基于安全外部性的信息安全合同设计与投资决策研究
基本信息
结项摘要
The increasing information security complexity, managing cost, and regulatory requirements has motivated firms to outsource information security functions to managed security service providers (MSSPs). Different from the general information system outsourcing, strategic hackers and similar security technologies lead to obvious security externalities in information security outsourcing industry. Moreover, ever-changing types of hackers, security technologies and part outsourcing lead to the dynamic cooperation in security investment between the MSSP and firms. Based on security externality and dynamic cooperation, with game theory and principal agent theory, this project studies the MSSP’s decision-making in different business environments, including when the MSSP servers firms in a base model, servers firms who are in competitive market, and servers firms who are integrated in a supply chain. The findings of this project are expected to enrich the research in the interdisciplinary field of economics and information system management, and guide the MSSP to make optimal decisions according to different business environments.
不断增加的信息安全技术复杂度、管理成本以及监管要求促使企业将信息安全职能外包给专业的安全管理服务提供商(MSSP)。与一般信息系统外包不同,信息安全外包行业存在明显的安全外部性,即MSSP对一个委托企业的决策将影响其他委托企业的安全水平。此外,日新月异的黑客类型、安全技术以及部分外包促使MSSP和委托企业的安全投资处在动态合作中。本项目基于安全外部性和动态合作的现实背景,运用博弈论和委托代理理论,研究MSSP在不同商业环境下的信息安全合同设计与投资决策,包括MSSP服务委托企业的基础模型,服务竞争型企业以及服务供应链整合企业。研究成果可以丰富经济学和信息系统管理交叉领域的理论研究,并为MSSP在不同商业环境下的决策提供科学依据。
项目摘要
本项目基于安全外部性的现实背景,运用博弈论和契约理论研究了安全管理服务提供商和企业在不同商业环境下的信息安全合同设计与投资决策问题。首先,本项目基于安全外部性研究了动态合作环境下安全管理服务提供商和企业的信息安全信息外包决策问题,重点研究了双边赔偿合同引起的双边道德风险问题,发现安全外部性会加剧该问题。本研究提出两种合同解决该问题,分别是监控合同和责任合同。当可变监测成本忽略不计时监控合同才能解决双边道德风险问题。责任合同可以解决该问题,并在以下四种情况时更具有可实施价值:较高的攻击概率、较高的安全外部性、较长的合同期限、双方责任几乎相等。其次,基于安全外部性研究了竞争型企业面临策略性黑客时的信息安全投资决策问题,重点研究了社会规划者(政府、行业协会)监管竞争型企业的安全决策行为,并确定社会规划者的监督可以部分缓解搭便车行为,但只有在竞争程度很小或竞争程度很大时企业才会接受社会规划者的参与,因此社会规划者需要根据行业竞争情况来制定强制安全标准。最后,基于安全外部性研究了供应链企业面临部分互补或替代信息资产时的安全投资决策问题。研究发现供应链企业间信息资产性质、安全外部性引起的技术相似性等风险依赖因素对企业投资决策有着重要影响,并针对供应链企业采取搭便车行为的问题进行了协调机制设计,提出了基于努力和基于责任的激励机制。本项目研究成果录用和发表在国内外高水平期刊《Journal of the Association for Information Systems》、《Decision Analysis》、《Expert Systems with Applications》、《Journal of the Operational Research Society》、《Information Fusion》、《运筹与管理》上,此外出版合著一本《物流信息系统》,报告一份《2019中国社会发展治理报告—我国信息安全外包行业现状与管理策略》。本项目的研究可以丰富信息安全经济学的理论研究,为不同商业环境下安全管理服务提供商和企业的信息安全管理提供理论和方法支持。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
演化经济地理学视角下的产业结构演替与分叉研究评述
演化经济地理学视角下的产业结构演替与分叉研究评述
玉米叶向值的全基因组关联分析
玉米叶向值的全基因组关联分析
监管的非对称性、盈余管理模式选择与证监会执法效率?
监管的非对称性、盈余管理模式选择与证监会执法效率?
农超对接模式中利益分配问题研究
农超对接模式中利益分配问题研究
黄河流域水资源利用时空演变特征及驱动要素
黄河流域水资源利用时空演变特征及驱动要素
吴勇的其他基金
具有GLUT1主动转运、TDS“锁定”功能、葡萄糖和叶酸双重肿瘤识别的脑靶向磁性脂质体的制备及应用
具有GLUT1主动转运、TDS“锁定”功能、葡萄糖和叶酸双重肿瘤识别的脑靶向磁性脂质体的制备及应用
相似国自然基金
信息安全关键密码理论与技术研究及信息安全通道设计
煤矿安全投资溢出规律与基于实物期权的安全投资决策量化模型研究
考虑风险依赖和竞争外部性的信息安全外包决策机制和策略优化研究
信息安全中的若干组合设计研究