一种信息安全价值评估系统的设计与实现

摘要

信息社会的到来给人类社会的生产、生活带来了巨大的影响，人们对信息的依赖性也愈加强烈，而同时信息安全问题也成为信息基础设施的严峻考验。政府、企业等组织对信息安全工作也越来越重视。然而，信息安全投入的价值如何体现，是信息安全投资决策者关心的问题。现实的状况是：没有一个成熟的、可操作性较强的方法论支持对信息安全投入的价值进行评估。 本文试图找出一个定量的、可操作的、切合实际的模型来衡量信息安全的价值，以衡量信息安全工作成效、辅助决策者进行投资决策。 本文在当前信息安全价值相关理论研究的基础上，将信息安全的价值分为经济价值和非经济价值两种。同时将经济价值划分为风险的降低和成本的节省两部分。本文从企业实践出发，对风险降低分析和成本节省分析都给出了详细的量化过程推导步骤，保证了评估的可信度和可操作性。对于非经济价值，本文设计了切实可行的安全能力问卷、BS7799符合性问卷，以此从正面定量反映组织的信息安全水平。 最后，本文设计了一个实际的系统以辅助信息安全价值评估，它通过Excel收集必要的数据，经过内部计算后，以Word报告反映评估结果。