康飞宇

摘要：互联网时代的不断发展，企业的日常运行和商业管理越来越依赖于信息系统的应用。中小企业通过将信息安全外包给管理安全服务供应商（MSSP）可以最大程度降低信息安全风险。本文介绍了互联网背景下信息安全外包服务的特征和问题，基于前人研究将分期付款的概念引入到信息安全外包服务中，能帮助企业有效甄别不同类型安全服务供应商（MSSP），为企业如何有效优化企业信息安全投资成本、提升信息安全水平等提供理论依据。

关键词：外包;信息安全;分期付款;策略研究

随着技术的广泛运用，信息系统的安全性变得越来越关键。如果信息系统出现信息泄露、信息缺損、信息不可控等方面的任何问题和故障都会给企业的声誉和日常运作带来很大的影响，因此如何有效地保障信息安全及避免黑客入侵受到社会各界的日益关注。如图1所示，2012年至2017年中国信息安全市场规模的年复合增加率为20.10%，2017年约为41.56亿美元，同比增长23.91%。

一、基于外包视角的信息安全服务市场发展

虽然部分企业具有控制一定风险的能力，实施自主管理信息安全。但近年来，将安全业务外包给管理安全服务供应商（MSSP）已成为应对不断变化的安全挑战的关键策略。信息系统安全外包市场在北美、亚太和欧洲地区最近几年都得到了两位数的快速增长，专家预计在未来几年将保持30%-40%的年度增长率，通过信息系统安全外包可使企业的信息系统安全需求得到有效的满足和保障。据Frost and Sullivan调查显示，全球MSSP市场在2016年将达到147亿美元，预计年均增长18.5%。伴随信息安全产业爆发式机遇，我国信息安全行业市场大面积快速增长，对信息安全保障投资日趋增加。据《2015-2020年中国信息安全行业市场全景分析与投资风险预测报告》显示，我国信息安全产业在2012年的规模仅为157.26亿元，四年时间内这一市场规模已升至341.72亿元，年均复合增速达到21.4%。

二、互联网背景下信息安全外包的特征

然而，信息系统安全外包作为一种新兴的外包领域，除了具有传统外包的特征，还具有其独特之处。MSSP极可能在保证自身利益最大化的前提下，通过降低努力度来消减其运作成本，这属于委托代理关系中的道德风险问题。和其他的外包（如工程外包）有着共同点。不同的是，企业不能很好得知MSSP对信息安全的投入绩效，故难以在信息安全外包全过程中宏观把握MSSP的服务质量[1]。面对各种不同的信息系统安全战略，企业需要在不同的安全成本和安全环境下，根据信息系统安全外包的特点，在不同的外包技术配置方案下优化技术参数，设计合理的信息安全外包契约有效激励MSSP的服务行为。尤其在我国，信息系统安全外包尚处于发展初期，如何有效设计信息安全外包契约进行风险控制管理显得尤为重要。

三、引入分期付款的信息安全外包服务分析

目前国内外关于信息安全外包的研究方向聚焦于信息安全外包激励契约设计，但在已有的研究成果中大多数只考虑环境和利益相关主体相对静态的情形，较少考虑信息安全环境随时间的动态变化，例如黑客攻击能力增强等方面的动态变化。企业寻找到合适的管理安全服务供应商（MSSP），并且通过措施来激励MSSP的努力水平上升从而有效地控制信息安全风险的问题是信息安全外包成功的先决条件。鉴于信息安全复杂和动态变化的特点和已有的研究基础，本项目将分期付款方式引入到信息安全契约设计中，基于动态奖励的原则，企业会评估服务承包商的已有完成情况来决定后面的资金发放问题。一方面可以解决企业资金的运转不足问题，减少了一次性付款存在的风险问题;另一方面，企业可以看清MSSP的工作进程及工作质量，发挥其最大努力水平，企业也会更愿意与其长期合作，减少了资金的浪费、提高了效率。特别地，分期周期时间越短，付款次数越频繁，企业对承包商的掌握程度越大，但付款次数越多也会花费时间精力，因此不是越多越好[2]。

四、结语

大数据时代的下，信息系统有了新的发展特征，企业信息安全外包也面临着更多的风险和挑战，如何优化企信息安全外包策略以降低双边道德风险成为了十分重要的内容。因此，需要不停地对中小企业信息安全外包策略体系进行完善和创新，并不断提升企业内在的防御机制，才可以保障企业可以可持续发展。这将是信息系统安全保障的必然趋向，也是社会大环境的发展潮流。

参考文献：

[1]顾建强， 梅姝娥， 仲伟俊. 信息安全外包激励契约设计[J]. 系统工程理论与实践， 2016， 36（2）： 1057-1062.

[2]王陆玲， 王国锋， 赖明勇， 等. 基于分期付款的服务供应商合作意愿甄别研究[J]. 中国管理科学. 2013， 21（1）： 118-124.

作者简介：

康飞宇（2000-），汉族，本科。