信息資產風險管理研究文獻分析

張思佳，張樹靜（寧夏大學資產管理處）

信息資產風險管理研究文獻分析

張思佳，張樹靜（寧夏大學資產管理處）

大數據時代，信息資產已成為組織的重要資產，能使組織獲得更大的效益。信息資產風險管理已在各個領域受到許多研究者的廣泛關注。文章從信息資產的價值、安全管理、風險分析、風險控制等方面，對近年來我國信息資產風險管理的文獻進行綜合分析研究。結果顯示:信息資產在各行各業都能夠帶來直接或間接的利益，創造新的價值；對信息資產的有效管理可以提升其創造新價值的作用；保障信息資產的安全，是實現信息資產價值的基礎；應從避免風險、抑制風險、中和風險、集中或分散等環節實現信息資產風險控制，確保組織的信息資產安全。

信息資產管理；信息資產安全；風險分析；風險控制

信息是組織中的一種重要資源，把信息作為生產要素能夠形成存量價值，它是信息投資累計的結果。因此，這種投資結果就構成了組織的信息資產。狹義的信息資產是指能為擁有者帶來現實和潛在經濟利益的信息，如知識產權、版權、專利權、商標權等。這種信息資產有些是從外部有償取得后進行投入的，有些則是組織或個人在自身發展中形成的。廣義的信息資產還包括通過信息技術投資形成的信息設備、信息系統、信息網絡等有形資產。［1］隨著信息基礎設施規模的擴大，各種應用信息系統投資的增加，特別是大數據時代的來臨，信息資產在組織的資產中所占的比例越來越大。而資產是保證組織正常運營的前提條件，它是企業賴以生存、是確保行政機關正常運轉、事業單位事業發展的重要物質基礎。加強資產管理，能夠使產權明確，防止資產流失；提高資產的使用效率，使資產保值增值，可以取得良好的經濟效益。其中，信息資產總值的增加是一個組織信息化水平提高的重要標志，對增強組織的綜合競爭實力起著重要作用。

鑒于此，筆者對信息資產風險管理研究文獻進行檢索與分析，通過“中國知網”（CNKI）對我國信息資產風險管理的相關文獻進行統計分析，從文獻計量學視角，對信息資產風險管理的研究歷程、研究層次、研究主題等進行較為全面的統計分析，以期為信息資產風險管理的進一步研究提供借鑒。

1 信息資產風險管理研究統計與分析

筆者利用“中國知網”數據庫，分別以“信息資產and風險控制”、“信息資產and風險管理”、“信息資產and風險分析”、“信息資產and風險識別”為檢索字段；在資源總庫高級檢索中，以“主題”為內容檢索條件；選擇控制條件為時間不限、精確，得到檢索結果合計333條（截止日期2015年11月16日）。經過去重、篩選，最終確定110條文獻作為研究對象，對文獻的年代分布、文獻類型、作者、研究主題等方面進行統計分析。

1.1 文獻年代分布

在檢索到的文獻中，關于信息資產管理研究較早的文獻出現在1995年。之后，幾乎各個年度都有信息資產管理研究的相關文獻，但數量不多。雖然研究文獻整體數量不多，但其產生、發展的過程具有其自身的特點（見下圖）。

圖文獻數量分布圖

從文獻數量分布圖看出，信息資產管理研究文獻的數量經歷了三個高峰期，我們將其劃分為三個階段：1995～2004年為研究起步期；2005～2007年為研究成長期；2008～2009年為快速成長期；2010年之后還未形成研究高峰，暫不劃分階段，可稱之為發展期?？v觀三個階段的研究特點，可以發現，信息資產管理的研究與信息社會、信息技術的發展有著密切關聯。主要原因有兩方面。（1）與信息技術在各領域的應用有關。1995年，我國各行各業準備利用或剛剛開始利用計算機管理系統，信息、信息技術逐漸被人們了解，研究者注意到信息也是一種資產，應該對其進行積累與管理。1995年胡小明的3篇文獻都在討論信息資產積累的問題。2005年左右，信息技術已在各個領域廣泛應用，這一時期，國內外學者也開始對信息安全管理相關問題進行研究。2009年，信息技術已經蓬勃發展，無論是企、事業單位，還是各種社會組織，信息資產均日漸增多。在圖書館和高等學校，數字圖書館、各類數據庫系統陸續出現；在銀行，各種類型的自助服務開始使用；在企業、商業等領域，對產品信息、客戶資料等實行數字化管理等，從而使得人們對信息資產管理開始關注。（2）與信息安全標準的制定有關。隨著計算機技術的發展與應用，計算機與信息安全問題也凸顯出來。20世紀90年代，世界各國開始制定信息安全技術規則，2003年我國也開始了信息安全管理相關標準的編制工作，并發布了多個規則與標準。如2009年9月30日，中華人民共和國國家質量監督檢驗檢疫總局、中國國家標準管理委員會發布了《信息安全技術信息安全風險管理指南》。［2］

1.2 文獻類型分布

經過篩選后的研究論文所涉及的文獻類型有期刊論文（94篇）、學位論文（10篇）、會議文獻（6篇）。94篇期刊論文刊登在75種期刊上，這些期刊涉及多個學科，包括自動化技術、計算機技術、電子技術、通信技術、經濟、圖書館情報與文獻學等。其中，核心期刊14種，占比19%?？梢钥闯?，信息資產的價值、安全管理、風險控制等在各個學科領域都受到極大的關注。從核心期刊所占的近百分之二十的比例看，對信息資產管理的研究也引起了各行各業的高度重視。在學位論文中，較早對信息資產管理研究的論文始于2006年，2012年和2013年的論文最多。會議論文主要是在中國計算機學會和中國通信學會等機構組織的學術會議上的交流論文。分布在各種類型文獻上的論文涉及信息資產價值分析、信息資產安全的解決方案、信息資產管理系統設計、信息資產風險控制等方面。

1.3 作者統計分析

（1）作者發文數量。作者針對某個專題的發文數量可以反映出該作者對這個領域研究的熱度、持續性，并且可以發現某個研究領域的核心作者。在本文篩選的110篇文獻中，發表1篇文獻的作者占大多數；作為第一作者發表2篇文章的有王知津、吳小艷，屈延文；發表3篇文章的有楊濤、趙鋒。說明大多數作者對信息資產管理研究的持續關注度有待提升。

（2）作者合作程度。作者合作度反映了某學科或領域研究者的協作性，能夠比較合理地評價某個學科完成一項科研課題所需的平均人數，為制定科學研究發展規劃、以及一項研究課題選擇科研人數提供科學依據。各學科多年的總作者合作度可以作為評價一個國家科學研究水平的參數之一。對各學科作者合作度的比較研究，可以從一個側面反映各學科研究的活躍程度和發展水平。［3］在110篇文獻中，除去10篇學位論文（因學位論文均為一位作者），其余100篇文獻中有52篇文獻為一位作者獨著，48篇文獻為2位及2位以上作者共同寫作。由此可知，由作者合作完成的論文數量達到了近50%。100篇文獻共有作者171人，作者合作度為1.71。

2 信息資產風險管理研究內容分析

2.1 信息資產價值分析

信息資產的價值體現在能為組織創造出預期的收益，因而受到各行各業的重視。在新型商業模式中，信息資產已成為最重要的資產。互聯網企業、電子商務等新型商業內核都向投資者展示一個美好的預期：對信息的捕捉分析能力可以優化企業的運營流程，提升價值。即使傳統型商業模式也是如此，將信息作為提升商業價值的資產。企業主營業務收入依賴于信息增值而產生，并利用信息資產創造新的價值。［4］信息資產在金融業的運籌中發揮著重要作用。銀行所擁有的客戶信息、產品信息是一筆巨大的財富，也是無形資產。銀行可以利用這些信息擴大創新產品或服務的銷售量；提高銀行市場營銷策略的有效性；改進服務質量；進一步改善、鞏固銀行和客戶的關系；增加盈利。［5］政府信息資源經過一系列制度安排轉化為政府信息資產，政府信息資產能夠直接或間接帶來經濟利益。通過占有和支配政府信息資產，可以增進物質和精神利益的便利和優勢，謂之直接利益。將信息資產作為一種生產要素和經濟資源，廣泛應用于各類經濟或管理活動中，能為組織帶來間接利益。［6］如何確定組織的信息資產價值，目前還沒有統一的標準，研究者多是從信息資產的業務流程識別其重要性，從而確定信息資產的價值。如，按照信息資產業務運轉的流動性以位置固定資產或位置變動資產來識別與確定信息資產的價值；［7］從信息價值鏈視角分析業務活動流轉“輸入—輸出”過程中信息資產價值鏈增值方向等。［8］可見，信息資產在各行各業都能夠帶來直接或間接的利益，創造新的價值。

2.2 信息資產管理系統

信息資產的管理如同其他實物資產管理一樣，要經過采購、調配、應用、維護、報廢與報失等環節，對信息資產的有效管理可以提高其創造新價值的作用。首先，應有健全的信息資產管理制度，這是信息資產高效、規范運行的基礎。其次，要加強信息資產的運營管理，實現信息資產價值最大化。信息資產管理系統利用數據庫及網絡化技術手段，將各類分布分散的信息資產進行統一的、規范的綜合處理，以保證信息資產使用的有效性與安全性。

目前許多研究者已開始探討或介紹信息管理系統在各個行業的應用。銀行作為一個高度信息化的部門，必須對信息資產進行有效管理。三層架構（前臺應用程序，中間服務層，后臺數據庫）信息資產管理系統已在有關銀行使用，系統的業務處理模塊是信息資產管理系統的核心模塊，具有七大功能：供應商管理、合同管理、資產信息管理、資產領用管理、資產維修管理、資產處理管理、資產卡片賬管理。應用資產管理系統，大大提高了銀行處理各項業務的效率。［9］用信息資產動態管理的技術，可以實時掌握公司的信息資產數據，并進行有效管理。［10］按照政府信息資產數量、質量、功能、使用權限、密級、使用狀況、使用效益等政府信息資產運營特征，能夠有效對政府信息資產進行管理。［6］用基于層次化模型的信息資產管理方法，對信息系統物理層、實體層、系統層、應用層、數據層的每個信息實體進行唯一標識、登記，確定信息資產的物理位置、責任部門、資產類別以及與其他資產的關聯關系等，可實現信息資產的管理目標。［11］可以看出，無論是企業組織還是政府與事業單位，都在按照組織的信息資產特征、功能等設計與開發管理系統，以實現信息資產的有效利用、資產增值。

2.3 信息資產安全保護

保障信息資產的安全，是實現信息資產價值的基礎。在國際標準化組織的信息安全管理標準規范（ISO/IEC17799）中，信息被看作是一種資產，因此，信息資產安全要以保護信息資源安全為前提。信息安全的基本特征為保密性、完整性、有效性、真實性、不可否認性、可控性、可審計性等。［12］安全是信息資產的關鍵屬性。對企業而言，應樹立安全管理意識，加強安全系統的使用培訓；建立完善的安全防護體系，分析不同系統單元、協議層次中存在的安全風險，根據服務的安全性特點，采取安全技術方案，保證信息資產運行安全。［13］網絡安全三維立體模型，可以作為企業信息資產安全的保障措施之一，該模型包括知識維、邏輯維、時間維。知識維表示實現安全系統所需要的工具庫和知識庫，邏輯維指對知識的有效運用，時間維則是在特定時間段保持系統安全需要所進行的工作。知識維和邏輯維共同組成的平面，可以把系統的安全狀況提升到當前安全技術所能達到的理想狀態，而時間維則對這個安全狀態予以保持。［14］借鑒MSF風險管理框架，建立以操作風險管理為核心的信息資產安全模型，包括風險識別、風險分析與分級、風險分析與調度、風險跟蹤與報告、風險控制、風險學習，該模型可結合金融機構操作風險威脅和信息資產安全特點，將風險控制在可承受的范圍之內，從而為社會提供安全服務。［12］

從信息資產識別分類與信息資產賦值、安全威脅、脆弱性三個方面對大學圖書館信息資產安全進行分析與評價，在信息資產安全分析的基礎上，建立大學圖書館信息資產安全保障體系，可以改進大學圖書館信息資產安全狀況。［15］對政府信息資產的數量、質量、使用功能、使用權限、使用狀況、密級、效益等運營情況進行全面統計、評估，能夠加強政府信息資產的有效管理。［6］

從研究文獻看出，研究者對保障組織信息資產安全的觀點基本趨于一致，認為應樹立信息資產安全管理意識；建立完善的安全防護措施與體系。但在建立安全體系時，各組織則采用不同的技術方法，如：符忠娥研究引入證書機制保障企業信息資產的安全；黃水清將國際標準ISO/IEC27001中的信息安全風險評估方法應用于數字圖書館信息資產風險評估；朱曉歡借助ISO27000對復合圖書館信息安全風險進行評估研究等。由于信息資產與信息是密切相關的，因此，更多的研究是從信息安全的視角加以展開的。

2.4 信息資產風險控制

既然信息資產在運行過程中存在一定的安全隱患，那么就應該對信息資產面臨的安全風險予以分析并加以控制。信息資產的風險就是信息資產運行中所面臨的威脅及脆弱性。對信息資產風險的控制就是在識別與評價信息資產、資產價值、資產脆弱性及威脅的基礎上，計算出風險值與風險級別，進而制定風險處置計劃，確定風險處置方法，將風險減緩或控制在可接受范圍之內，最大限度地保障信息資產的價值與效益。

信息資產有著一定的生命周期，同時也具有相互聯系與區別。因此，從信息資產之間的關聯關系、信息資產的唯一標識、信息資產的管理屬性和特殊屬性分離三個角度明確信息資產識別的目標，按照用戶、業務過程、數據結果三個要素對信息資產面臨的威脅進行風險分析，計算出信息系統資產風險值，進行風險處理，可以降低信息資產安全事件發生的概率。［16］制造業的信息資產也將面臨著各種威脅、影響和脆弱性，根據制造企業價值鏈各環節流轉程序，即上游環節（材料供應）、企業內部環節（產品開發、生產）、下游環節（產品分運、市場營銷、售后服務），對信息資產風險評估，有利于從信息系統的規劃、外包供應商的管理、信息安全、應用系統的數據庫開發維護、軟硬件的支持等方面進行信息資產風險控制。［17］

政府信息資產在運營過程中面臨著信息尋租風險，由于信息開放所帶來的負外部效用風險，即國家安全利益風險、企業信息資產流失風險、個人隱私利益風險等。因此，對政府信息資產采用分級分類的方法，進行科學、規范的管理，是有效防范和控制運營風險的必要措施。［6］

從研究可以看出，無論是企業、政府或其他組織，實現信息資產風險控制可從避免、抑制、風險中和、集合或分散等環節著手，［17］將信息資產的各種風險控制在最小程度。

3 信息資產管理述評與展望

在大數據時代，信息資產已成為組織資產的重要組成部分，它能為組織帶來更大的利益，創造更新的、不可小覷的價值。對信息資產的管理已不再是簡單的僅僅對資產信息進行管理，而是涉及信息資產運營的全過程。在加強信息資產管理意識的基礎上，從信息資產的識別、重要程度分類、質量保證、合理使用、風險控制等環節進行管理。首先要明確組織的信息資產有哪些，并確保組織獲得的信息是高質量的，然后，按照組織戰略規劃的相關法規合法地使用信息資產，并且根據信息資產的內容、功能，選擇合適的時機使用，以最大限度地發揮信息資產的價值。同時，對于信息資產意識的教育應始終貫穿在組織活動中，使組織成員真正了解信息資產的價值并正確地使用與保護組織的信息資產安全。［18］

從當前研究看出，信息資產管理已經在各個領域受到廣泛關注，研究成果在多種類型的文獻上呈現。因為信息資產與信息有著密不可分的聯系，許多研究者從信息安全管理的角度予以分析。未來對信息資產管理的研究可從以下方面加以拓展。其一，結合組織信息資產業務流程運行過程，對信息資產安全風險評估方法的研究；其二，對信息資產風險評估指標和安全風險之間的關聯進行研究；其三，對信息資產風險控制方法進行研究。

［1］中國大百科全書總編委會.中國大百科全書（第二版）［M］.北京:中國大百科全書出版社，2012: 25－166.

［2］中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準管理委員會.信息安全風險管理指南［EB/OL］.［2015－11－06］.http：//vdisk.weibo. com/s/dYbXQ-r1RrkO.

［3］劉瑞興.學術期刊的作者合作度［J］.圖書館學研究，1990（3）:62－64.

［4］白石洲.金融信息資產幾多價值［J］.國際融資，2007（3）:40－43.

［5］楊云.信息資產在金融業中的運籌［J］.國際市場，1996（8）:32.

［6］周毅.政府信息及其運營策略研究［J］.情報理論與實踐，2009（6）:18－21.

［7］王艷瑋，陳恒.基于業務流程的信息資產識別及其價值確定［J］.圖書館理論與實踐，2011（8）:35－38.

［8］魏修建，陳恒.信息價值鏈視角下的業務信息安全風險評估研究—基于DEA模型與網絡層次分析法的綜合評價［J］.情報科學，2015（8）.

［9］劉芳華.信息資產管理系統設計與實現.無線互聯科技［J］.2013（3）:45－47.

［10］戴赟，王飛.巧用SMS2003系統實現信息資產動態管理［J］.中國信息界，2011（7）:115－117.

［11］趙鋒，趙首花.基于層次化模型的信息資產管理方法研究［J］.圖書館理論與實踐，2010（1）:37－39，62.

［12］趙秀云.金融機構信息資產安全與操作風險管理［J］.會計之友，2009（11）下:4－6.

［13］林浩.信息資產的安全分析及市場發展策略（下）［J］.計算機安全，2002（3）:26－29.

［14］屈文.企業網絡信息資產的安全分析及保障措施［J］.情報科學，2003（2）:178－180，183.

［15］何毅.大學圖書館信息資產安全分析［J］.現代經濟信息，2010（23）:377.

［16］趙首花.信息系統資產識別及風險分析方法研究［D］.西安:陜西師范大學，2010.

［17］謝玉婷.制造企業信息資產風險評估方法研究［J］.現代商貿工業，2009（4）:150－152.

［18］王知津，等.組織的信息資產及其管理策略研究［J］.情報探索，2010（10）:3－6.

Research on Literature ofRisk Managementof Information Assets

Zhang Si-jia，Zhang Shu-jing

In the era ofBig Data，information assets have become the importantassets of the organization and are benefical to an organization.Information asset risk managementhas been widely concerned by many researchers in various fields.The article analyzes the literature on the risk managementof information assets in our country in recentyears from the aspects of value，safety management，risk analysis，risk controland so on.The results show that the information assets can bring director indirectbenefits，and create new value.The effective managementof information assets can improve the value of information assets.Itis the basis to realize the value of information assets.

Information Assets Management；Information Assets Security；Risk Analysis；Risk Control

G255.76；TP393

B

1005－8214（2016）05－0066－05

張思佳（1986－），女，碩士，助教，研究方向:風險管理，已發文數篇；張樹靜（1962－），女，高級實驗師，研究方向:資產管理，已發文數篇。

2015－11－27［責任編輯］李海燕

本文系寧夏大學社會科學研究基金項目“高校固定資產管理風險控制研究”（項目編號：SK1419）的研究成果之一。