基于管理因素的企业信息安全事故分析基于管理因素的企业信息安全事故分析 摘要 在借鉴国内外讨论成果的基础上,结合事故致因理论提出企业信息安全事故模型,以事故机理讨论为基础,以管理因素讨论为核心,对信息安全事故致因因素进行整理归纳,将其分为环境因素、人员因素、技术因素、设备因素等四类,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,最后提出针对性的防范措施。 关键词 信息安全事故;安全管理;事故致因理论 中图分类号 F49 文献标识码 A 文章编号 1006-5024(2025)01-0055-04 一、引言 在信息化浪潮席卷全球的今日,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道 2025年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为 51%、45%和 40%,而相同事故在全球范围内的发生率则为 25%、27%与 23%。 大量文献和事实表明,信息的特别性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。 目前,对于信息安全的讨论大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面讨论的较少。Ross Anderson(2001)认为,信息安全的经济管理讨论在某种程度上比技术讨论更为重要。傅毓敏(2025)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素讨论为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。 本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设...
