3“需求与控制”视角下的信息安全行为 - 信息系统学报 - 清华大学.doc

组织员工信息系统安全行为研究进展 陈昊，李文立，柯育龙 （大连理工大学 管理与经济学部,辽宁 大连 116023） 摘 要 组织员工的信息安全行为是保障组织信息资产安全的重要前提而现有国内组织情境下的信息安全研究缺少基于行为视角的系统化探讨。本文致力于梳理现有研究中影响组织员工从事信息安全行为的关键要素。针对信息系统安全政策遵从行为和违背行为，在整合主要理论和解释关键结论差异的基础上，从“需求与控制”视角和“自我管理”视角构建组织员工信息系统安全行为的理论研究框架。同时，阐明了信息安全行为研究未来可能的研究方向。 关键词 信息安全，信息系统安全政策，遵从行为，违规行为，信息安全行为管理 中图分类号 C931.6 1 引言 信息技术（Information Technology, IT）的商业价值及其对组织绩效的贡献毋庸置疑[1]，越来越多的企业采用信息系统（Information System，IS）来优化业务流程和提升工作绩效。然而IS的不正确使用和外部入侵也使组织承受着信息资产泄露的巨大风险。据2013年调查数据显示，93%的英国大型企业曾发生过信息安全事件，导致的平均损失已经达到45-85万英镑[2]。安装防火墙，更新杀毒软件，设置监控系统和使用防护密码等信息安全防护技术和措施，虽然能在一定程度上保护企业的信息资源安全，但是组织员工不正确的使用习惯，对信息系统的滥用和误用行为等都无法通过技术手段来解决[3, 4]。2013年调查数据显示，74%的信息安全事件与内部员工相关[5]，组织员工的内部威胁已经超越外部威胁成为信息安全事件的首要诱因[6]。内部员工对组织信息资产造成的直接或间接的威胁行为有两类：故意行为（如破坏、偷窃组织信息，以及商业间谍行为等）和无意行为（如设置较为简单的密码，粗心点击了含有钓鱼链接的邮件等）[7]，且无论是哪种行为，因内部人员的不恰当行为给企业组织造成的损失都是灾难性的。 企业高层推行安全教育培训和意识项目（Security Education, Training, and Awareness，SETA）以及信息系统安全政策（Information System Security Policies，ISSP）来规范员工的信息系统安全行为已被广泛应用于企业实践。安全教育培训和意识项目致力于强化员工的信息安全意识，并明确员工对于威慑严厉性和确定性的认知[8]，从而提升用户遵从信息系统安全政策的意愿和安全解决方案的使用[9]。信息系统安全政策则以正式制度的形式表明了组织对于信息安全的立场和态度，是安全决策制定和实施的基础[10]。虽然企业从技术，管理和流程等多方面措施来维护组织的信息系统安全，但是信息系统安全事件依然层出不穷，究其原因还是员工在信息系统的使用过程中，对信息系统安全政策 近年来，针对员工信息系统安全行为（Information System Security Behavior）的探讨是国外信息系统行为研究领域的热点，尤其是借鉴犯罪学、社会心理学、健康学和组织行为学等领域的理论，对组织员工的计算机/信息系统滥用和误用行为（Computer/Information System Abuse and Misuse）、信息系统安全政策的遵从与违背行为（Information System Security Policy Compliance and Violation Behavior）、信息安全保障行为（Information Security Assurance Behavior）和信息安全疏漏行为（Information Security Omission Behavior/ Knowing-doing Gap）等主题进行了深入探讨。尽管现有研究取得了丰富的，然而多数研究停留在变量关系的验证以及外来理论在信息安全研究中的适配度的验证尚未形成较为的理解组织情境下员工信息安全的清晰研究的具有强的依赖，即便是同一主题下相同理论的研究结论仍然存在差异甚至矛盾。有关信息安全行为学视角的探讨在国内尚未引起过多关注，缺针对组织员工信息安全行为的系统研究。本文国内外相关文献的基础上，梳理影响员工信息系统安全政策遵从违背行为的关键影响要素，明确各要素之间的作用机理，并对相关结论的差异进行归纳和解释，构建组织情境的员工信息系统安全政策遵从和违背行为的研究框架。希望本文对国内外研究文献的，能够对基于行为学研究视角的信息安全研究的开展提供借鉴，力求为后续研究提供理论基础和发展方向。另外，本研究有助于企业了解员工的信息安全行为动机，为组织信息系统安全政策与控制措施的制定和实施提供理论依据同时为员工信息安全引导和规范，以及违规行为的预防提供实践指导。 2 研究方法与过程 2.1 概念界定 信息安全行为领域的研究安全相