研究了供应链中的企业在信息存在互补时,如何与管理安全服务提供商(MSSP)进行信息安全合作管理以解决安全外包中的双边道德风险问题.研究结果表明,供应链企业之间的信息互补度会一定程度上减小企业的预期损失,从而抑制企业与MSSP的投资动机以及MSSP对企业的赔偿额,但增大了企业的被攻击概率.证明了信息安全外包产业中常用的双边赔偿契约存在双边道德风险问题,并且受到供应链企业间互补度的影响,进而提出责任契约来解决该问题.与双边赔偿契约不同,责任契约主要根据企业不同的安全状态来进行赔偿,当两个互补企业都被攻击时,MSSP对双方进行赔偿;当只有一个企业被攻击时,MSSP对被攻击的企业进行惩罚而对未被攻击的企业进行奖励,研究表明该机制可以有效解决供应链互补企业在双边赔偿契约中的双边道德风险问题,且在实施成本小于一定阈值时,MSSP倾向于选择责任契约.研究结果可以为供应链互补企业的信息安全外包管理提供启示.

• 单位
  东华大学; 西安交通大学