简介:关于对不知道怎么写风险评价论文范文课题研究的大学硕士、相关本科毕业论文风险评价论文开题报告范文和文献综述及职称论文的作为参考文献资料下载。
摘 要:本文从投入产出的角度出发,利用DEA理论建立了信息安全风险管理水平综合评价模型.针对信息安全风险管理水平综合评价中存在多个有效决策单元的问题,在DEA模型中添加虚拟决策单元实现对多个有效决策单元的综合排序.以五个单位信息安全状况为例进行了实例分析,结果表明,该方法能够较好地解决信息安全风险管理水平的综合评价问题.
关键词:信息安全风险管理;数据包络分析;虚拟决策单元
1.引言
在信息时代,信息成为第一战略资源,更是起着至关重要的作用.一个机构要利用其所有的资产来完成其使命,因此,信息资产的安全是关系到该机构能否完成其使命的大事.资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大.
在信息安全保障体系中,技术是工具,机构是平台,管理是指导,它们紧密配合,共同实现信息安全保障的目标.管理水平的高低,直接影响到保障目标能否顺利实现,因此,对信息安全风险管理水平进行评价对一个机构的发展有着重要意义.对信息安全风险管理水平进行准确、详实的评价,能够体现信息安全风险管理活动的优势和不足,有助于有针对性地进行信息安全风险管理.
风险评价定义:生态环境风险评价视频教程 48讲 中科院
关于信息安全风险管理水平的评价可以采用不同的方法,如系统聚类方法.运筹方法等.本文试图从被评价单元间的相对效率分析着手,运用DEA评价方法对信息安全风险管理水平进行评价.但由于传统的DEA方法只能判断各个决策单元是否有效,对具体排序无法给出精确的判断,所以在评价信息安全风险管理水平的工作中也存在不足,本文通过引入虚拟决策单元对DEA模型进行了改进,从而能对所有决策单元的有效性进行统一排序,能为有关部门进行信息安全风险管理水平评价提供较为客观的决策依据.
2.DEA概述
数据包络分析(Data Envelopment Analysis简称DEA)是著名运筹学家A.Chames在“相对有效评价”概念基础上发展起来的一种新的系统分析方法,它把单输入单输出的工程效率的概念推广到了多输入多输出的同类决策(DMU)的有效评价中去.DEA在用以研究多输入多输出的生产函数理论时,由于不需要预先估计参数,在避免主观因素和简化算法,减少误差等方面有着不可估计的论文范文性.在DEA中最重要的概念就是决策单元(Decision Making Units简称DMU).一个经济系统或一个生产过程可以看成一个人或一个单元在一定可能范围内,通过投入一定数量的生产要素并产出一定数量的“产品”的活动,虽然这种活动的具体内容各不相同,但其目的都是尽可能的使这一活动获得最大的“效益”.由于从“投入”到“产出”需要经过一系列的决策才能实现,或者说,由于“产出”是决策的结果,所以这样的人或单元被称为决策单元.因此,可以认为每个DMU都代表或者表现了一定的经济含义,它的基本特点是具有一定输入和输出,并且在将输入转化为输出的过程中,努力实现决策目标的要求.
3.信息安全风险管理水平评价指标分析
信息安全风险管理是基于风险的信息系统安全管理.信息安全风险管理人员既包括信息安全风险管理的直接参与人员,也包括信息系统的相关人员.管理人员的业务水平如何对信息按风险管理水平的高低有着重要影响.信息安全风险管理包括对象确立、风险分析、风险控制、审核批准、监控与审查和沟通与咨询6个方面的内容.对象确立、风险分析、风险控制和审核批准是信息安全风险管理的4个基本步骤,监控与审查和沟通与咨询则贯穿于这4个基本步骤中.
对象确立根据要保护系统的业务目标和特性,确立风险管理对象.风险分析针对确立的风险管理对象所面临的风险进行识别和评价.风险控制依据风险分析的结果,选择和实施合适的安全措施.审核批准包括审核和批准两部分.审核是指通过审查、测试、评审等手段,检验风险分析和风险控制的结果是否满足信息系统的安全要求:批准是指机构的决策层依据审核的结果,做出是否认可的决定.
监控与审查将对上述4个步骤实行监控和审查.监控是监视和控制.一是监视和控制风险管理过程,即过程质量管理,以保证上述4个步骤的过程有效性;二是分析和平衡成本效益,即成本效益管理,以保证上述4个步骤的成本有效性.审查是跟踪受保护系统自身或所处环境的变化,以保证上述4个步骤的结果有效性.
沟通与咨询将为上述4个步骤的相关人员提供沟通和咨询.沟通是为参与人员提供交流途径,以保持他们之间的协调一致,共同实现安全目标.咨询是为所有相关人员提供学习途径,以提高他们的风险意识和知识,配合实现安全目标.
信息安全风险管理的6个方面内容在风险管理过程中分别以不同方式影响制约着管理水平的高低.
业务连续性和系统安全程度是信息系统运行中管理脆弱性的重要内容,它们是信息安全风险管理过程的直接反映.投资回报率作为信息安全风险管理中资金,人员,设备等各项投入与最终收益的比率,从投入产出的角度反映了信息安全风险管理水平.
4.信息安全风险管理水平的DEA评估模型
4.1 DEA输入输出指标的建立
在选择评价指标时主要遵循以下几个原则:
( 1)信息安全风险管理是一个周期性的安全管理过程,评价指标应全面,客观地反映其中的投入产出状况.
(2)信息安全风险管理的方向应与本单位的发展战略相一致.
(3)简明易操作性,信息的相关性与准确性.
(4)信息安全风险管理在市场经济条件下更应重视其市场价值.
根据上节对信息安全风险管理水平评价指标的分析,依据以上构建指标体系所遵循的原则,管理人员业务水平及信息安全风险管理整个过程的6个方面从投入的角度体现了风险管理水平,因此把它们作为DEA评估模型的投入指标.业务连续性、系统安全程度和投资回报率体现了信息安全风险管理的最终结果,这里把它们作为产出指标.给选择的十项评价指标制定相应的评判标准(满分为1 0分,各标准的分数由左至右降低)如表1所示:
5.应用案例分析
以5个单位为评价对象,运用前面构建的DEA评价模型对这些单位的信息安全风险管理水平进行综合评价和分析.
5.1指标数据的采集
搜集了作为评价对象的5个单位的相关信息,采用德尔菲法得出各项指标的具体数值,如表2.
由表4结果显示可知,引入虚拟理想决策单元的方法可以甄别出同时DEA有效的决策单元的优劣顺序,即信息安全风险管理水平由高到低的顺序为:单位5>,单位4>,单位1>,单位2>,单位3.故在运用DEA评价方法时,添加虚拟理想决策单元的方法相对单纯的DEA方法而言,可以进一步改善DEA评价出的决策单元的效率评价排序.
6.结束语
针对我国目前信息安全风险管理水平不高、重大信息安全事故频发的形势,在今后我国的信息安全风险评估体系建设中,可以运用DEA评价法对各个机构的信息安全风险管理水平的现状进行评价,为各单位信息安全风险评估体系建设提供决策依据.
由于我国的信息安全风险评估体系建设正在进行,伴随着国内外学者对信息安全风险管理领域的研究,对建立不同单位信息安全风险管理水平评价指标体系也有需要改进的地方,使之更加符合实际.
总结:这篇风险评价论文范文为免费优秀学术论文范文,可用于相关写作参考。
风险评价定义引用文献:
[1] 高校债务风险及其评价 论文大纲范文大全
[2] 风险评价硕士学位论文范文 风险评价类有关专升本论文范文2500字
[3] 化工设备和风险评价专升本毕业论文范文 关于化工设备和风险评价相关学术论文怎么写2万字
