图1 高管支持要素图
2。2 信息安全管理有效性
2。2。1 信息
信息与数据是21世纪路人皆知的概念,广泛使用在当今世界的任何一个领域。数据是信息的载体,信息是数据的表现形式[14]。当前,对于信息的定义众说纷纭,在不同领域上,对信息的定义更是差距甚远。信息论的奠基人香农首先对信息做出定义,他认为“信息是用来消除随机不确定性的东西”,之后,他在他的论文《A Mathematical Theory of Communication》中首次将“信息”作为一个科学概念提出。此后,不同领域的专家学者们分别从各自的研究领域提出了对信息的定义,本文整理如下。
表1 信息的定义
领域 信息定义
控制论创始人维纳(Norbert Wiener) 信息是人们在适应外部世界,并使这种适应反作用于外部世界的过程中,同外部世界进行互相交换的内容和名称
经济管理学家 信息是提供决策的有效数据
综合不同领域的定义及香农提出的定义,我们将信息定义为:主客观事物的描述,包括精神世界的描述和客观世界的描述。其描述的内容有事物的状态、属性、结构、关系、存在方式等。在本文中,由于我们研究的是企业中的高层管理支持对信息安全管理有效性的影响,所以本文所论述的信息仅指企业内可存储的信息。
2。2。2 信息安全
在早期的单机时代,信息存在于每个独立的计算机中,信息安全并没有受到重视,信息安全也并没有成为一门独立的学科。由于计算机网络及万维网的普及使用,信息在网络上高速传播,其存在的范围也发生了延伸。由此,信息安全开始逐渐被社会各界尤其是军政界所重视,信息安全这门学科也开始了飞速的发展。
在信息安全的定义上,不同的组织机构有各自不同的观点。比较准确的是国际标准化组织的定义, 为“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件,软件和数据不因偶然和恶意的原因而遭到破坏,更改和泄露”[15]。在早期阶段,信息安全一般是指信息的保密性、完整性和可用性,现在,由于信息安全的研究逐步深入,信息安全的内涵增加了真实性、可核查性、可靠性等属性。不过在本文中,为了模型构建的方便,我们只用保密性、完整性、可用性三个属性来作为信息安全管理有效性的表征。文献综述
2。2。3 信息安全管理
管理是指组织为了达到个人无法实现的目标,通过计划、组织、协调、领导、创新等职能活动合理地分配、协调相关资源的过程[16]。因此,信息安全管理即是在信息安全领域所进行的管理职能活动的总称。信息安全管理是组织的全部管理内容的一个重要组成部分,是一项系统性工程,涉及到组织中的所有部门,与每一个员工都息息相关[10]。组织通过一系列的管理活动,来保证信息的保密性、完整性、可用性。在信息安全管理的研究中,关于信息安全管理的定义也大相径庭,根据对相关文献的理解归纳,其中主要有以下三种观点:
表2 信息安全管理的观点
观点 内容
信息安全观 信息安全观认为信息安全即信息安全管理,这也是多数文献所采用的观点
技术观 技术观认为信息安全管理即通过在技术上对组织中的信息进行管理,是信息安全技术的一种实践观点