1、1国有大型企业信息安全管理评价研究【摘 要】国有大型企业的信息安全管理工作是推动企业自身信息化建设、保障企业正常运转的重要内容,对其评价有重要意义。本文从管理的角度出发,结合国有大型企业信息安全管理特点,构建五维度评价指标体系,运用模糊综合评价的方法对其评价。通过案例研究,得出评价结果。最后,为企业提出了提高信息安全水平的对策建议。 【关键词】国有大型企业 信息安全管理 模糊综合评价 随着我国计算机技术和网络技术的迅速发展,很多国有大型企业对信息和信息技术的依赖程度越来越高,信息已经成为企业一种崭新的资产,对企业的发展起到了至关重要的作用1。研究发现,对于企业信息安全管理的评价多数侧重于信息安
2、全系统技术层面的评价 2,或对信息安全等级评估和风险的评估3 4。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务,不能单纯依赖技术及防护设备,还将涉及安全、风险、人员、规章制度等管理因素,对其评价是一个定性与定量指标共存的综合的评价,要运用综合评价的思想和方法,才能够使评价结果更严谨。 本文着重从管理的角度出发,构建了国有大型企业信息安全管理评价指标体系,应用模糊综合评价的方法建立评价模型,并结合实证研究,得出客观、科学的评价结果。 1.评价指标体系构建 21.1 指标体系的构建 本文在研究了国外信息安全管理的评价标准5 6,以及国内信息安全管理体系的发展状况基础上7 8,结合国家对
3、国有大型企业信息系统安全性的基本要求9,综合考虑信息安全的技术属性和管理要素,通过德尔菲法反复征询 5 位专家的意见,构建了国有大型企业信息安全管理评价指标体系。 该指标体系共分为 5 项一级指标和 16 项二级指标,其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全;防御攻击能力、预警能力、系统应急反应能力、技术创新能力;风险识别、风险评估、风险控制;专业人员比例、考评上岗合格率、对员工的培训率;企业保密机制、安全规章制度、应急处理预案。 1.2 指标权重的确定 选用层次分析法作为指标体系中确定权重的方法,具体步骤如下: (1)建立
4、递阶层次结构模型,将决策问题的因素自上而下划分为不同的层次,包括目标层、准则层、指标层等。 (2)构造判别矩阵。一般用 19 标度的表示方法,把处于同一子集上的指标相对重要性进行专家评分,构造一个以重要性标度 Aij 为元素的两两比较判别矩阵 A=(Aij)m*n。 (3)层次单排序。根据判别矩阵,求解矩阵 A 的最大特征根?姿m?琢 x=?蒡所对应的特征向量,并且做归一化处理。 (4)一致性检验。判断所得到的特征向量是否是权向量。 3(5)层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。 应用该方法,选取 5 位专家,结合已构建的评价
5、指标体系,分别对一级指标、二级指标进行 19 标度判别矩阵的排序,应用层次分析法软件得出各个指标的权重值,此数据将作为后续评价的主要依据。 2.案例研究 模糊综合评价(Fuzzy Comprehensive Evaluation, FCE)是一种非常有效的多因素决策方法,主要运用模糊变换原理和最大隶属度原则,综合考虑与被评价事物相关的各个因素,对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集,进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析 6 个步骤10。 本文的评语集为优秀、良好、中等、一般、差 5 个等级,建立隶属函数,根据 5 位专家对指标的评分数据,计算出各二级
6、指标的隶属度,最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵 R1、 R2、 R3、 R4、 R5。 根据模型的计算公式,多因素模糊综合评价矩阵 Bn 为权重向量 Wn与单因素评价关系矩阵 Rn 相乘所得到的行向量,本指标体系的多因素模糊综合评价矩阵分别为:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0) ,B3=(0.14,0.51,0.35,0,0) ,B4=(0.39,0.27,0.34, 0,0) ,B5=(0.25,0.57,0.18,0,0) 。 由 B1、B2、B3、B4 和 B5 构成了该国有大型企业信
7、息安全管理的单4因素评价关系矩阵 R,最终得到企业信息安全管理评价指标体系的总体评价结果如表 1 所示。 3.结论 根据表 1,进一步对评价结果进行分析,该国有大型企业信息安全管理总体评价属于“优秀” 、 “良好” 、 “中等”的程度分别为 24%、 57%、19%,按照隶属度最大原则,企业信息安全管理总体评价结果为“良好”偏上,总体可以评定为“优秀” 。结合上述评价结果和企业自身的特点,给出以下几点对策建议。 (1)加强国有大型企业信息安全的技术管理,注重技术创新。提高技术的全面性,以及企业信息安全技术的创新能力,将信息安全列入企业战略规划之中,用先进的技术手段保证企业的信息安全、完整。 (
8、2)进一步提高国有大型企业的风险管理,重视风险评估。企业要组建专业的评估管理与实施团队,进行系统、全面的调研工作,以确定信息安全风险评估的目标和范围。同时,及时进行风险评估的总结,将企业信息安全存在的风险问题控制在一定范围内,防止不必要的错误再次发生。 (3)加强企业对员工有关信息安全保密意识的培训力度。制定安全保密培训制度,增加对员工信息安全培训的次数,明确岗位职责,提高员工保密意识。 (4)重视企业信息安全的规章制度建设,提高执行能力。加强企业领导的重视,在信息安全管理的各个方面,成立安全监管小组。在企业涉及信息安全的部门,制定相应的规章制度,如机房管理制度、人员管5理制度等,使企业高效率
9、运行;设立绩效奖惩制度,提高员工保护企业信息的积极性。 国有大型企业信息安全管理是一个复杂的、动态的过程,涉及到很多的因素,且因素间相互影响,目前现有的研究并不多。本文从管理的角度出发,综合考虑了国有大型企业信息安全管理的特点,构建的评价指标体系具有科学、客观性。同时,采用模糊综合评价的方法将国有大型企业信息安全管理中的技术、安全、风险、人员和制度等因素纳入层次结构模型中,对难以评价、模糊的指标信息予以处理,评价方法容易实现。本文的研究为评价国有大型企业信息安全管理工作提供了方法,具有一定的实际应用价值。 *基金项目:国家自然科学基金项目“开放式服务交付平台(OSDP)的运营模式分析与研究”
10、(71172135) 。 参考文献: 1孟洁.国有企业中的信息安全管理和应用J.科技信息,2012, (2):252 2孙博.企业信息安全及相关技术概述J.科技创新导报,2009, (4):211 3傅璧,丁爽,张恺.信息系统的安全风险评估及风险管理J.企业导报,2011, (13):8990 4吉增瑞.信息安全等级保护浅析J.网络安全技术与应用,2005, (1):5557 5Mikko Siponen,Robert Willison. Information security management standards: Problems and solutionsJ. Informatio
11、n & 6Management, 2009,46(5):267-270 6Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security managementJ.Computers & Security,2012,31(2):221-232 7高文涛.国内外信息安全管理体系研究J.计算机安全,2008, (12):9597 8李晓玉.国内外信息安全标准研究现状综述J.信息安全与通信保密,2009, (8):167171 9徐毅.信息安全管理标准及其应用探讨J.科技信息,2008, (36):6566 10黄芳芳,刘桥.基于模糊综合评判的信息安全风险量化分析J.网络安全技术与应用,2009, (12):2224 作者简介: 王宁(1984-) ,女,辽宁锦州。北京邮电大学经济与管理学院研究生,研究方向是消费者决策分析。 王宁(1958-) ,男,辽宁抚顺。北京邮电大学经济与管理学院教授,工学博士,研究方向是消费者行为与决策分析。 张国力(1975-) ,男,北京邮电大学经济与管理学院 工商管理硕士,研究方向是决策分析。 (作者单位:北京邮电大学经济管理学院;北京 100876)
