淺談用戶參與對信息安全管理有效性的影響

張曉蓉 西安文理學院

淺談用戶參與對信息安全管理有效性的影響

張曉蓉 西安文理學院

用戶參與是信息安全管理中必不可少的一個部分，本文將通過分析用戶參與及信息安全管理基本理論框架，針對用戶參與對信息安全管理有效性的影響進行研究和討論。

用戶參與 信息安全管理 有效性 安全意識

用戶是信息安全機制中核心，不僅是信息系統的使用者以及安全策略的執行者，同時也是安全策略約束的對象。在以往的研究中，通常認為用戶是信息安全管理中的不可控和不確定性因素，具有消極的影響和作用，因此，在用戶參與環節，都進行嚴格的約束。而另一方面，用戶參與又是不可避免的。有研究顯示，用戶參與、風險評估和控制，能夠為安全系統的設計提供充足的業務信息，避免過度控制，提高安全管理的適當性，符合信息安全的控制要求。目前，對于用戶參與對信息安全管理有效性影響的研究還比較少見，因此，本文將針對這一內容進行簡單的研究和討論。

1 用戶參與及信息安全管理基本理論框架

1.1 用戶參與

用戶參與是一個信息系統開發領域的概念，最早研究開始于上世紀20年年代。在早期的研究中，并沒有將用戶參與與用戶涉入的概念進行區分，直到Bar-ki等人的研究，將這兩個概念重新定義并分離，認為用戶參與是指系統在開發的過程中，由用戶執行的一系列活動和行為。用戶參與理論是一種假設，認為用戶參與與系統成功之間存在某種關聯，而系統成本則是從系統質量、用戶及接受度和滿意度、系統應用等幾個方面評價的。這也說明，在系統開發的過程中，用戶參與并不是關鍵且必須的，但在信息安全實踐中，用戶參與就是一項必須的活動，區別只在于參與的程度。在以往對信息安全的研究中，越來越重視人的因素，Johnston等人研究認為，人的恐懼訴求是影響員工是否遵守安全策略的一個重要因素。Bulgurcu等人也認為，員工是否遵守安全策略，主自身的規范信念和自我效能起到重要的影響。從整體上看，用戶參與是作為消極因素出現在安全策略的研究中，是人工評估的一種補充手段。

1.2 信息安全管理有效性

對于信息安全管理有效性的定義，還沒有統一的標準，在以往的研究中，有效的信息安全管理主要被定義為系統成功應用，即能夠提高效率和便利性。但同時，安全控制的本身就是增加系統操作的復雜性，必定會降低效率，從這個角度上看，兩者是矛盾的，很難實現安全性與便利性的共同提高。因此，應轉換角度，不能從原有的信息系統成功模型上考慮其安全管理。通過分析以往對有效性研究的相關定義，發現對有效性的定義主要評價的兩個方向是安全屬性以及安全目的，包括保密性、可用性、可靠性、完整性、真實性等，其中，在學術界上，將保密性、可用性、完整性稱為信息安全金三角，認為是信息安全有效性的核心屬性。

1.3 信息安全管理體系

信息安全管理體系這一概念最早出現于BS7799，包括60個標準。研究用戶參與對信息安全管理的有效性，必須建立在信息安全管理體系的背景下，一方面，信息安全管理體系是一個理想的安全管理模型；另一方面，這一管理體系涉及到各個方面的內容，包括業務風險評估、改進，安全域的實用規則、審核指南等；此外，這一體系還鼓勵用戶參與，能夠使研究者判斷和評估用戶行為以及對信息安全管理的影響。

2 用戶參與對信息安全管理有效性的影響

研究顯示，用戶參與與信息安全管理存在正向作用，由于安全機制的運行，并不能完全脫離人為活動，因此，用戶參與具有一定的積極意義。通過用戶參與，能夠提高員工的安全意識，并優化業務流程，使安全管理體系更加符合實際安全需求，從而提高其有效性。在以往的安全管理實踐中，很多安全管理者都選擇減少用戶的參與，控制其不確定性，導致很多組織更加重視安全技術投入，忽視了終端用戶的安全意識教育投入，導致信息安全事件和受到攻擊的情況并沒有改善。由此可見，組織應重視終端用戶的作用，增加終端用戶投入，鼓勵用戶參與，并承擔其維護信息系統的責任。從其影響路徑上看，用戶參與主要起到一個中介的作用，將用戶安全意識和業務流程有機結合。同時，應注意的是，用戶參與并不是影響信息安全管理有效性的唯一因素，還可能與組織類型、組織規模、高層管理者支持情況等有關，即還可能存在其他的中介變量。

3 結束語

綜上所述，組織必須認識到，用戶參與能夠提高其安全意識，優化業務流程，對信息安全管理具有正向作用，能夠將用戶安全意識和業務流程有機結合，進一步完善信息安全管理體系。在安全管理中，正視其積極作用，并增加終端用戶的投入，減少信息安全事件的發生，提高其信息安全管理的有效性。

[1]謝宗曉，林潤輝，王興起.用戶參與對信息安全管理有效性的影響—多重中介方法[J].管理科學.2013，6(23):65-67

[2]方杰，張敏強，李曉鵬.中介效應的三類區間估計方法[J].心理科學進展，2011，19(5):765－774

[3]謝宗曉，劉琦.信息安全管理體系實施案例及文件集[M].北京:中國標準出版社，2010:4－23