12、大型组织中的信息安全政策：探索其影响的概念框架

大型组织中的信息安全政策：探索其影响的概念框架

在当今数字化时代，信息已成为组织的核心资产，对组织的运营和发展起着至关重要的作用。然而，随着信息技术的飞速发展和信息系统的广泛应用，信息安全问题日益凸显，给组织带来了巨大的挑战。本文将深入探讨大型组织中信息安全政策的相关问题，包括信息的价值、信息安全的重要性、信息安全政策的作用以及相关研究的进展。

信息的价值与信息安全的重要性

• 信息的价值 ：过去二十多年来，众多文献表明信息对组织绩效具有多方面的潜在贡献。信息有助于有效决策、支持组织日常运营、本身可作为产品、是战略规划的关键要素，还能融入产品和服务以提升其可用性和价值。信息的增值潜力不断增加，甚至被视为企业的首要战略资产。但在实践中，许多组织将信息视为成本而非资产，不愿进行适当投资，导致信息资源未得到充分利用。
• 信息安全的重要性 ：随着信息重要性的提升，信息安全成为组织日益关注的问题。过去二十年，关于信息安全的文献不断增多。信息只有在其保密性、完整性和可用性得到保护时，才能发挥其价值。然而，信息面临着诸多威胁，主要包括以下八种：
  |威胁类型|具体描述|
  | ---- | ---- |
  |盗窃|计算机系统软硬件价值增加，吸引小偷，芯片盗窃常见，数据盗窃对组织有效性损害大|
  |计算机欺诈|修改数据处理或录入程序以挪用目标组织资金，经济损失巨大|
  |计算机病毒|病毒、蠕虫和特洛伊木马等程序可自动复制，具有恶意或恶作剧功能|
  |黑客攻击|黑客侵入组织计算机系统，可随意破坏、操纵或窃取数据，还涉及网络恐怖主义|
  |人为错误|系统设计