组织管理视野下的信息安全风险评估研究.pdfVIP

289年年第12月期 情 报 杂 志 VoI．28 No．12 第 卷 200 JOURNALOFINTELIIGENCE Dec． 2009 组织管理视野下的信息安全风险评估研究* StudyOHtheInformationSecurityRiskAssessmentinOrganizationMnaagementPerspective 黄景文 刘 汶 广西大学信息网络中心 南宁 530004 广西大学公共管理学院 南宁 530004 摘 要 探讨组织管理视野下的信息安全本质，并将信息安全风险抽象为组织管理中的信息安全保障能力与信息 安全需求之间的知识缺 口。提 出一个新的信息安全风险的概念模型和基于组织知识的信息安全风险整体评估思路 ， 并对比传统的信息安全风险模型，讨论了该模型的优点。 关键词 信息安全 风险评估 组织管理 知识缺 口 中图分类号 TP393 文献标识码 A 文章编号 1002—1965 2009 12—0011—05 洞和因此受到的威胁及威胁成功的可能性等方面评估 0 引 言 信息安全风险之所在及其大小。尽管这些方法在实践 迄今为止，对于信息安全问题，在认识层面上先后 上已被广泛应用 ，但仍未解决资产估值 、漏洞评价和概 经历了四个过程 ，从单纯依靠技术工具和 IT安全专 率计算等难题。 家，到强化健全的管理维度 诸如政策、系统管理并重 本文注意到，信息安全是一个深深扎根于组织实 等方面 ，再到组织机构内部的最佳实践、认证 、信息安 践并与组织使命 紧密相关 的业务保 障与管理 问 全文化、信息安全监控指标体系等各方面的标准化，以 题[5,14J，有其相对性涵义。从知识 的观点，本文认为， 及当前的被称之为 “信息安全治理”的第四次浪潮l】J。 信息安全风险本质上是组织 目标、业务流程等条件下 随着认识的深入，建立在信息安全风险评估基础上的 的信息需求与信息保障能力之间的知识缺 口造成的信 全面信息安全治理 J理念前所未有地广获认 同和强 息保密性、完整性和可用性受到挑战，并可能发展成为 调。从管理学的观点探讨信息安全及其风险评估问题 对业务流程的实际威胁和障碍的安全风险。基于此， 已经成为当前的一个研究热点 2【J。 本文探讨组织管理视野下的信息安全本质 ，并将信息 一 般而言，信息安全风险是指由于系统存在的脆 安全风险抽象为组织管理中的信息安全保障能力与信 弱性 ，人为或 自然的威胁导致安全事件发生所造成的 息安全需求之间的知识缺口，提出一个基于组织知识 信息危险、信息损失或者信息损害发生的可能性以及 的信息安全风险整体评估思路。 其对组织的影响 J。信息安全风险评估是风险评估理 1 组织管理视野下的信息安全 论、方法在信息安全领域的应用与拓展。信息安全风 险评估被认为是一种主动识别信息安全风险的过程 ， 管理是一种面向组织战略和使命保障的目的性强 主要研究信息安全风险的基本要素 ，对信息安全风险 的有意义的组织行为 ，就是利用现有的组织资源达到 进行量化，以及在需要保护的资产和所付出的代价间 业务 目标和实现组织使命保障的过程 引。从这一观 均衡的决策过程HJ。已有很多学者提出了各种信息安 点，信息安全的 目标_16J在于保护信息的保密性、完整 全风险评估方法 ，如概率风险评估法E5]、人误分析 性和可用性等基本属性免遭 自然的或人为的破坏、损 法[、模糊多属性决策法 【、OCTAVE法 [8]和基于模 毁和非授权访问 窃取、篡改等 以