信息资产风险管理研究文献分析

张思佳，张树静（宁夏大学资产管理处）

信息资产风险管理研究文献分析

张思佳，张树静（宁夏大学资产管理处）

大数据时代，信息资产已成为组织的重要资产，能使组织获得更大的效益。信息资产风险管理已在各个领域受到许多研究者的广泛关注。文章从信息资产的价值、安全管理、风险分析、风险控制等方面，对近年来我国信息资产风险管理的文献进行综合分析研究。结果显示:信息资产在各行各业都能够带来直接或间接的利益，创造新的价值；对信息资产的有效管理可以提升其创造新价值的作用；保障信息资产的安全，是实现信息资产价值的基础；应从避免风险、抑制风险、中和风险、集中或分散等环节实现信息资产风险控制，确保组织的信息资产安全。

信息资产管理；信息资产安全；风险分析；风险控制

信息是组织中的一种重要资源，把信息作为生产要素能够形成存量价值，它是信息投资累计的结果。因此，这种投资结果就构成了组织的信息资产。狭义的信息资产是指能为拥有者带来现实和潜在经济利益的信息，如知识产权、版权、专利权、商标权等。这种信息资产有些是从外部有偿取得后进行投入的，有些则是组织或个人在自身发展中形成的。广义的信息资产还包括通过信息技术投资形成的信息设备、信息系统、信息网络等有形资产。［1］随着信息基础设施规模的扩大，各种应用信息系统投资的增加，特别是大数据时代的来临，信息资产在组织的资产中所占的比例越来越大。而资产是保证组织正常运营的前提条件，它是企业赖以生存、是确保行政机关正常运转、事业单位事业发展的重要物质基础。加强资产管理，能够使产权明确，防止资产流失；提高资产的使用效率，使资产保值增值，可以取得良好的经济效益。其中，信息资产总值的增加是一个组织信息化水平提高的重要标志，对增强组织的综合竞争实力起着重要作用。

鉴于此，笔者对信息资产风险管理研究文献进行检索与分析，通过“中国知网”（CNKI）对我国信息资产风险管理的相关文献进行统计分析，从文献计量学视角，对信息资产风险管理的研究历程、研究层次、研究主题等进行较为全面的统计分析，以期为信息资产风险管理的进一步研究提供借鉴。

1 信息资产风险管理研究统计与分析

笔者利用“中国知网”数据库，分别以“信息资产and风险控制”、“信息资产and风险管理”、“信息资产and风险分析”、“信息资产and风险识别”为检索字段；在资源总库高级检索中，以“主题”为内容检索条件；选择控制条件为时间不限、精确，得到检索结果合计333条（截止日期2015年11月16日）。经过去重、筛选，最终确定110条文献作为研究对象，对文献的年代分布、文献类型、作者、研究主题等方面进行统计分析。

1.1 文献年代分布

在检索到的文献中，关于信息资产管理研究较早的文献出现在1995年。之后，几乎各个年度都有信息资产管理研究的相关文献，但数量不多。虽然研究文献整体数量不多，但其产生、发展的过程具有其自身的特点（见下图）。

图文献数量分布图

从文献数量分布图看出，信息资产管理研究文献的数量经历了三个高峰期，我们将其划分为三个阶段：1995～2004年为研究起步期；2005～2007年为研究成长期；2008～2009年为快速成长期；2010年之后还未形成研究高峰，暂不划分阶段，可称之为发展期。纵观三个阶段的研究特点，可以发现，信息资产管理的研究与信息社会、信息技术的发展有着密切关联。主要原因有两方面。（1）与信息技术在各领域的应用有关。1995年，我国各行各业准备利用或刚刚开始利用计算机管理系统，信息、信息技术逐渐被人们了解，研究者注意到信息也是一种资产，应该对其进行积累与管理。1995年胡小明的3篇文献都在讨论信息资产积累的问题。2005年左右，信息技术已在各个领域广泛应用，这一时期，国内外学者也开始对信息安全管理相关问题进行研究。2009年，信息技术已经蓬勃发展，无论是企、事业单位，还是各种社会组织，信息资产均日渐增多。在图书馆和高等学校，数字图书馆、各类数据库系统陆续出现；在银行，各种类型的自助服务开始使用；在企业、商业等领域，对产品信息、客户资料等实行数字化管理等，从而使得人们对信息资产管理开始关注。（2）与信息安全标准的制定有关。随着计算机技术的发展与应用，计算机与信息安全问题也凸显出来。20世纪90年代，世界各国开始制定信息安全技术规则，2003年我国也开始了信息安全管理相关标准的编制工作，并发布了多个规则与标准。如2009年9月30日，中华人民共和国国家质量监督检验检疫总局、中国国家标准管理委员会发布了《信息安全技术信息安全风险管理指南》。［2］

1.2 文献类型分布

经过筛选后的研究论文所涉及的文献类型有期刊论文（94篇）、学位论文（10篇）、会议文献（6篇）。94篇期刊论文刊登在75种期刊上，这些期刊涉及多个学科，包括自动化技术、计算机技术、电子技术、通信技术、经济、图书馆情报与文献学等。其中，核心期刊14种，占比19%。可以看出，信息资产的价值、安全管理、风险控制等在各个学科领域都受到极大的关注。从核心期刊所占的近百分之二十的比例看，对信息资产管理的研究也引起了各行各业的高度重视。在学位论文中，较早对信息资产管理研究的论文始于2006年，2012年和2013年的论文最多。会议论文主要是在中国计算机学会和中国通信学会等机构组织的学术会议上的交流论文。分布在各种类型文献上的论文涉及信息资产价值分析、信息资产安全的解决方案、信息资产管理系统设计、信息资产风险控制等方面。

1.3 作者统计分析

（1）作者发文数量。作者针对某个专题的发文数量可以反映出该作者对这个领域研究的热度、持续性，并且可以发现某个研究领域的核心作者。在本文筛选的110篇文献中，发表1篇文献的作者占大多数；作为第一作者发表2篇文章的有王知津、吴小艳，屈延文；发表3篇文章的有杨涛、赵锋。说明大多数作者对信息资产管理研究的持续关注度有待提升。

（2）作者合作程度。作者合作度反映了某学科或领域研究者的协作性，能够比较合理地评价某个学科完成一项科研课题所需的平均人数，为制定科学研究发展规划、以及一项研究课题选择科研人数提供科学依据。各学科多年的总作者合作度可以作为评价一个国家科学研究水平的参数之一。对各学科作者合作度的比较研究，可以从一个侧面反映各学科研究的活跃程度和发展水平。［3］在110篇文献中，除去10篇学位论文（因学位论文均为一位作者），其余100篇文献中有52篇文献为一位作者独著，48篇文献为2位及2位以上作者共同写作。由此可知，由作者合作完成的论文数量达到了近50%。100篇文献共有作者171人，作者合作度为1.71。

2 信息资产风险管理研究内容分析

2.1 信息资产价值分析

信息资产的价值体现在能为组织创造出预期的收益，因而受到各行各业的重视。在新型商业模式中，信息资产已成为最重要的资产。互联网企业、电子商务等新型商业内核都向投资者展示一个美好的预期：对信息的捕捉分析能力可以优化企业的运营流程，提升价值。即使传统型商业模式也是如此，将信息作为提升商业价值的资产。企业主营业务收入依赖于信息增值而产生，并利用信息资产创造新的价值。［4］信息资产在金融业的运筹中发挥着重要作用。银行所拥有的客户信息、产品信息是一笔巨大的财富，也是无形资产。银行可以利用这些信息扩大创新产品或服务的销售量；提高银行市场营销策略的有效性；改进服务质量；进一步改善、巩固银行和客户的关系；增加盈利。［5］政府信息资源经过一系列制度安排转化为政府信息资产，政府信息资产能够直接或间接带来经济利益。通过占有和支配政府信息资产，可以增进物质和精神利益的便利和优势，谓之直接利益。将信息资产作为一种生产要素和经济资源，广泛应用于各类经济或管理活动中，能为组织带来间接利益。［6］如何确定组织的信息资产价值，目前还没有统一的标准，研究者多是从信息资产的业务流程识别其重要性，从而确定信息资产的价值。如，按照信息资产业务运转的流动性以位置固定资产或位置变动资产来识别与确定信息资产的价值；［7］从信息价值链视角分析业务活动流转“输入—输出”过程中信息资产价值链增值方向等。［8］可见，信息资产在各行各业都能够带来直接或间接的利益，创造新的价值。

2.2 信息资产管理系统

信息资产的管理如同其他实物资产管理一样，要经过采购、调配、应用、维护、报废与报失等环节，对信息资产的有效管理可以提高其创造新价值的作用。首先，应有健全的信息资产管理制度，这是信息资产高效、规范运行的基础。其次，要加强信息资产的运营管理，实现信息资产价值最大化。信息资产管理系统利用数据库及网络化技术手段，将各类分布分散的信息资产进行统一的、规范的综合处理，以保证信息资产使用的有效性与安全性。

目前许多研究者已开始探讨或介绍信息管理系统在各个行业的应用。银行作为一个高度信息化的部门，必须对信息资产进行有效管理。三层架构（前台应用程序，中间服务层，后台数据库）信息资产管理系统已在有关银行使用，系统的业务处理模块是信息资产管理系统的核心模块，具有七大功能：供应商管理、合同管理、资产信息管理、资产领用管理、资产维修管理、资产处理管理、资产卡片账管理。应用资产管理系统，大大提高了银行处理各项业务的效率。［9］用信息资产动态管理的技术，可以实时掌握公司的信息资产数据，并进行有效管理。［10］按照政府信息资产数量、质量、功能、使用权限、密级、使用状况、使用效益等政府信息资产运营特征，能够有效对政府信息资产进行管理。［6］用基于层次化模型的信息资产管理方法，对信息系统物理层、实体层、系统层、应用层、数据层的每个信息实体进行唯一标识、登记，确定信息资产的物理位置、责任部门、资产类别以及与其他资产的关联关系等，可实现信息资产的管理目标。［11］可以看出，无论是企业组织还是政府与事业单位，都在按照组织的信息资产特征、功能等设计与开发管理系统，以实现信息资产的有效利用、资产增值。

2.3 信息资产安全保护

保障信息资产的安全，是实现信息资产价值的基础。在国际标准化组织的信息安全管理标准规范（ISO/IEC17799）中，信息被看作是一种资产，因此，信息资产安全要以保护信息资源安全为前提。信息安全的基本特征为保密性、完整性、有效性、真实性、不可否认性、可控性、可审计性等。［12］安全是信息资产的关键属性。对企业而言，应树立安全管理意识，加强安全系统的使用培训；建立完善的安全防护体系，分析不同系统单元、协议层次中存在的安全风险，根据服务的安全性特点，采取安全技术方案，保证信息资产运行安全。［13］网络安全三维立体模型，可以作为企业信息资产安全的保障措施之一，该模型包括知识维、逻辑维、时间维。知识维表示实现安全系统所需要的工具库和知识库，逻辑维指对知识的有效运用，时间维则是在特定时间段保持系统安全需要所进行的工作。知识维和逻辑维共同组成的平面，可以把系统的安全状况提升到当前安全技术所能达到的理想状态，而时间维则对这个安全状态予以保持。［14］借鉴MSF风险管理框架，建立以操作风险管理为核心的信息资产安全模型，包括风险识别、风险分析与分级、风险分析与调度、风险跟踪与报告、风险控制、风险学习，该模型可结合金融机构操作风险威胁和信息资产安全特点，将风险控制在可承受的范围之内，从而为社会提供安全服务。［12］

从信息资产识别分类与信息资产赋值、安全威胁、脆弱性三个方面对大学图书馆信息资产安全进行分析与评价，在信息资产安全分析的基础上，建立大学图书馆信息资产安全保障体系，可以改进大学图书馆信息资产安全状况。［15］对政府信息资产的数量、质量、使用功能、使用权限、使用状况、密级、效益等运营情况进行全面统计、评估，能够加强政府信息资产的有效管理。［6］

从研究文献看出，研究者对保障组织信息资产安全的观点基本趋于一致，认为应树立信息资产安全管理意识；建立完善的安全防护措施与体系。但在建立安全体系时，各组织则采用不同的技术方法，如：符忠娥研究引入证书机制保障企业信息资产的安全；黄水清将国际标准ISO/IEC27001中的信息安全风险评估方法应用于数字图书馆信息资产风险评估；朱晓欢借助ISO27000对复合图书馆信息安全风险进行评估研究等。由于信息资产与信息是密切相关的，因此，更多的研究是从信息安全的视角加以展开的。

2.4 信息资产风险控制

既然信息资产在运行过程中存在一定的安全隐患，那么就应该对信息资产面临的安全风险予以分析并加以控制。信息资产的风险就是信息资产运行中所面临的威胁及脆弱性。对信息资产风险的控制就是在识别与评价信息资产、资产价值、资产脆弱性及威胁的基础上，计算出风险值与风险级别，进而制定风险处置计划，确定风险处置方法，将风险减缓或控制在可接受范围之内，最大限度地保障信息资产的价值与效益。

信息资产有着一定的生命周期，同时也具有相互联系与区别。因此，从信息资产之间的关联关系、信息资产的唯一标识、信息资产的管理属性和特殊属性分离三个角度明确信息资产识别的目标，按照用户、业务过程、数据结果三个要素对信息资产面临的威胁进行风险分析，计算出信息系统资产风险值，进行风险处理，可以降低信息资产安全事件发生的概率。［16］制造业的信息资产也将面临着各种威胁、影响和脆弱性，根据制造企业价值链各环节流转程序，即上游环节（材料供应）、企业内部环节（产品开发、生产）、下游环节（产品分运、市场营销、售后服务），对信息资产风险评估，有利于从信息系统的规划、外包供应商的管理、信息安全、应用系统的数据库开发维护、软硬件的支持等方面进行信息资产风险控制。［17］

政府信息资产在运营过程中面临着信息寻租风险，由于信息开放所带来的负外部效用风险，即国家安全利益风险、企业信息资产流失风险、个人隐私利益风险等。因此，对政府信息资产采用分级分类的方法，进行科学、规范的管理，是有效防范和控制运营风险的必要措施。［6］

从研究可以看出，无论是企业、政府或其他组织，实现信息资产风险控制可从避免、抑制、风险中和、集合或分散等环节着手，［17］将信息资产的各种风险控制在最小程度。

3 信息资产管理述评与展望

在大数据时代，信息资产已成为组织资产的重要组成部分，它能为组织带来更大的利益，创造更新的、不可小觑的价值。对信息资产的管理已不再是简单的仅仅对资产信息进行管理，而是涉及信息资产运营的全过程。在加强信息资产管理意识的基础上，从信息资产的识别、重要程度分类、质量保证、合理使用、风险控制等环节进行管理。首先要明确组织的信息资产有哪些，并确保组织获得的信息是高质量的，然后，按照组织战略规划的相关法规合法地使用信息资产，并且根据信息资产的内容、功能，选择合适的时机使用，以最大限度地发挥信息资产的价值。同时，对于信息资产意识的教育应始终贯穿在组织活动中，使组织成员真正了解信息资产的价值并正确地使用与保护组织的信息资产安全。［18］

从当前研究看出，信息资产管理已经在各个领域受到广泛关注，研究成果在多种类型的文献上呈现。因为信息资产与信息有着密不可分的联系，许多研究者从信息安全管理的角度予以分析。未来对信息资产管理的研究可从以下方面加以拓展。其一，结合组织信息资产业务流程运行过程，对信息资产安全风险评估方法的研究；其二，对信息资产风险评估指标和安全风险之间的关联进行研究；其三，对信息资产风险控制方法进行研究。

［1］中国大百科全书总编委会.中国大百科全书（第二版）［M］.北京:中国大百科全书出版社，2012: 25－166.

［2］中华人民共和国国家质量监督检验检疫总局，中国国家标准管理委员会.信息安全风险管理指南［EB/OL］.［2015－11－06］.http：//vdisk.weibo. com/s/dYbXQ-r1RrkO.

［3］刘瑞兴.学术期刊的作者合作度［J］.图书馆学研究，1990（3）:62－64.

［4］白石洲.金融信息资产几多价值［J］.国际融资，2007（3）:40－43.

［5］杨云.信息资产在金融业中的运筹［J］.国际市场，1996（8）:32.

［6］周毅.政府信息及其运营策略研究［J］.情报理论与实践，2009（6）:18－21.

［7］王艳玮，陈恒.基于业务流程的信息资产识别及其价值确定［J］.图书馆理论与实践，2011（8）:35－38.

［8］魏修建，陈恒.信息价值链视角下的业务信息安全风险评估研究—基于DEA模型与网络层次分析法的综合评价［J］.情报科学，2015（8）.

［9］刘芳华.信息资产管理系统设计与实现.无线互联科技［J］.2013（3）:45－47.

［10］戴赟，王飞.巧用SMS2003系统实现信息资产动态管理［J］.中国信息界，2011（7）:115－117.

［11］赵锋，赵首花.基于层次化模型的信息资产管理方法研究［J］.图书馆理论与实践，2010（1）:37－39，62.

［12］赵秀云.金融机构信息资产安全与操作风险管理［J］.会计之友，2009（11）下:4－6.

［13］林浩.信息资产的安全分析及市场发展策略（下）［J］.计算机安全，2002（3）:26－29.

［14］屈文.企业网络信息资产的安全分析及保障措施［J］.情报科学，2003（2）:178－180，183.

［15］何毅.大学图书馆信息资产安全分析［J］.现代经济信息，2010（23）:377.

［16］赵首花.信息系统资产识别及风险分析方法研究［D］.西安:陕西师范大学，2010.

［17］谢玉婷.制造企业信息资产风险评估方法研究［J］.现代商贸工业，2009（4）:150－152.

［18］王知津，等.组织的信息资产及其管理策略研究［J］.情报探索，2010（10）:3－6.

Research on Literature ofRisk Managementof Information Assets

Zhang Si-jia，Zhang Shu-jing

In the era ofBig Data，information assets have become the importantassets of the organization and are benefical to an organization.Information asset risk managementhas been widely concerned by many researchers in various fields.The article analyzes the literature on the risk managementof information assets in our country in recentyears from the aspects of value，safety management，risk analysis，risk controland so on.The results show that the information assets can bring director indirectbenefits，and create new value.The effective managementof information assets can improve the value of information assets.Itis the basis to realize the value of information assets.

Information Assets Management；Information Assets Security；Risk Analysis；Risk Control

G255.76；TP393

B

1005－8214（2016）05－0066－05

张思佳（1986－），女，硕士，助教，研究方向:风险管理，已发文数篇；张树静（1962－），女，高级实验师，研究方向:资产管理，已发文数篇。

2015－11－27［责任编辑］李海燕

本文系宁夏大学社会科学研究基金项目“高校固定资产管理风险控制研究”（项目编号：SK1419）的研究成果之一。