov法、神经网络、决策树法等方法构建相关研究模型，并取得了丰富的成果。Ann Majchrzak和Sirkka Jarvenpaa构建一个以知识员工为中心的信息安全模型，并对跨企业组织的信息安全与信息分享进行深入分析。[5]Lu Xin和Zhi Ma釆用了模糊综合评价法对企业信息安全进行了深入分析。[6]Jason Bellon等研究提出企业信息安全评价的具体执行方案与实施方法。[7]Chien-Cheng Huang等采用平衡计分卡、层次分析法，对企业信息安全进行了评价。[8]Peggy Chaudhry等采用案例研究方法，构建了企业信息安全EIS评价模型。[9]

二、国内企业信息安全评价研究进展

(一)国内企业信息安全评价内涵及研究框架

随着国内对信息安全问题愈加关注，国内学者对信息安全评价内涵认识也在不断发展。目前，关于企业信息安全评价内涵没有统一的定义，基本共识是在社会信息环境不断变化的情况下，企业需要依据科学合理的程序，对影响企业信息安全的关键因素进行综合考虑，确立各因素所占的权重，以系统工程的方法对企业信息安全系统进行检测和度量，为制定预防和保护信息安全的措施提供科学的依据，以达到改善企业信息安全水平的目的。国内企业信息安全评价研究对象是企业整体，内容主要是研究方法和评价指标体系，为此，国内学者构建“影响因素+指标+模型”研究框架，选择多个研究角度，在多个领域开展研究，并取得了一定研究成果。

(二)国内企业信息安全评价模型与方法

通过对已有文献梳理发现，通过多因素构建综合指标评价研究模型最受学者欢迎，相应成果也最多。魏忠利用综合集成的理论方法，提出集合定性和定量分析的系统性综合评估模型。[10]许冰等利用ASP排除信息安全评价个人因素的干扰，实现企业信息安全评价。[11]吕欣研究了四维信息保障(IA)体系，构建了包含系统信息保障成熟度指数和基础支撑成熟度指数的评价模型。[12]范红等综合应用风险评估的方法实施企业的信息安全风险评价并进行了实例分析。[13]杨继华和许春香以GB 17859-1999信息安全标准为依据建立指标体系利用和灰色关联度法建立企业信息安全评价模型。[14]李捷娜依据证据理论提出了一种信息安全的度量方法，并给出了具体的度量步骤。[15]程建华和靖继鹏采用AHP方法建立了指标体系，用不确定性推理方法D-S证据理论整合得出综合评价结果。[16]毛成功提出了以物理层面、系统层面、信息层面和管理层面为准则的包括二十项单个指标的评价指标体系。[17]吴志军和杨义先从企业的战略目标、管理对策、技术方法等层面出发，提出了以安全基线政策为核心内容的评价模型。[18]王爽英根据安全信息人才、安全信息机构与信息设施和信息活动能力三个方面建立企业安全信息能力评价指标体系。[19]黄启发和宋彪研究影响企业信息安全的技术、管理、制度和监管4个因素及其相互关系，提出企业信息安全综合评价模。[20]宋杰鲲通过整合加工传统GB T20984-2007标准中5种资产类型，构建信息安全风险评估指标体系。[21]张志清等采用基于熵和多维属性的方法，建立多维属性的动态指标评价体系.并利用这些属性来完成对信息系统安全的最终评估。[22]

在网络技术日益成熟的环境下，企业信息安全面临更为复杂和严峻的形势，为此，宋明磊等认为国家出台网络安全审查制度显得尤为重要。[23]郭振民等研究了基于网络环境的企业信息安全评价指标体系与模型。[24]近年来，随着大数据的广泛运用并彰显出巨大的经济价值，大数据背景下的企业信息全评价研究开始得到重视。汤森森研究了大数据背景下企业信息安全评价指标体系构建的原则，并构建了评价指标体系。[25]尹淋雨研究了大数据环境下，结合影响企业信息安全的因素，并根据AHP模糊综合评价法，构建了综合评价模型。[26]

企业信息安全评价在指导实践应用上，国内学者结合行业企业特点不断进行研究尝试。王剑等从战略、技术、管理和工程四个方面对航空信息系统安全保障体系进行了评价。[27]杨慧娟以中国科学院ARP系统为研究对象，构建模糊综合评价模型，评估了科研机构的信息安全状况。[28]徐晖等将广东电网的信息安全日常工作和年度工作作为一级评价指标，对其信息安全水平进行评估。[29]

三、国内企业信息安全评价研究存在的不足

(一)理论创新研究不足

企业信息安全评价是企业信息安全管理的前沿课题。国外在企业信息安全评价理论研究上起步早，也取得了一定成果，研究对象涉及多个行业企业。在研究方法上，多数采用构建研究模型，开展定性与个案研究，研究成果具有学术价值和实践指导价值。而国内关于企业信息安全评价的理论研究匮乏。截止2016年11月28日，通过数据库检索系统检索发现，国内关于企业信息安全的文献只有寥寥数篇，已有研究成果也主要体现在“企业信息安全”的研究范畴里，且现有研究框架是基于实业界的实践总结。在网络环境和大数据环境下，企业信息安全评价的理论研究期待更多创新。

(二)评价指标体系不完备

现有企业信息安全评价研究主要聚焦于企业信息安全风险研究，侧重于信息安全威胁的角度。在企业信息化快速发展的环境下，特别是互联网快速发展的时代背景下，企业信息安全评价因素与评价指标体系需要结合时代特征，需要考虑企业信息安全评价等级，不能忽视从企业信息安全与企业信息化发展相适应的角度对企业信息安全进行评价。

(三)研究广度与深度不够

国内学者对企业信息安全评价做了有益研究，研究内容主要集中在企业信息安全评价指标体系与模型构建方面，研究成果主要提供了一种研究框架，侧重概念或者理论层面的居多。另外，因部分研究成果主要体现在硕博论文上，所以国内企业信息安全评价课题研究无论是广度上还是深度上都有待进一步拓展。

(四)实践应用研究匮乏

国外学者十分重视企业信息安全评价实践应用研究，相关研究已经深入到企业或组织内部要素，取得了一定成果。国内企业信息安全实践应用研究存在一定不足，比如在结合某一具体企业实际进行信息安全评价时，存在大量人为主观因素以及信息不确定的干扰，并且由于对评价指标间相关性考虑不周全，导致评价模型缺乏实时监控功能。另外，国内外企业信息安全评价实践应用研究主要聚焦于某行业企业个案研究，不同企业之间信息安全评价共性研究较少，相关研究方兴未艾，而不同行业企业间信息安全评价的比较研究更是空白。

四、总结与建议

上文梳理了国内外企业信息安全评价相关文献，重点分析了国内企业信息安全评价存在的不足。为此，笔者提出如下建议：

(一)加强对国外研究成果的研究与借鉴

需要学习与掌握国外关于企业信息安全管理与信息安全评价的最新研究成果，学习国外最新的企业信息安全评价理论与评价模型。借鉴国外的研究成果，结合国内实际开展深入研究。国内外学者之间需要加强相互交流，对企业信息安全评价的定义、模型及评价指标进行研究与探讨，寻求共识。

(二)巩固已有研究成果，拓展研究空间

目前国内关于企业信息安全管理研究比较浅显且狭窄，需要特别关注的是国外企业信息安全评价研究已经深入到企业内部，涉及人员、组织、网络、制度、管理等要素。国内学者需要一方面对现有研究成果进行再研究、再创新；另一方面需要对没有涉及的相关领域进行研究与创新，例如对企业信息安全等级评价以及对企业信息安全预警评价等进行研究。

(三)开展企业信息安全评价实践应用研究

企业信息安全评价研究不能脱离我国企业信息安全评价管理实践。目前，一方面需要将企业信息安全评价研究成果应用于企业实践，用已有理论指导实践；另一方面需要在实践过程中记录与总结，完善企业信息安全评价模型，构建操作性强的评价指标体系，把提出的理论应用到实践中去，切实提升企业信息安全评价能力。

[1] Rayford B. Vaughn，Ronda Henning，Ambareen Siraj.Information Assurance Measures and Metrics-State of Practice and Proposed Taxonomy[C].Hawaii：The 36thInternational Conference on System Sciences，2003.

[2]Edward Humphreys.Information Security Management Standards：Compliance Govermance and Risk Management[J].Information Security Technical Report，2008，(4).

[3]Peggy Chaudhry，Sohail Chaudhry，Ronald Reese.Developing a Model for Enterprise Information Systems Security[J].Economics，Management and Financial Markets，2012，(4).

[4]Zahoor Ahmed Soomro，Mahmood Hussain Shah，Javed Ahmed.Information Security Management Needs More Holistic Approach：A Literature Review[J].International Journal of Information Management，2016，(2).

[5]Ann Majchrzak，Sirkka Jarvenpaa.Information Security in Cross-enterprise Collaborative Knowledge Work[J].Emergence Complexity & Organization，2004，(4).

[6]Xin Lu， Ma Zhi.Information Assurance Evaluation for Network Information Systems[C]. Guangzhou：International Conference on Computational and Information Science(CIS)，2006.

[7]Jason Bellone，Segolene de Basquiat，Juan Rodriguez.Reaching Escape Velocity：a Practiced Approach to Information Security Management System Implementation[J].Information Management and Computer Security，2008，(1).

[8]Chien-Cheng Huang，Kwo-Jean Farn，Frank Yeong-Sung Lin.A Study on Information Security Management with Personal Data Protection[C].Athens：IEEE 17thInternational Conference on Parallel and Distributed Systems，2011.

[9]Peggy Chaudhry,Sohail Chaudhry,Kevin Clark,Darryl Jones.Enterprise Information Systems Security：A Case Study in the Banking Sector[C].Belgium：6thIFIP WG 8.9 Working Conference，2012.

[10]魏忠.从定性到定量的系统性信息安全综合集成评估体系[J].系统工程理论方法应用，2004，(5).

[11]许冰，李磊，钱省三.利用ASP实现企业信息安全评价[J].计算机工程与应用，2005，(25).

[12]吕欣.信息系统安全保障理论与评价指标体系[J].微电子学与计算机，2006，(10).

[13]范红，冯登国，吴亚非.信息安全风险评估方法和应用[M].北京：清华大学出版社，2006.

[14]杨继华，许春香.信息安全多层次综合量化评价模型研究[J].情报杂志，2006，(9).

[15]李捷娜.信息安全度量研究[D].哈尔滨理工大学，2007.

[16]程建华，靖继鹏.信息安全风险综合评价指标体系构建和评价方法[J].现代情报，2008，(5).

[17]毛成功.电子政务系统信息安全风险的综合评价[[J].信息安全，2010，(7).

[18]吴志军，杨义先.信息安全保障评价指标体系的研究[J].计算机科学，2010，(7).

[19]王爽英.企业安全信息能力评价指标体系的研究[J].企业技术开发(学术版)，2013，(10).

[20]黄启发，宋彪.基于协同学的企业信息安全综合评价模型[J].现代情报，2012，(8).

[21]宋杰鲲，张丽波.基于三角模糊熵的信息安全风险评估研究[J].情报理论与实践，2013，(8).

[22]张志清，李明.基于动态指标的信息系统安全评价研究[J].物流技术，2014，(3).

[23]宋明磊，张燕婷.探析我国出台网络安全审查制度的价值[J].哈尔滨学院学报，2016，(11).

[24]郭振民，胡学龙，姜会亮.网络与信息系统安全性评估及其指标体系的研究[J].现代电子技术，2003，(9).

[25]汤淼淼.大数据背景下的企业信息安全评价及对策研究[D].大连海事大学，2015.

[26]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学，2015.

[27]王剑，彭越，吴志军.航空信息系统安全评价指标体系[J].信息安全与通信保密，2008，(1).

[28]杨慧娟.科研机构信息系统的信息安全管理评价方法研究[D].北京交通大学，2009.

[29]徐晖，王甜，魏理豪，等.广东电网信息安全风险评价及其指标体系的研究[J].电力信息与通信技术，2010，(8).

责任编辑：思 动

ReviewontheSummarizingStudiesontheInformationSafetyEvaluationofEnterprises

FENG Chun-lin

(Anhui Business Vocational Technical College，Wuhu 241003，China)

The evaluation of the enterprise information safety is a vital content for the management of information safety. With the evaluation of information safety，the safety system can be checked and measured and hence the management efficiency can be improved. By reviewing the research findings of the information safety evaluation，the main contents of these studies are summarized.

the enterprise information safety；evaluation；review

F273.1

A

10.3969/j.issn.1004-5856.2017.10.008

2016-12-12

安徽省高等学校自然科学研究重点项目，项目编号：KJ2016A255；安徽省高等学校人文社会科学研究重点项目，项目编号：SK2016A035；安徽省质量工程项目，项目编号：2014jxtd088。

冯春林(1972-)，男，安徽芜湖人，副教授，硕士，主要从事信息安全管理研究。

1004—5856(2017)10—0032—04