浅谈用户参与对信息安全管理有效性的影响
2017-12-27张晓蓉西安文理学院
张晓蓉 西安文理学院
浅谈用户参与对信息安全管理有效性的影响
张晓蓉 西安文理学院
用户参与是信息安全管理中必不可少的一个部分,本文将通过分析用户参与及信息安全管理基本理论框架,针对用户参与对信息安全管理有效性的影响进行研究和讨论。
用户参与 信息安全管理 有效性 安全意识
用户是信息安全机制中核心,不仅是信息系统的使用者以及安全策略的执行者,同时也是安全策略约束的对象。在以往的研究中,通常认为用户是信息安全管理中的不可控和不确定性因素,具有消极的影响和作用,因此,在用户参与环节,都进行严格的约束。而另一方面,用户参与又是不可避免的。有研究显示,用户参与、风险评估和控制,能够为安全系统的设计提供充足的业务信息,避免过度控制,提高安全管理的适当性,符合信息安全的控制要求。目前,对于用户参与对信息安全管理有效性影响的研究还比较少见,因此,本文将针对这一内容进行简单的研究和讨论。
1 用户参与及信息安全管理基本理论框架
1.1 用户参与
用户参与是一个信息系统开发领域的概念,最早研究开始于上世纪20年年代。在早期的研究中,并没有将用户参与与用户涉入的概念进行区分,直到Bar-ki等人的研究,将这两个概念重新定义并分离,认为用户参与是指系统在开发的过程中,由用户执行的一系列活动和行为。用户参与理论是一种假设,认为用户参与与系统成功之间存在某种关联,而系统成本则是从系统质量、用户及接受度和满意度、系统应用等几个方面评价的。这也说明,在系统开发的过程中,用户参与并不是关键且必须的,但在信息安全实践中,用户参与就是一项必须的活动,区别只在于参与的程度。在以往对信息安全的研究中,越来越重视人的因素,Johnston等人研究认为,人的恐惧诉求是影响员工是否遵守安全策略的一个重要因素。Bulgurcu等人也认为,员工是否遵守安全策略,主自身的规范信念和自我效能起到重要的影响。从整体上看,用户参与是作为消极因素出现在安全策略的研究中,是人工评估的一种补充手段。
1.2 信息安全管理有效性
对于信息安全管理有效性的定义,还没有统一的标准,在以往的研究中,有效的信息安全管理主要被定义为系统成功应用,即能够提高效率和便利性。但同时,安全控制的本身就是增加系统操作的复杂性,必定会降低效率,从这个角度上看,两者是矛盾的,很难实现安全性与便利性的共同提高。因此,应转换角度,不能从原有的信息系统成功模型上考虑其安全管理。通过分析以往对有效性研究的相关定义,发现对有效性的定义主要评价的两个方向是安全属性以及安全目的,包括保密性、可用性、可靠性、完整性、真实性等,其中,在学术界上,将保密性、可用性、完整性称为信息安全金三角,认为是信息安全有效性的核心属性。
1.3 信息安全管理体系
信息安全管理体系这一概念最早出现于BS7799,包括60个标准。研究用户参与对信息安全管理的有效性,必须建立在信息安全管理体系的背景下,一方面,信息安全管理体系是一个理想的安全管理模型;另一方面,这一管理体系涉及到各个方面的内容,包括业务风险评估、改进,安全域的实用规则、审核指南等;此外,这一体系还鼓励用户参与,能够使研究者判断和评估用户行为以及对信息安全管理的影响。
2 用户参与对信息安全管理有效性的影响
研究显示,用户参与与信息安全管理存在正向作用,由于安全机制的运行,并不能完全脱离人为活动,因此,用户参与具有一定的积极意义。通过用户参与,能够提高员工的安全意识,并优化业务流程,使安全管理体系更加符合实际安全需求,从而提高其有效性。在以往的安全管理实践中,很多安全管理者都选择减少用户的参与,控制其不确定性,导致很多组织更加重视安全技术投入,忽视了终端用户的安全意识教育投入,导致信息安全事件和受到攻击的情况并没有改善。由此可见,组织应重视终端用户的作用,增加终端用户投入,鼓励用户参与,并承担其维护信息系统的责任。从其影响路径上看,用户参与主要起到一个中介的作用,将用户安全意识和业务流程有机结合。同时,应注意的是,用户参与并不是影响信息安全管理有效性的唯一因素,还可能与组织类型、组织规模、高层管理者支持情况等有关,即还可能存在其他的中介变量。
3 结束语
综上所述,组织必须认识到,用户参与能够提高其安全意识,优化业务流程,对信息安全管理具有正向作用,能够将用户安全意识和业务流程有机结合,进一步完善信息安全管理体系。在安全管理中,正视其积极作用,并增加终端用户的投入,减少信息安全事件的发生,提高其信息安全管理的有效性。
[1]谢宗晓,林润辉,王兴起.用户参与对信息安全管理有效性的影响—多重中介方法[J].管理科学.2013,6(23):65-67
[2]方杰,张敏强,李晓鹏.中介效应的三类区间估计方法[J].心理科学进展,2011,19(5):765-774
[3]谢宗晓,刘琦.信息安全管理体系实施案例及文件集[M].北京:中国标准出版社,2010:4-23