您好,欢迎来到360论文服务中心!设为首页 | 加入收藏

360论文服务中心

客服中心

全国咨询电话:18810141013

QQ :点击这里给我发消息 80017332

 点击这里给我发消息 634602927

手机:18810141013

邮箱:634602927@qq.com

短信:18810141013

本站介绍

360论文服务中心是最受欢迎的论文发表与论文编辑服务网站。

360论文服务中心于2000年创建,注册用户量已突破152万人,并帮助近380万人次顺利发表论文。14年来,360论文服务中心始终遵循热情快捷、安全可靠的服务宗旨,深受广大网民青睐。360论文服务中心主要设有论文发表部、论文创作部、期刊合作部、论文采编部、技术运营部和市场推广部等多个部门,是目前国内论文行业,规模最大、服务人员最多的正规网站。

创作发表说明

1. 如果您没有论文,还要评定职称,需要发表论文,请联系我们,客服人员会及时处理;

2. 教授、博士组成的论文指导团队,专业打造高品质论文;

3. 合作期刊,全国最全,与杂志社关系稳定,保证刊期。

360论文服务中心 > 论文写作 > 博士论文 >

高级管理信息安全意识有效性的影响研究

2015-04-28 22:53 字体:   打印 收藏 

    摘要:目前绝大部分的文献都致力于开发信息安全意识管理规程或人员管理规程等以提高信息安全管理的有效性,而缺乏探讨人员,尤其是高管支持如何影响信息安全管理的有效性研究。重新界定了高管支持的内涵,以信息安全管理体系(lS0/1EC27000标准族)为背景,研究了高管支持对信息安全管理有效性的影响,实证结果表明:高管信念和高管参与对信息安全管理有效性有着显著的正向作用;高管信念和高管参与通过信息安全意识对信息安全管理有效性有显著的正向作用,高管信念通过高管参与和信息安全意识的多重中介对信息安全管理有效性产生正向影响。
  关键词:高管支持;安全意识;信息安全   
一、引言
  随着信息化程度的不断提高,信息安全的重要性得到了前所未有的重视。然而目前重技术轻管理的思路并没有实质性的改变信息安全管理(Information security management, ISM)的有效性。以2013年6月的“棱镜门事件”为例,美国情报机构就窃取了电子邮件,即时消息、语音聊天、文件传输、视频会议和社交网络资料等信息,而这些泄密事件完全可以通过有效的管理得以避免,例如通过加强涉密载体的保密资质审查防止硬件安全漏洞,通过提高涉密人员的信息安全意识、规范涉密人员安全操作流程等防止日常操作所导致的安全事件,通过定期的安全检查、风险评估、安全加固等手段降低涉密系统潜在的安全风险等。据《2010/2011计算机犯罪与安全调查》(Computer Crime and Security Sur-vey)报告:尽管受访组织杀毒软件和防火墙的使用率分别达到97%和94. 900,但仍有41. 1%的受访组织经历过信息安全事件,其中内部用户滥用网络或邮件造成的信息安全事件高达24.8000
  事实上,信息安全管理是一项系统性工程,在实践中,以信息技术部门为主,涉及到组织中的所有部门,与每一个员工都息息相关,Ci〕但只有作为对信息安全的相关活动负有战略决策及活动导向责任的高层管理者才有能力协调各部门关系,决定新技术的引进、管理制度的建立与实施和对实施情况进行监督。因此,高层管理支持(以下简称“高管支持”)对组织信息安全管理的有效性起着不可或缺的作用。
  本文以信息安全管理体系(Information Security Management System, ISMS,以下同)为背景,研究高管支持在信息安全管理中的作用。ISO/IEC27000标准族中对ISMS给出了专门的定义,按照该定义满足条件的标准有很多。叫在实际应用中,由于我国企业在信息安全管理体系的选择上也是以ISO/IEC27000标准族为主,因此一般认为ISMS与ISO/IEC27000标准族是同义的。据统计,截至2012年12月,共有1169家中国企业通过信息安全认证。基于理论和实践上的考量,本研究中也沿用这个惯例,并从通过验证的1169家企业中选取300家作为样本进行实证研究。
  二、高管支持及相关文献综述和研究假设
  (一)高管支持的涵义
  高管支持在信息系统中的研究比较早,这些研究涵盖了不同类型的信息系统,跨越了信息系统开发、采纳、实施各阶段,并发现了高管支持对信息系统的正而作用。川尽管相关的研究众多,但学界对高管支持的定义并不统一。综合己有高管支持的定义,可以将高管支持定义分为四类:(1)要素观。研究者通过描述其包含的要素界定高管支持,Jarvenpaa. S. L, Ives.  B提出高管支持包括高层参与(Executives participation)和高层心理投入(executives involvement)两个要素。}'' } ( 2)绩效观。高管支持即高管对信息系统正向影响组织绩效的程度。(3)支持观。即高管支持能够为信息系统提供资源支持和良好的制度环境,Uuimaraes. T. Igbaria.   M定义高管支持为“高层管理鼓励和分配资源”。川(4)管理观。认为高管支持确保信息系统和业务流程结合,并改变管理以迎合信息系统的特色。定义的多样性也导致对高管支持的行为主体即高管本身组成的不确定性,有研究者认为高管指CEO和业务经理户)也有指CEO和IT经理,川还有研究者认为信息系统中的高管包含CEO } CIO } COO,以及其他高层业务领导。困
  最近的研究者从高管支持主体的角度出发,结合高管支持在信息系统中的作用,认为信息系统情境下的高管是指那些专门针对信息系统事务相关的高管,是组织中高管的子集。[z .s la〕与信息系统情境下类似,在信息安全管理情境下,本研究中定义的高管是指为保证信息安全的相关活动负有战略决策及活动导向责任的群体。企业信息安全管理体系贯彻实施中将领导责任明确为“信息安全领导小组”的责任,即不但包括公司负责人、分管信息安全的公司副职,还包括公司所有的业务主管领导,尤其是财务、人力资源等部门的主要负责人。因此,本研究将高管支持描述为:信息安全领导小组成员基于对信息安全重要性的认识,向公司其他成员展现出的对信息安全的态度和倾向性以及参与信息安全实践行为的总和。进一步细分,高管支持体现在两个层而,即认知支持和行为支持。
  Liang H. Sarafetal的研究使用高管信念(TMB)和高管参与(TMP),并提出外部环境首先影响高管的信念结构,其次高管信念结构引导高管的行为。本研究界定的高管支持体现在两个方而,即包括高管信念和高管参与。在信息安全管理背景下,高管信念指高管团队对信息安全管理活动潜能的主观心理状态,例如高管团队对信息安全的理解程度以及信息安全对组织重要性的认识;高管参与指推动信息安全管理活动融入公司日常行为的所有行动,基于己有文献提出如下假设:
  H1:在信息安全管理活动中,高管信念对高管参与有着显著的正向影响。
  (二)信息安全意识
  在心理学上,意识是个体以其感官系统,对外来刺激的一种主观的解释与反应,已受个体及以往经验与社会普遍标准的影响。个体在而对相同的外来刺激会产生不同的个体反应,信息安全风险也不例外。美国国家标准与技术研究院(NIST)最早认识到信息安全意识的重要性,认为信息安全意识是使个体对威胁与脆弱性感到敏感,并能够识别出所需保护的资料、信息与处理的过程。经合组织(DECD)在《信息系统与网络安全准则》修订本中提到员工的意识并赋予以下的涵义:信息安全意识即所有的信息系统的参与者均应意识到信息系统与网络安全的必要性。NIST对信息安全意识做了更为具体的定义:‘已使得个体明白信息安全的重要性,并据此做出回应,其目的是要求在日常工作时集中关注信息安全,且必须包含组织内的所有使用者。ISF将信息安全意识定义为组织内所有的员工理解信息安全的重要性,清楚组织所适用的安全级别,知悉并履行个人的安全职责。}lj} UB/T22080-2008 /ISO/IEC27001:2005在正文中(5. 2. 2 , pp. 9)和附录A中(A. 8. 2. 2 , pp. 16 )分别提出了建立信息安全意识规程的要求。其他常见的信息安全管理标准也有相同的条文,例如,UB/T22239-2008中的“安全意识教育和培训”。
  个体行为习惯的彻底改变需要做到知行合一,即认知和行为的统一,信息安全意识的提升能够改变员工不良的行为习惯,从而降低信息安全事故发生率,提升组织的绩效,例如可以提高公司的利润率、股票收益率等。在最近的研究中,Spears J.验证了用户参与对信息安全意识在信息安全风险管理中的作用。Puhakainen. P.M. Siponen通过行动研究(Action Research)探讨了信息安全培训培训规程对员工信息安全意识直至员工安全策略遵守(Policy Compliance)的正向影响作用产'} Karjalainen. M. M. Siponen不但进行了实证研究,而且用元理论(Meta-Theory)试图找出信息安全意识培训的本质。这些研究一个隐含的前提都是信息安全意识对信息安全管理有效性有促进作用。
  此外,微软公司在帮助客户建立信息安全方案的公开文档中也明确提出:建立信息安全意识培训方案的主要目标是:通过强化大家认可的、与公司业务有关的安全活动,从而改变全体员工的行为。Kruger. H. A乙Kearney. W. D指出安全控制的应用效果依赖于积极的安全环境,其中包括每个人都理解并执行组织内的程序和规程,具有较高的信息安全意识。Bulgurcu. B, Cavusoglu. H  Benba-sat. I探讨了员工信息安全意识对信息安全策略遵守的正向影响, 谢宗晓等的研究结论则验证了员工信息安全意识对信息安全管理有效性有显著正向影响,并在用户参与和信息安全管理有效性之间的关系中具有中介作用。
  基于以上认识与文献研究,提出下列假设:
  H6:在信息安全的情境下,员工信息安全意识对信息安全管理有效性有显著正向影响。
  (三)高管支持对信息安全管理的影响
  Teo. T. S. H, Ang. J. S. K研究发现,“不能获得高管支持”是许多组织在信息系统规划、开发及使用上难以实施的重要原因,研究者通常认为高管支持的不足是信息系统成功的最大障碍。信息安全管理也不例外。口月在信息系统的实施过程中,高管支持能够帮助清除组织中不同利益群体的阻力;提供实施全过程中必须的资源,激发员工使用信息系统的积极性。信息安全管理的实施需要促使员工遵守公司规章制度,改变员工的操作习惯,保证安全控制的实施,增加信息安全风险保护软件的使用。
  因此,从某种程度上讲,信息安全管理的实施会增加员工的负担,相比于信息系统的实施,信息安全管理的实施更有可能遇到组织内部各部门,各相关利益群体的抵制,因此也更需要高管的支持和协调。另外,为保证信息安全系统的实施,信息安全管理组织架构要求采用决策、实施和监督的三权分离原则。例如《商业银行信息科技风险管理指引》要求商业银行在决策层设立首席信息官,形成信息科技部门、风险管理部门、审计部门三权分立的制衡格局,公司治理结构中的风险管理委员会和审计委员会处于组织高层,显然协调三者之间的关系也需要公司高管团队的支持。
  在信息安全情境下,高管信念包括对企业信息安全管理重要性的看法,信息安全方而的远景规划,对信息安全管理成本的基本判断以及信息安全管理相关知识的初步了解。基于信念,企业高管会向其他管理者传递信息安全重要性的强有力信息,然后将这种信息传递到公司员工当中,从而影响公司员工的信息安全意识,最终影响信息安全管理的有效}h}。基于以上分析提出以下假设:
  H2:在信息安全情境下,高管信念对员工的信息安全意识有着显著的正向作用。
  H4:在信息安全情境下,高管信念对信息安全管理有效性有着显著的正向作用。
  H7:在信息安全情境下,高管信念通过信息安全意识对信息安全管理有效性产生显著的正向作用。
  在信息安全的环境下,高管参与支持包括高层管理参与到信息安全制度文件的制定中,从自身角度出发,会更关注组织使命,从而使以信息安全方针为基础的安全控制与业务流程更加紧密的结合;高层管理者参与到组织的内部审核活动中,会提高安全控制的实施绩效;高层管理为信息安全提供更多的资源,为员工提供更多的信息安全技能和信息安全意识培训,都能够提高员工的信息安全意识,进而对信息安全管理的有效性产生影响。基于以上分析,我们提出如下假设:
  H3:在信息安全情境下,高管参与对员工的信息安全意识有着显著的正向影响。
  H5:在信息安全情境下,高管参与对信息安全管理有效性有着显著的正向影响。
  H8:在信息安全情境下,高管参与通过信息安全意识对信息安全管理有效性产生显著正向影响。
  三、模型建构、变量测量及数据处理
  (一)研究模型的确定
  根据前文所提出的H1-H9的假设,我们构建了高管支持影响信息安全有效性的多重中介模型,模型包括高管参与、高管信念、信息安全意识和信息安全管理有效性四个潜变量。
(二)研究变量与测量高管支持问卷修改采用Liang. H et成果,问卷共6个题目,采用李克特5点al的研究量表,分为从非常同意到非常不同意共五级。信息安全意识问卷修改自Spears. J.  L  Barki. H的信息安全意识问卷,该问卷包括个人安全意识与对信息资产保护的责任感两个方面。信息安全管理有效性测量量表采用谢宗晓等和Chang S. E.,Lin Chin-shim的问卷。该量表共有13项,其中有5项测量保密性,5项测量完整性,3项测量可用性。问卷己经被证实有着较好的内容效度和结构效度。
  (三)样本选择与数据处理
  本研究的样本是从国内通过信息安全认证的1169家公司(截至2012年12月)随机发放问卷300份,并以邮寄的方式回收问卷。共收回问卷246份,剔除问题填写不完整的问卷31份,最终纳入数据分析的问卷共215份,问卷的有效率8700。问卷包括男性131人,占60. 9 0 o;女性84人,占39. 100。其中:具有博士学历者10人,占4. 700;硕士学历44人,占20.500;本科学历137人,占63. 7 0 o;本科以下学历24人,占11. 2 0o。在安全部门工作的有48人,占22.30o ;IT部门的有104人,占48. 4 0 o;业务部门的人员有45人,占20. 9 0 o;其他部门的有18人,占8.400;公司高管有11人,占5.100;中层管理的有58人,占27. 000;基层管理的有96人,占44. 7 0 o;普通员工有50人,占23.3000
  (四)问卷数据有效性分析
  根据回收问卷进行了数据整理分析,使用SPSS18. 0对4个变量的信度和效度进行检验。高管信念、高管参与、信息安全意识及信息安全管理有效性4个潜变量的信度(Cronbach`s 6)分别为0.760,0. 728 } 0. 865 } 0. 899,信度较高,在可接受范围内。在问卷的效度方而,Mithas, Ramasubbu等认为贴近实践,且经过长期的实践检验,加上有权威来源的测量(例如国际标准)能够保证测量的内容效度[zs〕结构效度方而采用潜变量之间的相关系数来评价,如果相关系数显著,说明理论模型成立,结构效度较好,SPSS18. U分析结果(见表1)表明四个潜变量之间相关系数显著,结构效度良好。
  四、实证结果分析
  数据分析显示研究样本中各变量的信度、效度均达到可接受的水平,表明问卷所收集整理的各变量的数据具备进一步分析的基础。从图1可以看出本研究模型为复式多重中介模型}zs},模型中既有链式中介模型,即高管信念通过高管参与和信息安全意识两个连续中介变量影响信息安全管理的有效}h};又有并行多重中介模型,即高管信念和高管参与分别通过和信息安全意识影响信息安全管理的有效}h}。方杰、张敏强、邱皓政认为,中介模型的分析宜采用偏差校正的百分位法(Bootstrapping)直接对中介效应进行显著性检验来判断中介效应的有无,且Bootstrapping不需要样本正态性、独立性与大样本的基本假设,也可以估计任何统计量的标准误差,检验中介效应更为有效。}z}〕因此本研究运用结构方程模型(SEM)来分析这些变量间的相互影响关系。统计分析工具使用AM()516. U,且采用其Boot-strapping功能。
  (一)整体理论模型的检验
  评价假设的路径分析模型图与搜集的数据是否相互适配,即研究的假设是否符合实际数据的现况的指标称之为拟合度指标(Uoodnessoffit indices)有关模型拟合度的评价有许多不同的主张,温忠麟提出以绝对指标、相对指标,以及调整指标评价整体模型的拟合情况。评价模型的具体的统计检验量以及拟合的临界值与本研究的理论模型的统计检验值如表2所示。
 
  从表2可知,作为评价模型拟合程度有非常重要作用的X 值的显著性水平没有达到一般意义上的要求(即pG 0. 05) 。温忠麟等指出会随样本信息安全意识有着显著的正向作用C/3a =0. 552,pG量的增大而不断增大,容易导致任何模型都会被拒0. 05);高管参与支持对信息安全意识有着显著的正绝,数据模拟准则比较研究发现随着样本量的增向作用(Rj -o. 725,}GO. ool;高管信念支持对加而减少,在样本量为200时,显著性水平为0.   ISMS有效性有着显著的正向作用(户=0.302,pG001,本研究中的样本量为215 , p = 0. 02,高于显著0. 05;高管参与支持对ISMS有效性有着显著的性水平0. 001,符合其验证标准。其他的指标中除正向作用((3} -0. 521,pG0. 05);信息安全意识对了RMR值接近显著性水平之外,其他的拟合统计ISMS有效性有着显著的正向作用((3}=0.309,pG检验值都超过了临界值的水平,因此本研究提出的0. 001);高管信念和高管支持分别通过信息安全意理论模型是合适的,可以用来检验提出的假设。识显著的影响着信息安全意识。
  (二)研究假设的检验O1;(3g=0.224,pG0.05,信息安全意识的中介作
  理论模型的路径系数与假设检验结果如表3所用明显。另外,高管信念通过高管参与支持和信息示,数据分析结果表明,研究提出的假设均得到支安全意识(/3‑=0.545,pG0.05)影响信息安全有效持。其中高管信念支持对高管参与支持有着显著的性,高管参与和员工信息安全意识起到了联合中介正向作用切=0. 752,pG0.001);高管信念支持对作用。
表3理论模型的路径系数与假设检验假设变量之间的关系路径系数高管参与一高管信念信息安全意识一高管信念信息安全意识一高管参与信息安全管理有效性一高管信念信息安全管理有效性一高管参与信息安全管理有效性一信息安全意识信息安全管理有效性一高管信念通过信息安全意识信息安全管理有效性一高管参与通过信息安全意识信息安全管理有效性一高管信念通过高管参与、信息安全意识0.752P值
  五、研究结论与讨论
  (一)研究结论
  研究发现,高管支持对信息安全管理的有效性有着非常显著的正向作用。本研究中高管信念支持成为影响信息安全管理有效性的逻辑起点,它既能直接影响信息安全管理有效性,又能通过影响高管参与支持和员工信息安全意识影响信息安全管理有效性。
  作为高管支持行为的两个维度,首先,高管信念对高管参与行为有着显著的正向作用。这与在信息系统中的研究结果较为一致。高管通过对信息安全外部环境的认知会形成自己独特的“信念结构”,这种信念结构会投射到高管的日常管理行为中,所以高管对于信息安全管理相关知识的理解、信息安全管理对于组织的价值和对组织遭受安全风险的认知程度都会影响高管参与信息安全管理的行为。高管信念对信息安全意识有着显著的正向作用,基于信念,高管通过与下属的知识共享,最终会将自己的信息安全的理念传递给组织的员工,向每一个员工传递出信息安全的重要性信号以及对信息安全的支持态度,进而提高员工的信息安全意识。
  在信息安全情境下,这种信念会反映到组织的愿景中,为组织设定未来的发展目标和方向,甚至贯穿于组织文化中,从而达到激励员工并提高士气,对推动信息安全管理的技术和措施的采纳,吸收和融合发挥直接的作用,最终提高组织信息安全管理的有效性。反之,如果高管团队缺乏对信息安全的理解,就无法评估信息安全的应用价值,最终会导致阻碍必要信息安全管理技术的引进和相关管理制度的建立。
  其次,高管参与包括了操作层而和非操作层而的参与,作为下属会敏锐地感觉到高管对信息安全管理以及自己工作的一种态度或倾向性,从而提高员工的信息安全意识。高管参与信息安全更多地强调高管对于信息安全相关活动支持的行为或行动,贯穿于信息安全的规划、实施和检查的全过程中。高管必须提供物质资源和管理资源的支持以保障活动的顺利开展,最终影响信息安全的有效性。毫无疑问,高管对组织业务的了解最为全而,高管参与到信息安全管理的流程中,能够协助相关人员制定与公司业务最为匹配的信息安全管理规划,协调组织各个部门的利益关系推动信息安全管理的实施,以及调配相应的资源为信息安全管理的检查和持续改进提供保证,最终促进信息安全管理有效性的提升。
  最后,信息安全意识对信息安全有效性有着显著的正向作用,这与己有的信息安全标准中的要求较为一致。提高员工信息安全意识是各种信息安全管理体系标准中的共同要求,虽然在标准中提到的是“适当的意识培训和组织方针及程序的定期更新培训”,但培训的最终目的,无非就是从实质上提高企业全体工作人员的信息安全意识。信息安全意识是一种戒备和警觉的心理状态,这种心理状态以员工的外显行为表现出来,较高的信息安全意识会表现出严谨的工作习惯,从而影响信息安全管理的有效性。
  (二)理论贡献与管理启示
  虽然高管支持在信息系统管理中的研究比较丰富,但目前少有研究者关注高管支持对信息安全管理有效性的影响。信息系统是为了支持决策和组织控制而收集、处理、存贮、分配信息的一组相互关联的软件和硬件的组合,更多地受到技术因素的影响。而信息安全管理既包括信息系统使用的安全防护,还包括其他信息的安全保护,除了技术因素之外,管理制度的实施更为重要。本研究采用实证的方法,探讨了高管支持影响信息安全管理有效性的路径,在理论上拓展了高管支持影响的理论研究范围,为高管支持在知识管理中的深入探索提供了一个新的视角。
  本研究的实证结果也为组织实施信息安全管理也提供了决策依据。
  首先,高管信念是发动信息安全管理的源动力,因此高管须首先认识到信息安全管理对组织的重要意义,例如高管团队需要意识到信息安全管理对业务连续性的保障作用,对企业形象维护和提升的重要作用,对企业绩效提升的促进作用。高管信念转变的关键是制度法规的压力以及同行业务联系单位的影响,因此信息安全制度法规的建立和贯彻实施及与同行业务联系单位的密切沟通是转变高管信念的主要途径。
  其次,可以动员高管参与到信息安全管理中去,发挥其象征性职能作用。例如高管列席组织层而相关委员会的活动,出席一些具有里程碑意义的汇报会议,听取关键性汇报,明确阐释组织信息安全管理的目标和方向,建立横向信息化项目成功的目标和标准,在信息安全管理资源分配方而投入更多精力,确保信息化投入足够到位等。
  最后,信息安全管理是包括技术、流程、组织及人员的三维立体金字塔结构,忽视任何一方而都会影响信息安全管理的有效性。无论多么先进的技术,严谨的流程设计最终实施的主体一定是组织员工,因此企业须关注员工信息安全意识的提升,定期组织信息安全意识培训,组织信息安全经验交流会,制定公平合理的信息安全管理奖惩条例,加强信息安全职能部门与其他部门的沟通,将信息安全意识培训纳入公司常规培训,进而保证信息安全管理措施能够落实到企业的每一个员工和岗位。





本文是由代写博士论文网www.360xiezuo.com提供,因牵涉版权问题,转载请保留链接!

联系我们

全国免费热线:400-086-0807
咨询QQ:634602927
投稿邮箱:634602927@qq.com