信息技术的广泛和深入运用使得企业的效率和效益快速提升，竞争力显著增强，但也带来了黑客的网络攻击等信息系统安全问题。面对越来越严峻的信息系统安全形势，企业常规的做法是大量购买和运用防火墙、入侵检测系统和虚拟专用网络等安全技术，以提升安全水平。然而，大量事实表明，信息系统安全不是一个简单的技术问题，而是一个需要综合考虑技术、管理和经济的复杂管理问题，当前国际上信息管理与信息系统学科出现了一个新的前沿性研究领域——信息安全经济学。作为信息安全经济学的热点问题之一，信息系统安全资源优化配置策略研究备受关注。本文以企业为背景，在定义信息系统安全管理等相关概念基础上，引入信息系统安全资源优化配置涵盖的内容，构建安全资源优化配置决策过程，并综合运用信息系统管理、博弈论等理论，对信息系统安全资源优化配置问题进行了多方面的研究:　　(1)针对企业内部信息系统安全资源优化配置问题。首先，构建了IT总投入中信息系统安全投入优化模型，分析得出:信息系统安全投入与信息系统原始脆弱性无关，企业IT投入在信息资产和信息系统安全两者间的分配取决于信息资产投入经济效率和信息系统安全威胁指数之比，而信息系统安全收益随信息系统安全投入呈凸形关系。其次，研究了企业内信息系统安全投入在多防御节点中的配置问题，得出:无论信息系统安全资源是否存在约束，在多节点安全资源配置时，各节点均存在判断该节点是否需要配置安全资源的阈值，低于阈值时，不再配置安全资源，反之则进一步配置安全资源。　　(2)针对纵向跨组织信息系统中的安全资源优化配置问题。在信息系统安全知识共享情况下，分别构建Stackberg和Cournot博弈模型研究安全投入和安全知识共享，分析表明:安全投入方面，核心企业随网络脆弱性的增强而增加，伙伴企业则是减少。进一步对比Stackelberg和Cournot博弈决策结果发现:核心企业在Stackelberg博弈决策中的安全投入和安全知识共享水平均要低于在Cournot博弈中的额度，伙伴企业在两种博弈决策中安全投入的比较则取决于信息系统原始脆弱性水平。在信息资产共享情况下，基于独立决策和联合决策两种方式建模分析发现:信息资产共享比例较高时，若独立决策，核心企业安全资源投入相对较多，伙伴企业则相反;信息资产共享比例较低时，若独立决策，核心企业安全资源投入相对较少，伙伴企业则相反。　　(3)针对网络跨组织信息系统中的信息系统安全资源优化配置问题。首先，基于从众行为理论构建了网络跨组织信息系统中的安全投入决策模型，分析表明:受网络跨组织信息系统中企业信息系统安全初始水平、安全损失、企业群体规模、从众效应等因素影响，企业可能采用积极安全策略、保守安全策略或消极安全策略，但随着群体规模的增加，企业采用积极安全策略的概率下降。其次，针对企业群体中的信息系统安全知识共享问题，运用演化博弈模型分析得:除了信息系统安全知识共享成本、安全网络效应等因素外，信息资产价值关系影响着企业群体间信息系统安全知识共享的演化博弈的均衡，信息资产价值互补的企业间实施共享策略的意愿较高，信息资产价值竞争或独立的企业间实施共享策略的意愿较低，共享的意愿随着互补关系的紧密程度及初始选择共享策略企业的比例增加而增加。最后，为了抑制信息系统安全知识共享过程中的“搭便车”行为，运用重复博弈理论构建共享激励机制，分析发现:孤立期越长、理性企业的比例和共享的效率越高，激励机制效果越显著。　　(4)针对信息系统安全外包中委托代理问题，设计由固定报酬和补偿系数两部分组成激励机制，分析表明:固定报酬随外包信息资产价值的增加和黑客入侵概率的增加而增加;补偿系数与企业信息系统安全环境的不确定性、信息系统安全服务商的努力成本系数以及其风险规避系数呈反比。其次，针对信息系统安全保险投入和安全投入优化配置决策问题，分别基于完全竞争市场和不完全竞争市场进行分析，研究发现:在投保企业间安全依赖性较强环境下，信息系统安全投入和保单保额均随保险市场的加载因子增加而减少;在安全依赖较弱环境下，信息系统安全投入随加载因子增加而增加。对于信息系统安全保额则存在加载因子的阈值，高于阈值保额则随加载因子的增长而增长，低于阈值保额则随加载因子的增长而下降或不变。　　(5)文中运用案例分别对企业内信息系统安全资源优化配置、跨组织信息系统安全资源优化配置以及信息系统安全外包中的激励机制等进行说明，进一步阐述本文所提方法的合理性和所得结论的有效性。