安卓版下载

浅谈用户参与对信息安全管理有效性的影响

2017-12-27 00:28张晓蓉西安文理学院
数码世界 2017年8期
关键词:终端用户安全策略管理体系

张晓蓉 西安文理学院

浅谈用户参与对信息安全管理有效性的影响

张晓蓉 西安文理学院

用户参与是信息安全管理中必不可少的一个部分,本文将通过分析用户参与及信息安全管理基本理论框架,针对用户参与对信息安全管理有效性的影响进行研究和讨论。

用户参与 信息安全管理 有效性 安全意识

用户是信息安全机制中核心,不仅是信息系统的使用者以及安全策略的执行者,同时也是安全策略约束的对象。在以往的研究中,通常认为用户是信息安全管理中的不可控和不确定性因素,具有消极的影响和作用,因此,在用户参与环节,都进行严格的约束。而另一方面,用户参与又是不可避免的。有研究显示,用户参与、风险评估和控制,能够为安全系统的设计提供充足的业务信息,避免过度控制,提高安全管理的适当性,符合信息安全的控制要求。目前,对于用户参与对信息安全管理有效性影响的研究还比较少见,因此,本文将针对这一内容进行简单的研究和讨论。

1 用户参与及信息安全管理基本理论框架

1.1 用户参与

用户参与是一个信息系统开发领域的概念,最早研究开始于上世纪20年年代。在早期的研究中,并没有将用户参与与用户涉入的概念进行区分,直到Bar-ki等人的研究,将这两个概念重新定义并分离,认为用户参与是指系统在开发的过程中,由用户执行的一系列活动和行为。用户参与理论是一种假设,认为用户参与与系统成功之间存在某种关联,而系统成本则是从系统质量、用户及接受度和满意度、系统应用等几个方面评价的。这也说明,在系统开发的过程中,用户参与并不是关键且必须的,但在信息安全实践中,用户参与就是一项必须的活动,区别只在于参与的程度。在以往对信息安全的研究中,越来越重视人的因素,Johnston等人研究认为,人的恐惧诉求是影响员工是否遵守安全策略的一个重要因素。Bulgurcu等人也认为,员工是否遵守安全策略,主自身的规范信念和自我效能起到重要的影响。从整体上看,用户参与是作为消极因素出现在安全策略的研究中,是人工评估的一种补充手段。

1.2 信息安全管理有效性

对于信息安全管理有效性的定义,还没有统一的标准,在以往的研究中,有效的信息安全管理主要被定义为系统成功应用,即能够提高效率和便利性。但同时,安全控制的本身就是增加系统操作的复杂性,必定会降低效率,从这个角度上看,两者是矛盾的,很难实现安全性与便利性的共同提高。因此,应转换角度,不能从原有的信息系统成功模型上考虑其安全管理。通过分析以往对有效性研究的相关定义,发现对有效性的定义主要评价的两个方向是安全属性以及安全目的,包括保密性、可用性、可靠性、完整性、真实性等,其中,在学术界上,将保密性、可用性、完整性称为信息安全金三角,认为是信息安全有效性的核心属性。

1.3 信息安全管理体系

信息安全管理体系这一概念最早出现于BS7799,包括60个标准。研究用户参与对信息安全管理的有效性,必须建立在信息安全管理体系的背景下,一方面,信息安全管理体系是一个理想的安全管理模型;另一方面,这一管理体系涉及到各个方面的内容,包括业务风险评估、改进,安全域的实用规则、审核指南等;此外,这一体系还鼓励用户参与,能够使研究者判断和评估用户行为以及对信息安全管理的影响。

2 用户参与对信息安全管理有效性的影响

研究显示,用户参与与信息安全管理存在正向作用,由于安全机制的运行,并不能完全脱离人为活动,因此,用户参与具有一定的积极意义。通过用户参与,能够提高员工的安全意识,并优化业务流程,使安全管理体系更加符合实际安全需求,从而提高其有效性。在以往的安全管理实践中,很多安全管理者都选择减少用户的参与,控制其不确定性,导致很多组织更加重视安全技术投入,忽视了终端用户的安全意识教育投入,导致信息安全事件和受到攻击的情况并没有改善。由此可见,组织应重视终端用户的作用,增加终端用户投入,鼓励用户参与,并承担其维护信息系统的责任。从其影响路径上看,用户参与主要起到一个中介的作用,将用户安全意识和业务流程有机结合。同时,应注意的是,用户参与并不是影响信息安全管理有效性的唯一因素,还可能与组织类型、组织规模、高层管理者支持情况等有关,即还可能存在其他的中介变量。

3 结束语

综上所述,组织必须认识到,用户参与能够提高其安全意识,优化业务流程,对信息安全管理具有正向作用,能够将用户安全意识和业务流程有机结合,进一步完善信息安全管理体系。在安全管理中,正视其积极作用,并增加终端用户的投入,减少信息安全事件的发生,提高其信息安全管理的有效性。

[1]谢宗晓,林润辉,王兴起.用户参与对信息安全管理有效性的影响—多重中介方法[J].管理科学.2013,6(23):65-67

[2]方杰,张敏强,李晓鹏.中介效应的三类区间估计方法[J].心理科学进展,2011,19(5):765-774

[3]谢宗晓,刘琦.信息安全管理体系实施案例及文件集[M].北京:中国标准出版社,2010:4-23

猜你喜欢
终端用户安全策略管理体系
基于KPI的绩效管理体系应用研究
活力(2021年4期)2021-07-28
当代经济管理体系中的会计与统计分析
大众投资指南(2021年35期)2021-02-16
控制系统价格管理体系探索与实践
航天工业管理(2020年9期)2020-12-28
基于可视化的安全策略链编排框架
中国信息化(2020年7期)2020-08-13
终端用户视角下的“一物一码”
科学与财富(2019年11期)2019-08-06
多媒体教学服务器限制访问的一种措施
新教育时代·教师版(2019年16期)2019-06-17
新形势下完善军队后勤管理体系的思考
消费导刊(2018年10期)2018-08-20
浅析涉密信息系统安全策略
网络空间安全(2017年10期)2017-12-21
蜂窝网络终端直通通信功率控制研究
中国新通信(2016年21期)2017-01-06
地铁客运组织方式及安全分析
现代商贸工业(2016年28期)2016-12-27

数码世界2017年8期

数码世界的其它文章
基于Hadoop的高校网络日志分析平台设计与实现
嵌入式指纹识别系统的设计及试验分析
供电系统中继电的保护问题分析
浅析JAVA语言的开发平台及J2EE编程技术
浅谈有线电视前端机房维护措施
计算机技术应用对现代物流管理的作用
杂志排行

  1. 1《读者》2024年13期

  2. 2《婚育与健康》2024年10期

  3. 3《思维与智慧·上半月》2024年7期

  4. 4《吉林医学》2024年3期

  5. 5《电气技术与经济》2024年4期

  6. 6《电力设备管理》2024年7期

  7. 7《山西化工》2024年2期

  8. 8《北京文学·中篇小说月报》2024年6期

  9. 9《经济技术协作信息》2024年6期

  10. 10《北华大学学报(自然科学版)》2024年2期

关于参考网