信息價值鏈視角下的業務信息安全管理效率研究

●陳　恒，魏修建，殷　猛（西安交通大學經濟與金融學院，西安710061）

信息價值鏈視角下的業務信息安全管理效率研究

●陳恒，魏修建，殷猛（西安交通大學經濟與金融學院，西安710061）

［關鍵詞］信息價值鏈；信息安全；管理效率；DEA模型

［摘要］從業務信息價值鏈視角出發，通過分析數據信息在業務活動流轉中“輸入－輸出”過程，識別信息價值鏈的增值方向，從而有效識別業務信息價值鏈不同節點信息安全管理資源的投入數量，并建立業務信息安全管理資源的輸入-輸出指標，在此基礎上引入數據包絡分析法（DEA模型），計算信息價值鏈節點的技術效率值以及投入和輸出指標的松弛度。基于此提出優化業務信息安全管理效率的具體方案，通過實例驗證本方法的可用性。

近年來，信息安全所涉及的研究內容在學界逐漸得到統一，即信息安全是強調保護知識產權、數據、網絡基礎設施安全等三方面內容。［1］在解決信息安全問題上，研究范圍包括風險評估、風險管理、模型（故障樹模型、［2］模糊層次分析法、［3］BP神經網絡、［4］貝葉斯網絡模型、［5］博弈論方法［6］等）以及信息安全理論、標準在行業中的應用。［7,8］而國標ISO / IEC 27001: 2005指出，信息安全的主要目的是確保業務的連續性、業務風險最小化、投資回報最大化。這一要求決定了現實中風險管理活動不可能無限制投入資源去保障組織的信息安全。因而更多的信息安全管理者需要明確組織信息系統所涉及的業務以及業務包含流程（節點）的信息安全管理效率，通過效率高低確定優化信息安全管理資源的配置策略，提高信息安全資源投資的回報率。然而，現有信息安全風險評估模型、方法、手段僅僅能解決識別信息系統風險等級的問題，還不能明確后續風險管理所投入的信息安全管理資源（包括管理、技術、軟件、硬件資源等）的使用效率。此外，現有信息安全管理與風險評估的研究多以整體信息系統作為研究對象，［9］導致后續的風險管理并不能有效明確業務子單元的風險概況。因而，常存在某些業務子單元或業務節點風險管理資源投入不當，造成信息安全管理效率低下。

目前，對業務信息安全管理效率的研究較少。基于此，本文提出信息價值鏈視角下的業務信息安全管理效率評估方法，通過構建業務信息價值鏈模型、信息安全管理資源投入與輸出指標，應用DEA模型計算組織業務（業務節點）信息安全管理效率，最終明確業務信息系統不同節點的信息安全管理效率。并依據效率的有效性確定進一步優化信息安全資源配置方法，提高業務信息價值鏈節點的信息安全管理效率。

1業務信息價值鏈模型構建

信息價值鏈是指數據信息在不同節點流轉中，通過組織各項資源的投入對數據信息進行加工、處理、精簡、對比、分析等一系列過程形成增值性輸出，并且在不同節點形成增值環節，且各個增值環節連接起來構成一個連續、具有方向性的業務信息價值鏈。

在信息安全管理中，按照GBT-20984對信息資產分類，包括數據、軟件、硬件、人員、服務五類資產，進一步分析發現軟件、硬件不具備信息價值，它們實質是處理數據信息的載體，［10］而數據信息作為支撐組織決策的核心資產，是信息安全管理的重點保護對象。在業務活動中，人員資產通過勞動投入，借助軟件、硬件、系統服務對數據信息進行加工、處理、流轉實現數據信息的增值。服務資產是為處理數據信息提供的保障性活動，比如安全服務、網絡接入服務、運營維護服務、安保服務等。

在組織業務活動中，數據信息在業務單元內部流轉會產生一個增值過程，并隨著流轉活動形成一條信息價值鏈。在具體增值過程中，數據信息經過硬件、軟件、人員、服務資產的流轉、加工、濃縮、整序，使原始的數據信息增加原來沒有的含義，產生一些更有價值的數據輸出。［11］如果將完整的業務活動看成一個信息價值鏈，數據信息在業務活動中流轉，會形成三個過程，分別為信息輸入端、流程域和輸出端（如圖所示）。［12］

圖　業務信息價值鏈模型

由圖可知，原始的數據信息輸入業務信息系統，沿著業務信息價值鏈流轉，經過終端的輸出，形成一個完整的信息價值增值鏈。而位于信息價值鏈的不同節點，數據信息逐漸增值。在此過程中，數據信息成為輔助組織決策、具有經濟價值的數據信息。為了保障數據信息的安全，組織會投入相應的信息安全資源以保障數據信息增值后的CIA。因此，隨著商業和使用價值的增值，數據信息的保密性、完整性、可用性價值量在信息價值鏈節點會實現不同的增值。

2信息價值鏈視角下的業務信息安全管理效率評估

2.1信息安全管理效率評估指標選取

（1）輸入指標描述。信息安全效率評估是以相對效率概念為基礎，根據信息安全管理資源的多指標投入和多指標產出，對業務單元進行信息安全效率的相對有效性評價。信息安全是以保護知識產權、數據、網絡基礎設施安全為目標。其中，知識產權有以文字形態、數據形態、圖片形態、實物形態的區分；數據是用于組織決策、預測或實現組織自我管理的重要資產；網絡基礎設施是為知識產權、數據的產生提供基本的通信服務、數據傳遞、信息收集服務的重要保障，并且也是知識產權、數據的載體或流轉設備。而數據和知識產權都需要組織業務流程產生，并且知識產權、數據形成過程中所需大量的資源投入，包括技術投入、資本投入、人力投入、信息安全管理資源投入等。其中，信息安全管理資源投入作為業務信息價值鏈的一項重要的安全保障，能夠保護知識產權、數據在業務流程中不被組織內外部風險所影響，防止和降低知識產權、數據發生被竊取、篡改、濫用等信息安全事件的發生，從而保障數據信息、知識產權的CIA。文中，我們從管理、人員、技術、軟件、硬件角度對信息安全管理資源進行分類，具體包括信息安全管理制度、信息安全管理人員、信息安全技術和信息資產。對指標的基本描述如下。

①信息安全管理制度。信息安全管理制度的主要作用是對組織業務可能發生的風險進行提前的規劃、防范、控制、處理，以提高信息安全管理的有效性，［13］并能防范由于信息資產脆弱性引發的信息安全事件。一般情況下，組織對已執行的業務信息安全管理制度或規程制定得越多、越詳細并且不存在制度或規范內容之間相互沖突，越能對員工的信息安全行為和信息安全意識起到規范和警示作用，降低內外部信息安全風險發生的可能性。

②信息安全管理人員。信息安全管理人員是為防止在信息價值鏈中不同業務節點發生信息安全事件而投入的專業技術人員。根據組織信息系統的安全要求，信息安全人員的職責要求如表1所示。

表1信息安全管理人員分類

在實踐中，信息安全管理人員分類與職責設定可按照組織對業務信息安全的要求及業務信息系統的安全屬性來決定，并且在信息安全管理活動中，可能由于人力資源有限會存在一人多責的現象。但是，并非組織對安全管理人員投入數量越多越好。如果存在人員責任重疊或人員設置重疊，將會導致信息安全管理職責與行為混亂，造成后續信息安全管理效率低下。

③信息安全技術。組織投入信息安全技術的目的是保障數據信息的CAI。在業務信息價值鏈中能夠保障數據信息在搜集、加工、流轉、增值的一系列過程無論數據信息在任意的業務節點均是可用的，并對一些敏感的數據信息能夠做到防止被內外部威脅利用而產生信息安全問題。按照TCP/IP劃分，信息安全技術可分為四個層面的保護技術，包括物理鏈路層、網絡層、傳輸層和應用層保護技術。涉及的技術包括加密技術、安全涉及技術、權限管理技術、數字認證技術、病毒檢測技術、數據備份與容災技術、漏洞掃描技術、入侵檢測技術、路由安全技術、VPN/MPLS技術等。組織投入的信息安全技術越全面、覆蓋的業務范圍越廣，且不存在重復投入的情況下，越能有效保障數據信息在信息價值鏈中的安全性，且能降低組織整體投入成本，提高信息安全管理效率。

④信息資產。信息資產是組織業務系統控制的一項特殊資產，既具有一般物質資產的特征，又兼有無形資產和信息資源的雙重特征。按照GBT/20984資產分類方法，將信息價值鏈視角下的信息資產劃分為軟件、硬件、人員、服務、數據五種類型。在信息價值鏈模型中，軟件、硬件、服務資產服務于數據信息的增值過程，并且該過程主要依靠人員資產對軟、硬件、服務的人工操作來實現。因此，勞動力投入、使用的軟件、硬件、服務、數據數量將直接影響后續信息安全管理資源的投入規模，進而影響信息安全管理效率。如，軟件的安裝目的主要是處理、分析、存儲數據，但若相同類型或具有相同作用的同類軟件安裝過多，會占有較大的內存空間，造成系統運行緩慢。一方面降低信息價值鏈的增值效率，另一方面將占有更多人力去彌補系統運行緩慢而造成的工作延誤，將迫使組織業務活動投入更多的人力，從而增加系統人員道德風險的概率，且在后續信息安全管理中，將提高信息安全資源的投入規模。同樣，硬件資產如果投入數量過多，會導致信息價值鏈增值過程占有空閑資源過多，而需要較多的安全管理人員進行硬件維護，具有不經濟性，還將給信息增值帶來信息安全風險，降低數據信息增值效率和信息安全管理效率；若投入數量較少，會造成硬件系統頻繁使用或交叉使用，有導致業務中斷的風險，降低數據信息增值效率和信息安全管理效率。而人員資產、服務資產在投入數量上對數據信息的增值和信息安全管理效率影響與以上資產具有同樣的效果。

（2）輸出指標描述。在業務信息價值鏈模型中組織所投入的信息安全管理資源均服務于數據信息增值過程，并隨著數據信息在不同的價值鏈節點被加工、流轉、集成，其使用價值對客戶或用戶而言逐漸增加，最終輸出具有使用價值或商業價值的數據信息。增值后的數據信息在不同節點，根據價值以及對用戶的重要性不同，其保密性、完整性、可用性具有不同的安全等級要求，相應其CIA價值增量也得以體現。因此選擇保密性（C）、完整性（I）、可用性（A）作為業務節點和業務輸出評價指標。具體指標描述如下。

①保密性。按照ISO/IEC27002:2005對信息安全屬性定義，保密性是指信息不能被未授權人、實體或過程利用、獲悉的特性。在業務信息價值鏈模型中數據信息沿著信息價值鏈不斷增值。由于增值后數據信息價值不同，其保密性等級要求也不相同，因此，保密性屬性具有增值性。若信息價值鏈各個節點存在風險，將會影響保密性的增值。而信息安全管理資源投入可以保障增值后的數據信息的保密性正常增值。

②完整性。完整性是保障數據信息在傳遞過程中沒有被非法用戶刪除、替換或添加的行為。在業務信息價值鏈中數據信息沿著信息價值鏈不同節點流轉、集成、加工后其使用價值或商業價值不斷增加，數據信息的完整性也實現不同的增值。隨著數據信息完整性的增值，非法用戶的行為將對數據信息的完整性產生較大危害，降低完整性增值量大小。而信息安全管理資源投入能夠保障數據信息完整性增值的實現。

③可用性。可用性是數據信息能夠為授權者提供服務，保障合法用戶對數據信息的訪問不被拒絕。在業務信息價值鏈中，數據信息不斷增值，其使用價值或商業價值不斷提高。對組織而言，若數據信息增值后拒絕合法用戶訪問將產生較大的損失。比如，組織用來進行決策的數據信息，當數據信息處于信息價值鏈初端的時候其價值較小，而處于終端時使用價值較大。若在初端可用性較低（出現拒絕訪問）對組織正確決策影響較小；若處于信息價值鏈終端時（出現拒絕訪問）將對決策的影響較為嚴重。因此，在業務信息價值鏈中，隨著數據信息的不斷增值，其可用性也得到相應的增值，才能保障數據信息的使用價值或商業價值的最終體現。

2.2信息價值鏈視角下的業務信息安全管理資源投入識別

基于上文所構建業務信息安全管理效率評估指標，需要進一步識別輸出指標所涉及的信息安全管理資源。在信息價值鏈中識別信息安全管理資源，首先，需要對信息價值鏈的增值方向進行分析，確定業務信息價值鏈的節點（環節）構成，相應識別出不同節點所投入的信息安全管理資源規模，包括信息資產載體、信息技術、信息安全管理人員、信息安全管理制度或規范的數量或規模，形成表2所示的信息安全管理資源的識別過程。

表2信息安全管理資源投入識別過程

基于業務信息價值鏈可以有效識別出為保障組織業務信息安全所投入的信息安全管理資源，通過識別組織不同業務及業務節點不同信息安全保障資源的數量、種類，可以幫助組織摸清信息安全風險管理所投入的資源。同時，為計算組織業務信息安全管理效率及進一步優化信息安全管理資源配置作詳細的清單。

2.3信息安全管理效率評估模型（DEA）引入

在業務信息價值鏈中引入運籌學領域的DEA模型處理“多輸入-輸出”指標觀測值來估計有效生產［14］的理論思想，確定組織不同業務及業務節點的信息安全管理效率。與DEA模型相同，業務信息價值鏈也具有“多輸入-輸出”的生產系統。即業務數據信息通過輸入業務子系統，經過加工、處理、集成、流轉，沿著信息價值鏈實現增值性輸出。在“多輸入-輸出”系統中，我們將在信息價值鏈節點識別的信息資產、信息技術、信息安全管理人員、信息安全管理制度和規范的數量或規模4個指標作為信息價值鏈輸入的可觀測指標。同時，為區分這四個指標的權重（取值0＜權重＜1），可根據4個指標對組織信息安全風險有效管理的影響程度大小加以區分。

在輸出指標確定中，數據信息沿著信息價值鏈流轉，形成增值性輸出，最終成為組織重要決策與服務的資產。對數據信息的使用者而言，經過增值后的數據信息其CIA價值相應得以提高。因此，信息價值鏈下，CAI增值可作為信息價值鏈“輸出”的測量指標。而根據組織屬性差異（對數據信息CIA的等級要求），對3個輸出性增值指標的重視程度也有所區別。因此，在信息價值鏈視角下，數據信息最終的增值需要依據3個增值指標的權重大小來確定。

與傳統DEA模型中“輸入－輸出”數據均與客觀數據相區別，信息價值鏈視角下業務信息系統輸入指標為可統計的客觀數據，但輸出指標（數據信息的CIA增值量）需要與組織內部相關業務人員和專家共同評估。根據業務信息價值鏈增值原理，假設數據信息的初始CAI價值為K［S］，在組織信息安全管理資源的保障下，實現CAI價值的增加，設增加值為△L，最終形成CAI的最終價值量，如下公式所示：

K［S］+△L=K［S+△L］

其中，K［S+△L］為最終節點輸出CIA價值量。

對業務信息價值鏈下數據信息的原始CIA價值判斷，可根據其初始價值等級分為五個等級，量化取值如表3所示。

表3數據信息CIA初始價值判斷

而數據信息在信息價值鏈不同節點的CIA增值可按表4進行操作。

表4業務信息價值鏈節點輸出系統信息價值C! A增量取值

依據DEA模型理論，假設組織業務信息價值鏈有N個節點，在信息價值鏈視角下每個節點都有4種類型信息安全管理資源“輸入”以及CIA 3種“輸出”，這N個業務單元的輸入－輸出關系如表5所示。

表5信息價值鏈視角下數據信息輸入－輸出關系表

相對應業務信息價值鏈的節點都有相應的信息安全管理效率評價指數如下：

而第j0個節點的信息安全管理相對效率優化評價模型為：

其中，i=1,2,3；r=1,2,……4 j=1,2,……n

將以上規劃模型化為線性規劃模型求解：令

xj=（xij,x2j,……,xmj）T, j=1,2,……n; yj=（yij,y2j,……, yPj）T, j=1,2,……n

通過上式引入對偶問題求業務信息價值鏈節點增值效率θ值如下：

其中：i=1,2,3；r=1,2,……4

通過以上DEA數值計算過程，可以求出信息價值鏈節點的數據信息CIA增值的效率θ，根據θ值是否為1，可以判斷每一個節點的信息安全管理效率是否處于有效狀態。形成每個節點的增值效率值以及是否需要優化的節點位置，如表6所示。

表6業務信息價值鏈節點信息安全管理效率

3實例研究

以西安高校圖書館外文期刊采購業務為例進行研究。在對該業務信息安全管理效率進行評估前，風險評估人員已經對該業務進行了有效的信息安全風險評估，且在風險管理中對現有風險配置了相應的信息安全管理資源。根據信息價值鏈的業務信息安全管理資源識別方法，我們對外文采購業務的信息價值鏈分析，確定了該業務的6個信息價值鏈節點，分別為：（1）由采購人員定期向各學院（中心）發出訂購需求；（2）信息匯總人員匯總、審核、篩選；（3）圖書館館長審定；（4）采購部門人員將采購信息輸入計算機內；（5）訂單發往相關外文訂購部門；（6）到館書刊的驗收、核對、登錄、書刊分類統計及固定資產登記，通過6個節點的信息CIA增值，最終在信息價值鏈終端輸出。

根據外文期刊采購業務的信息價值鏈，分析數據信息的流轉、加工、處理過程，確定數據信息的增值方向，獲得外文期刊采購業務所投入的信息安全管理資源數量（如表7所示）。

表7信息價值鏈視角下業務信息安全管理資源投入識別

在業務信息價值鏈節點，通過圖書館信息技術人員對數據信息的CIA價值判斷，初始價值K［S］分別為0、1、1。數據信息經過業務信息價值鏈流轉、加工、集成，在每個節點輸出CIA增值量，增值大小如表8所示。

表8業務信息價值鏈節點CIA增量表

對于輸入-輸出指標權重的確定，通過與信息技術人員、業務人員溝通，確定投入指標與輸入指標的重要性相同，因此，在計算信息安全管理效率中可忽略權重影響。

依據表8外文期刊采購業務單元的“輸入－輸出”數據，文中使用DEAP計算出外文采購業務信息價值鏈6個節點的信息安全管理效率（如表9所示）。

表9外文期刊采購業務信息價值鏈信息安全管理效率

由表9可知。節點2、4、5最優規模技術效率θ均低于1，是需要進一步優化的信息價值鏈節點。具體的優化方法根據DEAP計算的SLACKS（松弛度）計算結果，CIA產出和業務信息安全資源投入的優化目標如表10、11所示。

表10信息價值鏈節點CIA產出（SLACKS）松弛度

表11信息價值鏈節點信息安全管理資源投入（SLACKS）松弛度

由表10、11可知，節點2、4、5存在數據信息安全屬性產出增量、信息安全管理資源具有投入、產出松弛度。從表中松弛度數值可知，由于外文采購業務信息價值鏈節點2信息資產數量、信息安全管理人員投入過多而導致數據信息可用性增值產出不足。因此，節點2應該減少0.041和1.959的信息資產和信息安全管理人員數量投入。節點4信息安全管理人員數量、信息技術、信息資產投入過多而導致數據信息完整性增值產出不足。因此，在業務節點4應該減少2.918、1.0、0.082的信息安全管理人員、信息技術、信息資產數量的投入。節點5依舊由于信息安全管理人員、信息資產數量多投入0.928和0.072，導致數據信息完整性增量產出不足。同時，根據需要減少的信息安全管理資源的數量，還需要進一步分析投入的信息資產、信息安全技術、安全管理人員是否存在職能重疊，軟、硬件等安裝過多或功能是否重疊以及是否存在相關信息安全技術資源浪費的現象，以便落實減少投入資源時能夠做到有的放矢。

通過以上對外文采購業務信息安全管理效率的分析，確定不同節點的具體優化方案，可以實現對業務信息安全管理投入資源的優化配置，實現在有限資源條件下保障信息安全管理資源投入與數據信息CIA增值的最大化。

綜上所述，基于信息價值鏈視角，通過構建信息安全管理資源投入與輸出指標，并應用數據包絡分析法有效分析了業務信息價值鏈不同節點的信息安全管理效率，為組織進一步改善信息安全管理資源的配置提供了一個具體的行動方案，并能夠有效降低組織信息安全管理資源，提高組織信息安全管理資源的投資回報率。

［參考文獻］

［1］宋艷，陳冬華．信息系統安全風險評估綜述［J］.情報理論與實踐，2009（5）：114－116.

［2］王艷瑋，陳恒．故障樹模型在校園網信息系統風險評估中的應用［J］．現代情報，2011（3）：89－92.

［3］王奕,等．FAHP方法在信息安全風險評估中的研究［J］．計算機工程與科學, 2006（9）：4－12.

［4］趙冬梅，等．基于BP神經網絡的信息安全風險評估［J］．計算機工程與科學，2007（1）：139－141.

［5］付鈺，等．基于貝葉斯網絡的信息安全風險評估方法［J］．武漢大學學報（理學版），2006（5）：631－634．

［6］吳葉科，等．基于博弈論的綜合賦權法的信息安全風險評估［J］．計算機工程與科學，2011 （5）：9－13．

［7］黃水清，任妮．數字圖書館信息安全風險評估的方法與模型［J］．圖書情報工作，2014（1）：14－19.

［8］黃水清，等．數字圖書館信息安全風險評估［J］.現代圖書情報技術，2010（7/8）：33－38.

［9］付沙．一種基于信息熵的信息系統安全風險分析方法［J］．情報科學，2013（6）：38－42.

［10］王艷瑋，陳恒．基于業務流程的信息資產識別及其價值確定［J］．圖書館理論與實踐，2011 （8）：35－38.

［11］吳鋼華，李光建．論信息工作的增值過程及其途徑［J］．情報雜志，1998，17（3）：7－9.

［12］張海濤，靖繼鵬．信息價值鏈：內涵、模型、增值機制與策略［J］．情報理論與實踐，2009，32（3）：16－18.

［13］謝宗曉，等．用戶參與對信息安全管理有效性的影響——多重中介方法［J］．管理科學，2013 （6）：65－76.

［14］牛映武．運籌學［M］．西安：西安交通大學出版社，2008：328.

［收稿日期］2015－03－19［責任編輯］菊秋芳

［作者簡介］陳恒（1985－），男，西安交通大學經濟與金融學院博士研究生，研究方向：物流與電子商務、信息安全管理；魏修建（1962－），男，博士生導師，教授，電子商務系主任，研究方向：物流與電子商務;殷猛（1986－），男，博士研究生，研究方向：電子商務與網絡經濟。

［文章編號］1005－8214（2015）12－0039－06

［文獻標志碼］A

［中圖分類號］G203