【摘要】基于高阶理论和新制度理论探讨了高管支持、制度化过程(包括识别、履行和内化3个维度)与信息安全绩效之间的关系。以国内通过信息安全管理体系认证(ISO/IEC 27001)的148家企业为调研对象开展问卷调查,采用Smart PLS 3.0和SPSS 22.0的Process插件进行统计分析和中介效应检验。结果表明,高管支持对信息安全绩效以及制度化过程的识别、履行和内化具有显著正向影响;识别和履行对信息安全绩效具有显著正向影响,并且在高管支持与信息安全绩效关系中具有多重中介效应。研究结论对企业如何借助高管支持来推动信息安全制度化过程,进而提高企业信息安全绩效有着重要管理启示。
关键词:高管支持;制度化;信息安全绩效
随着2014年2月“中央网络安全和信息化领导小组”的成立以及2017年6月《中华人民共和国网络安全法》的发布,信息安全在国家层面得到前所未有的重视。在组织研究领域和企业实践中,信息技术/信息系统的应用对企业发展的促进作用已经持续得到证明,信息已然成为关键资产,关乎企业的生存和发展。然而,层出不穷的信息安全事件引起了公众和社会各界对于信息安全的关注和担忧,企业如何应对信息安全风险也成为近几年管理信息系统领域的研究热点。
Agilent-7700x 电感耦合等离子质谱(ICP-MS)、CEM微波消解仪和电子天平(0.001 g)等仪器设备。
企业信息安全问题的解决,“三分靠技术、七分靠管理”,因此,企业防范信息安全风险的方式有两种:部署安全类IT系统和构建科学合理的信息安全制度[1-3]。然而,长期以来,信息安全业界存在着“重技术,轻管理”的错误认知,这就导致很多企业尽管为了保护信息资源的安全投入了大量人力、物力和财力,但是企业信息安全管理现状却不容乐观[4]。由此可见,单纯通过技术手段获得的信息安全是有限的,缺乏相应管理策略和制度保障的技术部署甚至是无效的。
制度化企业内部的信息安全管理措施无疑是管理和规范员工信息安全行为的有效策略和理想选择,但是企业信息安全管理是一项复杂的系统工程,它需要以信息安全部门的职能为主,同时涉及企业的多个相关职能部门,而具体信息安全管理策略的执行又与每个员工密切相关[5-7]。只有作为对企业信息安全负有战略决策的高层管理者才有能力协调不同部门之间的关系,进而决定信息技术的引进、信息系统的部署以及信息安全制度的推进[7]。因此,高层管理支持(简称“高管支持”)对信息安全制度化以及企业的信息安全绩效具有重要影响。然而,已有研究对企业信息安全管理情境下高管支持、制度化与信息安全绩效关系的探讨还远远不够。
本文以国内通过信息安全管理体系认证的企业为调研对象,探讨了高管支持、制度化与信息安全绩效之间的关系,并重点分析信息安全制度化的中介效应,以明确由高管支持推动的信息安全制度化对企业信息安全绩效有何影响。本文的理论贡献体现在3个方面:
选自上海交通大学环境科学与工程学院的“Fenton法降解有机物的热力学及构效关系研究”一文。2017年11月29日笔者在院内彭东辉教授级高工实验室讨论高浓度有机废水处理项目时阅读到此文,值得推荐。
(1)拓展了高阶理论的理论解释范畴。已有研究较少涉及高管支持对企业信息安全管理活动的影响,本文基于高阶理论探讨了高管支持对企业制度化与信息安全绩效的影响过程,验证了高阶理论在信息安全管理领域的理论解释力。
(2)分析了制度化的识别、履行和内化3个维度对企业信息安全绩效的影响。这对于企业如何实现基于制度规则的信息安全管理,进而实现对包含硬件、软件和人员的整个企业信息系统的有效约束具有理论意义,同时丰富了新制度理论的制度过程和制度影响的理论内涵。
(3)突出了企业信息安全管理中行为因素的重要性。基于组织管理的视角,由高管支持所推动的信息安全制度化入手,强调了高层管理者对员工信息安全行为的示范作用,以及员工对制度内容理解的重要性,这对于如何从行为管理视角优化企业的信息安全管理业务流程具有理论参考价值。
1 理论基础与研究假设
本文的理论基础是高阶理论和新制度理论。其中,高阶理论主要用来说明高层管理团队的认知、价值观和经验对企业信息安全制度化过程及其绩效的影响;新制度理论主要解释制度化的过程划分以及对企业信息安全绩效的影响。
1.1 高阶理论
招呼还是要打的,魏昌龙的反应不冷不热,挨了闷棍的人,有情绪迟恒能理解。魏昌龙也不知从那里听到迟恒原先儿是个什么作家,就说咱这儿有几个景点,迟作家能给描绘描绘,扩大点影响我就感激了。迟恒知道这是提醒他别再搅和其它事,按照主任的经营理念,魏昌龙现在是他的雇主,他得为他服务,谁见过做买卖的在雇主跟前硬气。
高管支持对企业信息系统的影响体现在决定相关预算和资源配置[9]以及排除企业内部推动信息系统采纳和实施的阻力[10-13]两方面。在信息安全研究方面,Puhakainen等[14]采用行动研究方法分析员工的信息安全策略遵守行为,发现CEO在推动信息安全策略(ISP)上的消极表现,是员工忽视ISP的主要原因之一。一旦CEO转变信息安全态度,同时积极推动和遵守企业的ISP,员工将会提高参与信息安全管理的积极性。Siponen等[15]将与高管支持相关的企业文化划分为4个维度(协作、创新、一致性和有效性),并分析了不同维度对信息安全管理的影响,证明了高层管理团队观念的一致性对信息安全管理有积极影响。
本文认为信息安全管理情境下的高管支持是指企业的信息安全领导小组成员(包括:CEO、信息安全主管、IT经理和安全相关业务经理)重视信息安全管理工作,为了实现企业信息安全管理的目标,向企业员工展现的遵守信息安全管理策略以及积极参与信息安全管理各项活动的态度和倾向性[7]。
1.2 新制度理论和制度化
组织分析的新制度理论侧重研究企业如何通过制度安排来获取外部合法性,为何企业在追求合法性的过程中出现趋同现象。在制度趋同分析中往往涉及制度化,它是指组织适应外部环境的制度安排过程。制度化是一个拥有广泛含义的概念,无论是宏观层次的“体制化”,还是微观层次的“合法化”,都可以纳入制度化的概念范畴。在本文研究情境下,制度化是指微观层次的规范的构建。此时的制度化需要具有合法化的功能,即企业的制度安排应该具有基于社会认可的逻辑。因此,企业内部的规范和制度安排需要适应其生存和发展所依赖的外部制度环境,在该情况下企业内部制度构建/转变的过程不仅仅是为了追求效益和效率,而是为了使企业获得外部社会规范认可的合法性[1,16]。
H10内化在高管支持与信息安全绩效的关系中具有中介作用。
1.3 研究假设
实际上,企业信息安全管理的多项活动离不开高层管理的支持。例如,企业信息安全管理的规划、信息安全风险的评估以及信息技术/系统的采纳都在一定程度上需要高层管理的支持[19-20]。之所以高管支持发挥如此重要的作用,是因为高层管理者可以在企业管理中展现他们高度的承诺、参与、兴趣、信念和决心等重要特质,进而对企业中相关部门和员工的信息安全认知和行为产生重要影响。即高管团队可以通过财力和技术资源的分配/组合,来确保企业信息安全管理各项活动的开展和信息安全绩效的发挥。基于此,提出假设:
H1高管支持对信息安全绩效有显著正向影响。
(2)与全国“日进杯”口腔工艺技能竞赛相衔接。技能竞赛项目设置一方面要与学校的人才培养目标、人才培养方案和课程相结合,另一方面要建立与国家、省、市级职业技能竞赛的互通机制。“日进杯”是为全国在校生举办的口腔工艺技能顶级赛事,目前开设有牙体雕刻和全口义齿排牙及牙龈雕刻两个比赛项目。为与“日进杯”衔接,我校“现代杯”以牙体雕刻和全口义齿排牙及牙龈雕刻两个项目为主,并根据教学内容加设有蜡型、卡环弯制等项目,这样校级竞赛还能为全国竞赛公平地选拔参赛选手,构建校级、省级、国家级的完整的竞赛机制。
借鉴管理信息系统相关研究对组织绩效的分析[21-22],本文在企业信息安全管理情境下补充了“信息安全管理质量(包括保密性、完整性和可用性)”的测量题项,因此,本文中的信息安全绩效包括IT运维效率、经济效益、竞争优势和信息安全管理有效性4个方面。识别是企业信息安全制度的第1步,它聚集信息安全制度的整体路线方针的制定[18]。例如,国内企业在决策信息安全管理具体实践时,往往面临着两种不同的方式:建设信息安全管理体系和开展信息安全等级保护。两种不同的信息安全管理实践,没有明确的优劣之分。然而,无论企业选择哪一种具体的实践形式,都要依据自身所面临的内外部环境因素,进行信息安全评估,进而明确企业信息安全管理的外部环境要求和内部需求,这对于提升企业的信息安全绩效以及确保整个信息安全管理解决方案的成功都至关重要[23]。因此,提出假设:
H2识别对信息安全绩效有显著正向影响。
优化结构布局,改善设施条件:2020年末,全省农村社会福利服务中心100%符合《养老机构服务质量基本规范》的基本要求,床位利用率达到70%以上,委托社会力量运营管理的达到40%以上。
履行是企业对自身信息安全制度的外部表达,是为了实现制度的内外一致性,其标志是发布信息安全管理的规范或文件[18]。在企业信息安全管理实践中,部署信息安全管理策略或获取信息安全管理体系认证的组织主要包括3类:为了满足监管或客户的要求;响应各种协会的组织、宣传或获取补贴;出于企业组织自发的安全需求[1,24]。上述3类组织的不同诉求,最终都需要向企业外部传达其合法性的制度化信息(例如发布制度化的规范文件等),以寻求增加企业发展的商业机会,进而产生直接或间接的经济效益。基于此,提出假设:
H3履行对信息安全绩效有显著正向影响。
内化是企业对信息安全制度的实施和执行[18],其作用是保证整个信息安全制度的规范和操作流程付诸实施,这就在很大程度上降低了企业信息安全系统的脆弱性,减少了由于内外部不确定因素所导致的潜在业务中断和企业遭受信息安全风险的可能性。尤其是信息安全管理的研究已经表明,内部员工的信息安全违规行为已经成为企业信息安全风险的主要原因[25-26]。因此,信息安全制度中所涵盖的各项业务流程操作规范的落实,可以有效防范和控制信息安全风险[27-28]。基于此,提出假设:
采用SPSS 25.0软件分析数据,计量资料采用均数±标准差表示,组间比较采用t检验。计数资料采用X2检验。P<0.05为差异有统计学意义。
H4内化对信息安全绩效有显著正向影响。
为了推动企业的信息安全制度化进程,除了某些决策性职能外,高管团队需要发挥具有象征性意义的职能[29]。例如,高层管理团队出席企业内部的关键信息安全管理活动,这就向其他部门或员工传递出“信息安全管理被高度重视”的信息,进而对推动信息安全制度产生积极影响。除此之外,高管参与或支持诸如此类的信息安全管理工作,不仅发挥了对企业信息安全管理的监视,而且发挥了对企业相关业务单元和工作的导向作用,激发了内部员工参与信息安全管理的积极性,确保了企业员工对于信息安全管理策略的遵守[30-31]。
一方面,为了明确企业信息安全制度的外部环境要求,识别过程中需要明确外部监管的法律、法规和技术标准的不同要求,这就需要企业不同部门之间的合作。而只有高层管理者才能有效协调不同部门之间的资源,保证识别过程的顺利实现。另一方面,高管支持会向企业的所有员工传递信息安全非常重要这一信息,促进企业的所有员工明确信息安全的基本要求,并根据各自的日常工作对企业部署信息安全的环境进行总结和反馈。以此为基础,促进了员工对企业所面临的不同类别的信息安全风险进行评估,以明确企业内部的信息安全管理需求。基于此,提出假设:
H5高管支持对识别有显著正向影响。
高等职业院校应该对教师加以正确引导和正向鼓励,促使他们通过大数据平台进行教育观念的创新和教学方法的尝试,通过在传统培养机制中强化数字和大数据技术的方式,在高等职业院校教师心中牢固树立正确的素质发展观念和提升理念,通过增加资源和加大投入的方式优化教师发展、成长和执业环境,为教师在教学中实施大数据平台下的改革提供机制和体系的保障,达到对高等职业院校教育改革大目标的有效适应和不断保障。
H6识别在高管支持与信息安全绩效的关系中具有中介作用。
在企业信息安全管理中,高管支持同样能够推动企业各部门对于信息安全各类规范性文件的出台或发布,监管企业内部员工的日常工作中对各类信息安全规范的落实[32]。即高管参与到信息安全制度规范或文件的制定中,能够实现以信息安全制度为基础的安全控制与部门业务流程的结合,强化企业整体信息安全制度的外部表达,使得企业信息安全管理活动有对应的制度规范可以遵守[33-34]。基于此,提出假设:
H7高管支持对履行有显著正向影响。
高阶理论的基本理念是企业高层管理者会根据面临的特定情境做出高度个性化的诠释和选择,并且决定企业的战略、影响他人的行动[8]。最初的高阶理论有3个主要论点:①高层管理者基于个人想法、经验和价值观采取行动;②整个企业高层管理团队的特性比CEO的个体特性能更好地预测企业成果;③人口统计变量可以作为高层管理者认知和价值观的代理变量。
H8履行在高管支持与信息安全绩效的关系中具有中介作用。
企业的高层管理团队对于信息安全的重视,能够构建一种信息安全管理的良好氛围,促使员工按照信息安全制度的要求进行规范化操作,构建企业全员参与信息安全管理的良好格局,进而减少内部的信息安全风险事件[35]。在企业信息安全管理中,可能出现的情况是:尽管员工遵守信息安全制度不能直接为企业带来经济收益,但是企业一旦发生了由员工信息安全违规行为所引发的信息安全风险便会给企业造成巨大的风险和损失。基于此,提出假设:
H9高管支持对内化有显著正向影响。
Kostova等[17]根据企业需要解决的内部和外部合法性提出了制度化的两个过程——履行和内化,而该研究是目前有关制度化大样本实证研究的典范。然而,履行和内化并没有完全覆盖企业制度化的所有过程,尤其是在信息安全管理下需要明确企业制度化的路线,并据此确定信息安全部署的环境。有鉴于此,林润辉等[1]根据企业信息安全研究的实际需要,补充提出了制度化过程中的识别,进而确立了信息安全制度化的识别、履行和内化3个过程。具体而言,识别是指企业根据外部环境,分析、选择和制定信息安全制度化的总体方针和路线,在此基础上明确信息安全部署的全过程;履行是指企业对于信息安全制度的外部表达,例如公布信息安全管理策略相关的文件等;内化是指企业信息安全制度的实施和执行,直接决定信息安全制度化的效果[18]。
财务共享服务中心的概念,就是将不同地域的企业财务统一到同一个地点进行登记报账,通过统一登记的方式,可以保障企业的会计记录和财务报表具有规范性和统一性,不容易出现财务错账漏账的问题,而且因为不需要在所有的分公司都设立会计部门,这样就节约了人力资源和系统成本。现如今,我国的上市企业规模不断扩大,且企业信息化进程逐步推进,上市企业需要在财务管理方向上加快步伐,提升现有的服务效率,才能在市场上提升竞争力,为企业进一步的发展壮大打下坚实基础。因此,上市企业建立有效的财务共享服务中心体系就成了目前刻不容缓的工作重点。
综上所述,本文提出研究模型,如图1所示。
图1 研究模型
2 研究样本与变量设计
2.1 样本选取与数据收集
本文采用问卷调查来收集数据,调查问卷分为A、B两个部分,问卷调研起止时间为2012-12-03~2013-05-10。其中,问卷A的调研对象是国内通过GB/T 22080-2008/ISO/IEC 27001:2005资格认证企业中的管理者,受访者根据企业实际运营和管理过程中信息安全制度的实施情况回答问卷A中问题。问卷B的调研对象是第三方认证机构的审核员,受访者根据对应的标准和法规对企业信息安全制度的部署和实施情况进行评价。之所以将问卷分为A、B两个部分是因为企业内部人员对高管信念和高管参与的体会往往会更直接,而审核员对企业信息安全制度实施情况的评价会更客观。问卷A、B均采用5点李克特量表,所有题项均为正向计分。
本文在程序控制和统计控制两个环节来避免共同方法偏差的产生。首先,数据来源包括问卷A、B两部分,且两部分问卷由不同类别的调研对象完成,即问卷A由认证企业的相关管理者填写,问卷B由第三方认证机构的审核员填写。因此,在程序控制环节有效降低了共同方法偏差产生的可能性。其次,在统计控制环节采用Harman单因素检验的方法进行检验。结果表明,量表中所有变量的第1个因子的方差解释度为30.171%<40%,因此,研究数据不存在共同方法偏差的问题,可以进行后续的数据分析。
2.2 变量及其测量
为了保证测量工具的信度和效度,本文尽量采用已有文献中被广泛使用和验证的测量量表,并结合信息安全管理这一特定情境进行修改。其中,对高管支持的测量根据文献[6,19]中的量表改编,包括5个题项。对制度化的识别、履行和内化的测量分别根据文献[1,17]中的量表改编。识别包括3个测量题项,履行和内化均包含4个测量题项。对信息安全绩效的测量修改自文献[1,21-22]中的量表,包括4个题项。本文所有变量测量题项的引用及说明如表2所示,所有变量所包含的具体测量题项见附表1。
表1 样本的描述性统计信息
2.3 控制变量
在控制变量方面,由于不同行业中的信息化发展水平不一致,造成了不同企业对信息安全要求的差异;成立时间和接受认证时间比较长的企业可能信息安全管理更加规范,采用其他信息安全认证同样会对企业的信息安全管理有一定影响;不同所有制类型的企业,由于涉及的信息安全类型的差异,会有不同的信息安全管理规范;组织规模和IT部门的规模也会对企业信息资源的保护有影响。基于此,本文将行业类型、所有制类型、组织成立时间、认证时间、有无其他认证、组织规模以及IT部门规模作为控制变量,这与文献[1,36]中的研究基本一致。
3 实证分析
3.1 共同方法偏差
由于问卷分为A、B两部分,故问卷的分发和回收分为两步:①研究团队成员将电子版调查问卷通过E-mail发送给企业的相关管理者,共发送问卷200份,回收有效问卷176份,问卷的有效回收率为88%;②将176份问卷交由负责审核上述企业的认证机构的审核员进行填写,部分审核员的离职导致回收到的问卷为148份,问卷回收率为84%。受访者的描述性统计信息如表1所示。
(一)总结新的实践经验,丰富社会主义初级阶段内涵,深化对党的基本路线认识,确立党的基本纲领和基本经验,进一步拓展了中国特色社会主义道路的理论底蕴
3.2 测量模型检验
本文在对量表的信度和效度检验的过程中,使用了Smart PLS 3.0的统计工具,主要采用组合信度(CR)和项目载荷来评价研究量表的信度;用各变量的AVE平均提炼方差值是否超过0.5,以及是否大于所考察变量与其他变量的相关系数来检验区分效度。测量量表不同指标的结果如表3、4所示。
表2 变量及其数据来源说明
表3 测量量表信度和效度评价指标
表4 潜变量相关系数和AVE的平方根
由表3可知,高管支持、识别、履行、内化和信息安全绩效的组合信度(CR)分别为0.874、0.842、0.857、0.814和0.923,均大于0.700的基准值;5个潜变量的AVE分别为0.581、0.644、0.603、0.523和0.750,均大于0.500的基准值;5个潜变量的Cronbach’sα分别为0.821、0.717、0.773、0.701和0.888,均大于0.700的基准值。由表4可见,测量量表具有较为满意的区分效度(变量对应AVE的平方根大于变量之间的相关系数)。此外,还对交叉因子载荷进行了检验,见附表2。因此,本文量表具有较好的信度和效度。
对于7个控制变量(行业类型、组织规模、认证时间、所有制类型、IT部门规模、组织成立时间和有无其他认证)纳入模型进行检验时,由于控制变量的数量较多,而所分析的样本量相对较少,故采用文献[19]中的分析方法进行了7次检验,即每次检验只涉及一个控制变量,验证结果见附表3。根据附表3,7个控制变量的系数均不显著,即控制变量没有对研究模型的有效性产生影响。
3.3 结果分析
多重中介模型的验证方法有多种,近年来,学者们都比较推荐Bootstrap方法,因为该方法模型参数估计更为稳健、结论也更为可靠[37]。然而,由于结构方程模型中的多重中介分析需要设置多个辅助变量[38],故本文基于Bootstrap方法,利用SPSS 22.0的Process插件来验证多重中介模型。按照所提出的研究假设,将高管支持设定为自变量,将制度化的过程识别、履行和内化作为研究模型中的中介变量,将信息安全绩效作为模型中的因变量。与此同时,将样本数量设定为5 000,置信区间设置为95%,对下述5个方程的回归系数进行显著性检验(检验结果分别见表5、6):
式中:c、a1、a2、a3、b1、b2和b3为回归系数;ε1~ε5为残差。
由表5可知,在自变量与因变量的关系中,高管支持与信息安全绩效的相关系数c=0.530(p<0.001),达到了显著性水平,表明高管支持程度的差异会显著影响信息安全绩效的高低,假设H1得到验证,这也为后续研究模型中中介效应的检验提供了条件。在自变量和中介变量关系中,高管支持与制度化过程(识别、履行和内化)的相关系系分别为:a1=0.388(p<0.001),a2=0.411(p<0.001),a3=0.473(p<0.001),均达到了显著性水平。这表明,高管支持对制度化过程的识别、履行和内化均有显著的正向影响,假设H5、H7和H9均得到了验证。在中介变量和因变量的关系中,制度化(识别、履行与内化)与信息安全绩效的相关系数分别为:b1=0.259(p<0.01),b2=0.306(p<0.01),b3=0.056(p<0.05),
表5 回归方程参数
注:df1为变量自由度,df2为样本自由度;*p<0.05,**p<0.01,***p<0.001
表6 中介效应分析检验结果
假设H2和H3得到验证,拒绝假设H4。这表明,制度化过程的识别和履行对信息安全绩效有正向影响,而内化对信息安全绩效的正向影响不显著。
在整体的模型指标中,F=15.959,p=0.000,这就说明了自变量高管支持通过中介变量识别、履行和内化对因变量信息安全绩效的影响达到了显著性水平。此外,模型的解释水平R2=0.309,表明仍然还有将其他变量可以纳入研究模型中进行进一步分析的可能性。
在中介效应分析方面,由表6可知,高管支持对信息安全绩效的间接效应为
所对应的Z检验结果为3.525,偏差矫正与增进95%Bootstrap置信区间为{0.058,0.353},置信区间不包括0。该结果表明,模型中总的间接效应是显著的。
在多重中介效应的检验过程中,除了需要关注总的间接效应外,还需要对变量之间单独的中介效应进行分析(见表5)。高管支持通过识别对信息安全绩效的中介效应为0.100(Z=2.215,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.021,0.167},置信区间不包括0;高管支持通过履行对信息安全绩效的中介效应为0.126(Z=2.240,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.026,0.212},置信区间不包括0;高管支持通过内化对信息安全绩效的中介效应为0.027(Z=0.578,p>0.050),同时偏差矫正与增进95%Bootstrap置信区间为{-0.048,0.092},该置信区间包括0。因此,识别和履行在高管支持与信息安全绩效关系中有显著的中介效应,而内化的中介效应则不显著。
本文假设检验的结果如图2所示。
图2 假设检验结果
注:*p<0.05,**p<0.01,***p<0.001
3.4 结果讨论
高管支持对信息安全绩效有显著正向影响(H1),该研究结论与组织管理的其他研究情境下高管支持的正向作用相一致[6,39]。表明在企业信息安全管理中同样应该重视高层管理团队对信息安全管理活动的支持和导向作用,不断影响企业员工参与信息安全管理活动的积极性和主动性,创造一种持续的信息安全文化改进环境,不断提升员工的安全态度和安全价值观[40]。
1.2 试验地点 试验地设在红塔区研和街道贾井村委会玉溪市农业科学院试验基地,土壤为褐壤土,肥力中上等且均匀,前作为玉米,排灌方便。
高管支持对制度化的识别、履行和内化有显著正向影响(H5、H7和H9)。这与文献[41]中所得出的企业信息安全的制度化需要得到高层管理者和员工的全员支持和参与是一致的。这表明,信息安全制度化的不同过程,从整体制度化路线方针的制定→内外制度的一致性表达→制度的内部实施均需要得到高层管理团队的支持。因此,无论是在资源的配置、企业内部良好氛围的创造,还是在其他部门和员工的带动上,都会对制度化有显著促进作用。
制度化的识别和履行对信息安全绩效有显著正向影响(H2和H3),并且识别和履行在高管支持和信息安全绩效的关系中具有中介作用(H6和H8)。该结论与文献[1,7]中所提及的信息安全管理中高管支持和制度化对信息安全管理有效性/信息安全绩效有显著正向影响的结论基本一致。
通常小麦的播种时间为20到30天左右,因此在秋收时,不要着急播种,首先应翻耕土地,同时呀保证土地深度,控制范围在23cm左右、近些年来大量使用旋耕机,导致整体质量出现下降趋势,小麦播种需要土壤下实上虚,为确保播种全苗,应确保土壤和品种。因此在干旱时,应在造堤的前提下,再翻耕和旋耕,同时要使用圆盘耙耙实。
内化对信息安全绩效的正向影响不显著(H4),同时其在高管支持与信息安全绩效关系中的中介作用也不显著(H10),表明高管支持对信息安全制度化的内化没有显著促进作用,这与本文的预期假设出现了偏差。可能是由于内化对信息安全绩效的影响效用需要经过一段时间的积累,或者是内化本身就是一个相对漫长的过程。对内化影响作用的观察需要持续地进行,并且在对其细化的基础上开展进一步的研究和探讨。
发展果树产业,首先要根据本地的地理、气候等条件选择适宜的树种。例如,安徽省怀宁县属浅山丘陵区,很多低山岗地区便于人工开发种植果树。20世纪末,农户分散或小片集中开发种植的果树有桃、李、梨、板栗和柑橘,甚至还有苹果。有的品种不适应当地的地理气候,如苹果;有的品种生长不良,如柑橘、李等;还有的品种管理粗放,因此效益不高。近几年,很多投资者租赁山场,集中开发,规模种植蓝莓、梨、李和桃等果树,优选出许多适宜怀宁县地理、气候条件的果树品种,给今后想发展果树种植业的农户和规模投资者提供了得天独厚的便利条件,特别是蓝莓、桃、梨等,可以根据生食或者深加工的需要,选择不同成熟期的品种进行种植[1]。
4 结论
随着互联网技术和各种信息系统的应用,企业面临着越来越复杂的信息安全环境,因此,如何构建有效的信息安全风险防控机制便成为企业管理的热点问题。本文基于高阶理论和新制度理论,以国内通过信息安全管理体系认证的企业为研究对象,探讨了高管支持、制度化与信息安全绩效之间的关系,并重点分析了制度化的中介作用。研究表明,高管支持对企业信息安全绩效有显著正向影响;高管支持对制度化的识别、履行和内化均有显著正向影响;制度化的识别和履行对企业信息安全绩效有显著正向影响,且识别和履行在高管支持和信息安全绩效关系中具有多重中介作用。
上述研究结论对企业如何通过制度化来提高信息安全管理水平有如下重要启示:
(1)企业需要充分利用高管支持对信息安全管理的积极影响。首先,高管支持可以为企业的信息安全制度建设提供良好的资源保证,进而为各项信息安全管理活动的开展创造良好的内部制度环境。其次,高管团队对于信息安全知识的认知和理解,有助于企业明确信息安全制度建设的方向。例如,信息安全的制度要从单纯的防御保护,逐渐转变为对整个业务流程的优化。这就需要高管团队来推动、协调、整合不同部门的业务和工作。最后,高管团队对信息安全管理的参与,能够发挥导向性的带动作用。例如,高层管理者出席企业信息安全的重要会议、听取企业信息安全的关键性汇报可以让员工感受到高管对信息安全的重视程度,从而激发和带动员工对信息安全的重视,减少员工信息安全违规行为的发生。
(2)信息安全制度化是一个过程体系,企业需要协同管理不同过程。首先,通过信息安全制度化的识别分析外部制度环境的要求,明确制度化的部署过程对企业产生的结构影响并制定对应的路线方针。即企业需要调整内部结构和行为方式以适应外部合法性要求。例如,中央网络安全和信息化领导小组的成立改变了互联网监管的权利结构[1],不少企业和组织都会建立相应的小组或部门以应对外部监管。其次,明确部署过程后,企业要寻求信息安全制度的合理外部表达,以实现与外部法律和规范支持相一致的内部制度安排。企业最常采用的是以一种外部可见的方式来展示内部制度的价值,例如发布信息安全管理规范体系来保证企业的信息安全合规经营目标与企业运营战略的一致性。最后,确保信息安全制度的内化过程顺利进行,重视“人”的行为因素。企业信息安全制度的实施受规则、信念和认知等基础要素的支持。具体而言,通过构建惩罚机制来减少员工信息安全违规的发生,通过完善激励和分享机制来促进员工的信息安全保护行为;强调共同信念和企业文化的日益客观化和秩序化在信息安全制度实施中的作用,逐渐形成员工遵守信息安全制度的习惯性方式;通过信息安全意识培训程序提高员工的信息安全意识,向员工传递遵守信息安全制度和管理策略是降低信息安全风险、维护信息资产安全的恰当方式等理念。
(3)以信息安全绩效为导向,构建可持续的企业信息安全制度和管控措施。首先,为了保护企业内部的业务信息和信息系统等资源,需要在风险分析的基础上,根据不同信息资源的重要程度实行不同的等级保护。例如,最高等级的顶层信息资源,企业需要以专门监督检查、实时监控实时处置为原则进行保护。其次,企业的信息安全制度要从单纯的防御保护,逐渐渗透到对整个业务流程的规范和优化。从2017年5月勒索病毒的爆发和传播来看,企业信息安全中被动的防御式和封堵式的管理策略已经过时,企业需要重新梳理业务流程,主动减少潜在的安全漏洞,持续提高信息安全的质量和水平。
本文的局限性主要表现在两方面:①没有在信息安全管理这一特定情境下对高管支持的维度进行划分。本文重点探讨高管支持对于信息安全制度化(识别、履行和内化)的影响,以及制度化对企业信息安全绩效的影响,导致了分析重点集中在制度化上,而没有对信息安全管理情境下的高管支持维度进行划分,这是在未来研究中需要细化的环节。②研究样本的选择限定在国内通过信息安全管理体系认证的企业,这在一定程度上造成了研究样本的数量相对较少,覆盖的行业不够广泛。未来的研究应该扩大调研样本的数量,并开展不同行业之间的对比研究,以进一步检验和完善本文的结论。
在翻译实践中,“权”就是把具体的翻译理论及策略运用到具体的翻译实践中去,使理论与实践相结合,解决翻译中遇到的具体问题。经权观指的就是不拘泥于经法,灵活应变,经权观不仅可以指导人们进行道德选择与判断,更是我们生活处事,尤其是翻译实践的不二法则。规律是普遍存在的,而规则是人为制定的用来指导具体实践的。因此,翻译时便要灵活运用规则,适应普遍规律,译出达意的译文。这是一种表面上的“反经”,实则在“行权”,合理行权,结果便是有价值的行为实践。
附表1 问卷
附表2 交叉载荷因子
附表3 控制变量检验结果
参考文献:
[1]林润辉,谢宗晓,王兴起,等.制度压力、信息安全合法化与组织绩效[J].管理世界,2016(2):112-127.
[2]Posey C,Roberts T L,Lowry P B.The impact of organizational commitment on insiders’motivation to protect organizational information assets[J].Journal of Management Information Systems,2015,32(4):179-214.
[3]Tondel I A,Line M B,Jaatun M G.Information security incident management:Current practice as reported in the literature[J].Computers&Security,2014,45(9):42-57.
[4]谢宗晓,王兴起.信息安全管理研究回顾与述评[J].图书馆论坛,2016(5):87-94.
[5]Lee C,Lee C,Kim S.Understanding information security stress:Focusing on the type of information security compliance activity[J].Computers&Security,2016,59(C):60-70.
[6]Hu Q,Dinev T,Paul H,et al.Managing employee compliance with information security policies:The critical role of top management and organization culture[J].Decision Science,2012,43(4):615-659.
[7]武德昆,官海滨,王兴起,等.高管支持对信息安全绩效的影响研究:信息安全意识的中介效应[J].中国海洋大学学报(社会科学版),2014(2):44-50.
[8]Barton K A,Tejay G,Lane M,et al.Information system security commitment:A study of external influences on senior management[J].Computers&Security,2016,59(6):9-25.
[9]Buyl T,Boone C,Hendriks W.Top management team members’decision influence and cooperative behavior:An empirical study in the information technology industry[J].British Journal of Management,2014,25(2):285-304.
[10]Shao Z,Feng Y,Hu Q.Effectiveness of top management support to enterprise system success:A contingency perspective of fit between leadership style and system lifecycle[J].European Journal of Information Systems,2016,25(2):131-153.
[11]Xue Y,Liang H,Wu L.Punishment,justice,and compliance in mandatory IT settings[J].Information Systems Research,2011,22(2):400-414.
[12]Merhi M I,Ahluwalia P.Top management can lower resistance toward information security compliance[C]//International Conference on Information Systems Fort Worth.Texas:[s.n.],2015:1-11.
[13]Posey C,Roberts T L,Lowry P B,et al.Insiders’protection of organizational information assets:Development of a system-based taxonomy and theory of diversity for protection-motivated behaviors[J].MIS Quarterly,2013,37(4):1189-1210.
[14]Puhakainen P,Siponen M.Improving employees’compliance through information systems security training:An action research study[J].MIS Quarterly,2010,34(4):757-778.
[15]Siponen M,Mahmood M A,Pahnil S.Employees’adherence to information security policies:An exploratory field study[J].Information&Management,2014,51(2):217-224.
[16]谢宗晓.信息安全合法化过程与机制研究——新制度理论视角[D].天津:南开大学,2016.
[17]Kostova T,Roth K.Adoption of an organizational practice by subsidiaries of multinational corporations:Institutional and relational effects[J].Academy of Management Journal,2002,45(1):215-233.
[18]谢宗晓,林润辉.信息安全制度化3I模型[J].中国标准导报,2016(6):30-33.
[19]Liang H,Saraf N,Hu Q,et al.Assimilation of enterprise systems:The effect of institutional pressures and the mediating role of top management[J].MIS Quarterly,2007,31(1):59-87.
[20]Mccomb S A,Kennedy D M,Green S G,et al.Project team effectiveness:The case for sufficient setup and top management involvement[J].Production Planning and Control,2008,19(4):301-311.
[21]Mithas S,Tafti A,Bardhan I,et al.Information technology and firm profitability:Mechanisms and empirical evidence[J].MIS Quarterly,2012,36(1):205-224.
[22]Mithas S,Ramasubbu N,Sambamurthy V.How information management capability influences firm performance[J].MIS Quarterly,2011,35(1):237-256.
[23]Hsu S C,Shih S P,Hung Y W,et al.The role of extra-role behaviors and social controls in information security policy effectiveness[J].Information Systems Research,2015,26(2):282-300.
[24]Johnston A C,Warkentin M,Siponen M.An enhanced fear appeal rhetorical framework:Leveraging threats to the human asset through sanction rhetoric[J].MIS Quarterly,2015,39(1):113-134.
[25]陈昊,李文立,柯育龙.组织员工信息系统安全行为研究进展[J].信息系统学报,2016(1):118-134.
[26]Cheng L,Li Y,Holm E,et al.Understanding the violation of IS security policy in organizations:An integrated model based on social control and deterrence theory[J].Computers&Security,2013,39(11):447-459.
[27]Boss S R,Galletta D F,Lowery P B,et al.What do systems users have to fear?Using fear appeals to engender threats and fear that motivate protective security behaviors[J].MIS Quarterly,2015,39(4):837-864.
[28]Ifinedo P.Information systems security policy compliance:An empirical study of the effects of socialization,influence,and cognition[J].Information&Management,2014,51(1):69-79.
[29]张大力,葛玉辉.高管团队跨界行为与企业创新绩效的关系:基于团队学习视角[J].系统管理学报,2016,25(2):236-245.
[30]Kolkowska E,Karlsson F,Hedstrom K.Towards analyzing the rationale of information securitynoncompliance:Devising a value-based compliance analysis method[J].Journal of Strategic Information Systems,2017,26(1):39-57.
[31]Kolkowska E,Dhillon G.Organizational power and information security rule compliance[J].Computers&Security,2013,33(3):3-11.
[32]Flores W R,Antonsen E,Ekstedt M.Information security knowledge sharing in organizations:Investigating the effect of behavioral information security governance and national culture[J].Computers&Security,2014,43(6):90-110.
[33]Chen Y,Zahedi F M.Individuals’internet security perceptions and behaviors:Polycontextual contrasts between the united states and china[J].MIS Quarterly,2016,40(1):205-222.
[34]Warkentin M,Willison R.Behavioral and policy issues in information systems security:The insider threat[J].European Journal of Information Systems,2009,18(2):101-105.
[35]Vance A,Siponen M,Pahnila S.Motivating IS security compliance:Insights from habit and protection motivation theory[J].Information&Management,2012,49(3-4):190-198.
[36]Hsu C,Lee J N,Straub D W.Institutional influences on information systems security innovations[J].Information Systems Research,2012,23(2):918-939.
[37]温忠麟,叶宝娟.中介效应分析:方法和模型发展[J].心理科学进展,2014,22(5):731-745.
[38]方杰,温忠麟,张敏强,等.基于结构方程模型的多重中介效应分析[J].心理科学,2014,37(3):735-741.
[39]Souitaris V,Maestro B M M.Polychronicity in top management teams:The impact on strategic decision processes and performance of new technology ventures[J].Strategic Management Journal,2009,31(6):652-678.
[40]梅强,张超,李雯,等.安全文化、安全氛围与员工安全行为关系研究—基于高危行业中小企业的实证[J].系统管理学报,2017,26(2):277-286.
[41]谢宗晓,林润辉,王兴起.用户参与对信息安全管理有效性的影响——多重中介方法[J].管理科学,2013,26(3):65-76.
Impact of Top Management Support on Information Security Performance:A Exploration into the Mediating Role of Institutionalization
ZHEN Jie1,XIE Zongxiao2,CHEN Lin3,LIN Runhui4
(1.School of Business Planning,Chongqing Technology and Business University,Chongqing 400067,China;2.Department of Information Security Service,China Financial Certification Authority,Beijing 100054,China;3.Department of Public Administration,Shandong University of Science and Technology,Qingdao 266590,Shandong,China;4.Business School,Nankai University,Tianjin 300071,China)
【Abstract】Based on the upper echelons theory and the neo-institutional theory,this paper explored the relationship between top management support,institutionalization,and information security performance.A questionnaire survey was conducted among 148 enterprises which had passed the certification of information security management system ISO/IEC 27001,and Smart PLS 3.0 and Bootstrap method of SPSS 22.0 were used for statistical analysis and mediation effect test.The results show that top management support has a positive effect on information security performance,identification,implementation,and internalization while identification and implementation have a positive effect on information security performance.In addition,top management support affects information security performance via the mediating effect of identification and implementation.The findings have important management implications for enterprises on the promotion of the process of information security institutionalization with the top management support and the improvement of information security performance via institutionalization.
Key words:top management support;institutionalization;information security performance
中图分类号:C 931
文献标志码:A
DOI:10.3969/j.issn.1005-2542.2019.05.006
文章编号:1005-2542(2019)05-0846-11
收稿日期:2017-06-06 修订日期:2017-12-12
基金项目:国家自然科学基金资助项目(71132001,71672123)
作者简介:甄 杰(1986-),男,博士,讲师。研究方向为行为信息安全。
通信作者:谢宗晓(1979-),男,博士,高级工程师。E-mail:xiezongxiao@vip.163.com
标签:信息安全论文; 高管论文; 企业论文; 绩效论文; 制度论文; 社会科学总论论文; 管理学论文; 管理技术与方法论文; 《系统管理学报》2019年第5期论文; 国家自然科学基金资助项目(71132001; 71672123)论文; 重庆工商大学商务策划学院论文; 中国金融认证中心信息安全服务部论文; 山东科技大学公共管理系论文; 南开大学商学院论文;