高管支持对信息安全绩效的影响-探讨制度化过程的中介效应论文

高管支持对信息安全绩效的影响
——探讨制度化过程的中介效应

甄 杰1,谢宗晓2 ,陈 琳3,林润辉4

(1.重庆工商大学 商务策划学院,重庆 400067;2.中国金融认证中心 信息安全服务部,北京100054;3.山东科技大学 公共管理系,山东 青岛266590;4.南开大学 商学院,天津 300071)

【摘要】 基于高阶理论和新制度理论探讨了高管支持、制度化过程(包括识别、履行和内化3个维度)与信息安全绩效之间的关系。以国内通过信息安全管理体系认证(ISO/IEC 27001)的148家企业为调研对象开展问卷调查,采用Smart PLS 3.0和SPSS 22.0的Process插件进行统计分析和中介效应检验。结果表明,高管支持对信息安全绩效以及制度化过程的识别、履行和内化具有显著正向影响;识别和履行对信息安全绩效具有显著正向影响,并且在高管支持与信息安全绩效关系中具有多重中介效应。研究结论对企业如何借助高管支持来推动信息安全制度化过程,进而提高企业信息安全绩效有着重要管理启示。

关键词: 高管支持;制度化;信息安全绩效

随着2014年2月“中央网络安全和信息化领导小组”的成立以及2017年6月《中华人民共和国网络安全法》的发布,信息安全在国家层面得到前所未有的重视。在组织研究领域和企业实践中,信息技术/信息系统的应用对企业发展的促进作用已经持续得到证明,信息已然成为关键资产,关乎企业的生存和发展。然而,层出不穷的信息安全事件引起了公众和社会各界对于信息安全的关注和担忧,企业如何应对信息安全风险也成为近几年管理信息系统领域的研究热点。

企业信息安全问题的解决,“三分靠技术、七分靠管理”,因此,企业防范信息安全风险的方式有两种:部署安全类IT系统和构建科学合理的信息安全制度[1-3]。然而,长期以来,信息安全业界存在着“重技术,轻管理”的错误认知,这就导致很多企业尽管为了保护信息资源的安全投入了大量人力、物力和财力,但是企业信息安全管理现状却不容乐观[4]。由此可见,单纯通过技术手段获得的信息安全是有限的,缺乏相应管理策略和制度保障的技术部署甚至是无效的。

制度化企业内部的信息安全管理措施无疑是管理和规范员工信息安全行为的有效策略和理想选择,但是企业信息安全管理是一项复杂的系统工程,它需要以信息安全部门的职能为主,同时涉及企业的多个相关职能部门,而具体信息安全管理策略的执行又与每个员工密切相关[5-7]。只有作为对企业信息安全负有战略决策的高层管理者才有能力协调不同部门之间的关系,进而决定信息技术的引进、信息系统的部署以及信息安全制度的推进[7]。因此,高层管理支持(简称“高管支持”)对信息安全制度化以及企业的信息安全绩效具有重要影响。然而,已有研究对企业信息安全管理情境下高管支持、制度化与信息安全绩效关系的探讨还远远不够。

本文以国内通过信息安全管理体系认证的企业为调研对象,探讨了高管支持、制度化与信息安全绩效之间的关系,并重点分析信息安全制度化的中介效应,以明确由高管支持推动的信息安全制度化对企业信息安全绩效有何影响。本文的理论贡献体现在3个方面:

自然质量分的运算前提是“立地条件”、“土壤环境”以及“土壤管理效果”等,这是耕地质量级别评价的最重要部分,而参数的筛选是否科学将在一定程度上影响最后的评估结构。在自然质量分运算要素中,剖面结构和土层厚度均占有很高权重,这类指标可以在一定程度上体现土地质量的好坏,但是,却难以灵活体现耕地质量的改变。土层厚度和土壤剖面结构是长时间地质过程和耕种环境下产生,是比较稳定的,针对耕地土壤来说,农产品根系生长重点在耕作层,大概0-20厘米,大量开挖1.5-2米深的土壤结构不一定有更大的科学作用与参考价值,同时还会耗损大量人力与物力,大幅度加大工作难度。

一方面,为了明确企业信息安全制度的外部环境要求,识别过程中需要明确外部监管的法律、法规和技术标准的不同要求,这就需要企业不同部门之间的合作。而只有高层管理者才能有效协调不同部门之间的资源,保证识别过程的顺利实现。另一方面,高管支持会向企业的所有员工传递信息安全非常重要这一信息,促进企业的所有员工明确信息安全的基本要求,并根据各自的日常工作对企业部署信息安全的环境进行总结和反馈。以此为基础,促进了员工对企业所面临的不同类别的信息安全风险进行评估,以明确企业内部的信息安全管理需求。基于此,提出假设:

(2)分析了制度化的识别、履行和内化3个维度对企业信息安全绩效的影响。这对于企业如何实现基于制度规则的信息安全管理,进而实现对包含硬件、软件和人员的整个企业信息系统的有效约束具有理论意义,同时丰富了新制度理论的制度过程和制度影响的理论内涵。

除此之外,学校与旅游相关企业、单位和部门之间应该建立密切的合作关系,深化校企合作领域和模式改革,从企业获取更多的学生培养方面的帮助和建议,为学生争取到更多的实习机会。与此同时,职业院校也可以委托旅游相关企业、单位或部门培养对其建设发展给予更专业更精炼的就业理论指导教师。在理论和技术的融合策略中,显著提升学生就业能力培养的实效性。

本文的理论基础是高阶理论和新制度理论。其中,高阶理论主要用来说明高层管理团队的认知、价值观和经验对企业信息安全制度化过程及其绩效的影响;新制度理论主要解释制度化的过程划分以及对企业信息安全绩效的影响。

1 理论基础与研究假设

(3)突出了企业信息安全管理中行为因素的重要性。基于组织管理的视角,由高管支持所推动的信息安全制度化入手,强调了高层管理者对员工信息安全行为的示范作用,以及员工对制度内容理解的重要性,这对于如何从行为管理视角优化企业的信息安全管理业务流程具有理论参考价值。

1.1 高阶理论

高阶理论的基本理念是企业高层管理者会根据面临的特定情境做出高度个性化的诠释和选择,并且决定企业的战略、影响他人的行动[8]。最初的高阶理论有3个主要论点:①高层管理者基于个人想法、经验和价值观采取行动;②整个企业高层管理团队的特性比CEO的个体特性能更好地预测企业成果;③人口统计变量可以作为高层管理者认知和价值观的代理变量。

高管支持对企业信息系统的影响体现在决定相关预算和资源配置[9]以及排除企业内部推动信息系统采纳和实施的阻力[10-13]两方面。在信息安全研究方面,Puhakainen等[14]采用行动研究方法分析员工的信息安全策略遵守行为,发现CEO在推动信息安全策略(ISP)上的消极表现,是员工忽视ISP的主要原因之一。一旦CEO转变信息安全态度,同时积极推动和遵守企业的ISP,员工将会提高参与信息安全管理的积极性。Siponen等[15]将与高管支持相关的企业文化划分为4个维度(协作、创新、一致性和有效性),并分析了不同维度对信息安全管理的影响,证明了高层管理团队观念的一致性对信息安全管理有积极影响。

本文认为信息安全管理情境下的高管支持是指企业的信息安全领导小组成员(包括:CEO、信息安全主管、IT经理和安全相关业务经理)重视信息安全管理工作,为了实现企业信息安全管理的目标,向企业员工展现的遵守信息安全管理策略以及积极参与信息安全管理各项活动的态度和倾向性[7]

1.2 新制度理论和制度化

组织分析的新制度理论侧重研究企业如何通过制度安排来获取外部合法性,为何企业在追求合法性的过程中出现趋同现象。在制度趋同分析中往往涉及制度化,它是指组织适应外部环境的制度安排过程。制度化是一个拥有广泛含义的概念,无论是宏观层次的“体制化”,还是微观层次的“合法化”,都可以纳入制度化的概念范畴。在本文研究情境下,制度化是指微观层次的规范的构建。此时的制度化需要具有合法化的功能,即企业的制度安排应该具有基于社会认可的逻辑。因此,企业内部的规范和制度安排需要适应其生存和发展所依赖的外部制度环境,在该情况下企业内部制度构建/转变的过程不仅仅是为了追求效益和效率,而是为了使企业获得外部社会规范认可的合法性[1,16]

Kostova等[17]根据企业需要解决的内部和外部合法性提出了制度化的两个过程——履行和内化,而该研究是目前有关制度化大样本实证研究的典范。然而,履行和内化并没有完全覆盖企业制度化的所有过程,尤其是在信息安全管理下需要明确企业制度化的路线,并据此确定信息安全部署的环境。有鉴于此,林润辉等[1]根据企业信息安全研究的实际需要,补充提出了制度化过程中的识别,进而确立了信息安全制度化的识别、履行和内化3个过程。具体而言,识别是指企业根据外部环境,分析、选择和制定信息安全制度化的总体方针和路线,在此基础上明确信息安全部署的全过程;履行是指企业对于信息安全制度的外部表达,例如公布信息安全管理策略相关的文件等;内化是指企业信息安全制度的实施和执行,直接决定信息安全制度化的效果[18]

1.3 研究假设

实际上,企业信息安全管理的多项活动离不开高层管理的支持。例如,企业信息安全管理的规划、信息安全风险的评估以及信息技术/系统的采纳都在一定程度上需要高层管理的支持[19-20]。之所以高管支持发挥如此重要的作用,是因为高层管理者可以在企业管理中展现他们高度的承诺、参与、兴趣、信念和决心等重要特质,进而对企业中相关部门和员工的信息安全认知和行为产生重要影响。即高管团队可以通过财力和技术资源的分配/组合,来确保企业信息安全管理各项活动的开展和信息安全绩效的发挥。基于此,提出假设:

H1 高管支持对信息安全绩效有显著正向影响。

具体要求:各个组之间的对比在于移动过程中球不能够落地,而并不对比各组使用的时间。当学生完成之后,让其总结最终顺利完成的主要原因。

借鉴管理信息系统相关研究对组织绩效的分析[21-22],本文在企业信息安全管理情境下补充了“信息安全管理质量(包括保密性、完整性和可用性)”的测量题项,因此,本文中的信息安全绩效包括IT运维效率、经济效益、竞争优势和信息安全管理有效性4个方面。识别是企业信息安全制度的第1步,它聚集信息安全制度的整体路线方针的制定[18]。例如,国内企业在决策信息安全管理具体实践时,往往面临着两种不同的方式:建设信息安全管理体系和开展信息安全等级保护。两种不同的信息安全管理实践,没有明确的优劣之分。然而,无论企业选择哪一种具体的实践形式,都要依据自身所面临的内外部环境因素,进行信息安全评估,进而明确企业信息安全管理的外部环境要求和内部需求,这对于提升企业的信息安全绩效以及确保整个信息安全管理解决方案的成功都至关重要[23]。因此,提出假设:

H2 识别对信息安全绩效有显著正向影响。

履行是企业对自身信息安全制度的外部表达,是为了实现制度的内外一致性,其标志是发布信息安全管理的规范或文件[18]。在企业信息安全管理实践中,部署信息安全管理策略或获取信息安全管理体系认证的组织主要包括3类:为了满足监管或客户的要求;响应各种协会的组织、宣传或获取补贴;出于企业组织自发的安全需求[1,24]。上述3类组织的不同诉求,最终都需要向企业外部传达其合法性的制度化信息(例如发布制度化的规范文件等),以寻求增加企业发展的商业机会,进而产生直接或间接的经济效益。基于此,提出假设:

H3 履行对信息安全绩效有显著正向影响。

内化是企业对信息安全制度的实施和执行[18],其作用是保证整个信息安全制度的规范和操作流程付诸实施,这就在很大程度上降低了企业信息安全系统的脆弱性,减少了由于内外部不确定因素所导致的潜在业务中断和企业遭受信息安全风险的可能性。尤其是信息安全管理的研究已经表明,内部员工的信息安全违规行为已经成为企业信息安全风险的主要原因[25-26]。因此,信息安全制度中所涵盖的各项业务流程操作规范的落实,可以有效防范和控制信息安全风险[27-28]。基于此,提出假设:

H4 内化对信息安全绩效有显著正向影响。

1.1 研究对象 选取2015年1—8月在北京友谊医院内分泌科住院的166例2型糖尿病患者,其中男性100例,女性66例。2型糖尿病患者通常合并有肥胖、血脂异常、高血压等代谢综合征危险指征的疾病,故而同时选取同时期在北京友谊医院其他内科病房住院的510例非2型糖尿病,但具有上述疾病的患者作为对照。

为了推动企业的信息安全制度化进程,除了某些决策性职能外,高管团队需要发挥具有象征性意义的职能[29]。例如,高层管理团队出席企业内部的关键信息安全管理活动,这就向其他部门或员工传递出“信息安全管理被高度重视”的信息,进而对推动信息安全制度产生积极影响。除此之外,高管参与或支持诸如此类的信息安全管理工作,不仅发挥了对企业信息安全管理的监视,而且发挥了对企业相关业务单元和工作的导向作用,激发了内部员工参与信息安全管理的积极性,确保了企业员工对于信息安全管理策略的遵守[30-31]

(1)拓展了高阶理论的理论解释范畴。已有研究较少涉及高管支持对企业信息安全管理活动的影响,本文基于高阶理论探讨了高管支持对企业制度化与信息安全绩效的影响过程,验证了高阶理论在信息安全管理领域的理论解释力。

H5 高管支持对识别有显著正向影响。

H6 识别在高管支持与信息安全绩效的关系中具有中介作用。

在企业信息安全管理中,高管支持同样能够推动企业各部门对于信息安全各类规范性文件的出台或发布,监管企业内部员工的日常工作中对各类信息安全规范的落实[32]。即高管参与到信息安全制度规范或文件的制定中,能够实现以信息安全制度为基础的安全控制与部门业务流程的结合,强化企业整体信息安全制度的外部表达,使得企业信息安全管理活动有对应的制度规范可以遵守[33-34]。基于此,提出假设:

H7 高管支持对履行有显著正向影响。

H8 履行在高管支持与信息安全绩效的关系中具有中介作用。

可陈留仍然开不了口。他低着头,用鸭舌帽遮住了自己的整张脸。他犹豫着,又犹豫着,话在他的舌头上打着漩涡,可他不敢、不肯轻易地吐出口去。陈留喜欢易非,可他不能理解她的软弱,也不能承受她身后背负的那个巨大的包袱,那是一家人,是祖孙三代的一家人,他害怕责任,害怕重负。

企业的高层管理团队对于信息安全的重视,能够构建一种信息安全管理的良好氛围,促使员工按照信息安全制度的要求进行规范化操作,构建企业全员参与信息安全管理的良好格局,进而减少内部的信息安全风险事件[35]。在企业信息安全管理中,可能出现的情况是:尽管员工遵守信息安全制度不能直接为企业带来经济收益,但是企业一旦发生了由员工信息安全违规行为所引发的信息安全风险便会给企业造成巨大的风险和损失。基于此,提出假设:

H9 高管支持对内化有显著正向影响。

本文在对量表的信度和效度检验的过程中,使用了Smart PLS 3.0的统计工具,主要采用组合信度(CR )和项目载荷来评价研究量表的信度;用各变量的AVE平均提炼方差值是否超过0.5,以及是否大于所考察变量与其他变量的相关系数来检验区分效度。测量量表不同指标的结果如表3、4所示。

所对应的Z 检验结果为3.525,偏差矫正与增进95%Bootstrap置信区间为{0.058,0.353},置信区间不包括0。该结果表明,模型中总的间接效应是显著的。

图1 研究模型

2 研究样本与变量设计

2.1 样本选取与数据收集

本文采用问卷调查来收集数据,调查问卷分为A、B两个部分,问卷调研起止时间为2012-12-03~2013-05-10。其中,问卷A的调研对象是国内通过GB/T 22080-2008/ISO/IEC 27001:2005资格认证企业中的管理者,受访者根据企业实际运营和管理过程中信息安全制度的实施情况回答问卷A中问题。问卷B的调研对象是第三方认证机构的审核员,受访者根据对应的标准和法规对企业信息安全制度的部署和实施情况进行评价。之所以将问卷分为A、B两个部分是因为企业内部人员对高管信念和高管参与的体会往往会更直接,而审核员对企业信息安全制度实施情况的评价会更客观。问卷A、B均采用5点李克特量表,所有题项均为正向计分。

妇产科接受手术治疗的患者由于手术过程中胃肠道内产气过多,并且气体在术后无法从肛门排出,术后产妇易出现腹胀现象[1]。术后患者出现腹胀,对其正常进食及休息造成不同程度的影响,严重者可导致患者合并出现肠粘连、肠梗阻等并发症,严重影响患者的术后恢复[2]。因此在妇产科手术患者术后腹胀中采取有效的护理干预对促进患者术后恢复有重要意义[3-4]。本文选取我院产科收治的94例接受手术治疗后出现腹胀的患者,将其随机分为两组,分别给予常规护理干预与中医护理干预,对比两组护理措施的临床应用价值,现取得的较为满意的临床效果,具体内容如下。

由于问卷分为A、B两部分,故问卷的分发和回收分为两步:①研究团队成员将电子版调查问卷通过E-mail发送给企业的相关管理者,共发送问卷200份,回收有效问卷176份,问卷的有效回收率为88%;②将176份问卷交由负责审核上述企业的认证机构的审核员进行填写,部分审核员的离职导致回收到的问卷为148份,问卷回收率为84%。受访者的描述性统计信息如表1所示。

2.2 变量及其测量

为了保证测量工具的信度和效度,本文尽量采用已有文献中被广泛使用和验证的测量量表,并结合信息安全管理这一特定情境进行修改。其中,对高管支持的测量根据文献[6,19]中的量表改编,包括5个题项。对制度化的识别、履行和内化的测量分别根据文献[1,17]中的量表改编。识别包括3个测量题项,履行和内化均包含4个测量题项。对信息安全绩效的测量修改自文献[1,21-22]中的量表,包括4个题项。本文所有变量测量题项的引用及说明如表2所示,所有变量所包含的具体测量题项见附表1。

表1 样本的描述性统计信息

2.3 控制变量

在控制变量方面,由于不同行业中的信息化发展水平不一致,造成了不同企业对信息安全要求的差异;成立时间和接受认证时间比较长的企业可能信息安全管理更加规范,采用其他信息安全认证同样会对企业的信息安全管理有一定影响;不同所有制类型的企业,由于涉及的信息安全类型的差异,会有不同的信息安全管理规范;组织规模和IT部门的规模也会对企业信息资源的保护有影响。基于此,本文将行业类型、所有制类型、组织成立时间、认证时间、有无其他认证、组织规模以及IT部门规模作为控制变量,这与文献[1,36]中的研究基本一致。

3 实证分析

3.1 共同方法偏差

本文在程序控制和统计控制两个环节来避免共同方法偏差的产生。首先,数据来源包括问卷A、B两部分,且两部分问卷由不同类别的调研对象完成,即问卷A由认证企业的相关管理者填写,问卷B由第三方认证机构的审核员填写。因此,在程序控制环节有效降低了共同方法偏差产生的可能性。其次,在统计控制环节采用Harman单因素检验的方法进行检验。结果表明,量表中所有变量的第1个因子的方差解释度为30.171%<40%,因此,研究数据不存在共同方法偏差的问题,可以进行后续的数据分析。

3.2 测量模型检验

H10 内化在高管支持与信息安全绩效的关系中具有中介作用。

203 Investigation of sleep quality and life quality of soldiers in a navy warship troop

表2 变量及其数据来源说明

表3 测量量表信度和效度评价指标

表4 潜变量相关系数和AVE的平方根

由表3可知,高管支持、识别、履行、内化和信息安全绩效的组合信度(CR )分别为0.874、0.842、0.857、0.814和0.923,均大于0.700的基准值;5个潜变量的AVE分别为0.581、0.644、0.603、0.523和0.750,均大于0.500的基准值;5个潜变量的Cronbach’sα 分别为0.821、0.717、0.773、0.701和0.888,均大于0.700的基准值。由表4可见,测量量表具有较为满意的区分效度(变量对应AVE的平方根大于变量之间的相关系数)。此外,还对交叉因子载荷进行了检验,见附表2。因此,本文量表具有较好的信度和效度。

对于7个控制变量(行业类型、组织规模、认证时间、所有制类型、IT部门规模、组织成立时间和有无其他认证)纳入模型进行检验时,由于控制变量的数量较多,而所分析的样本量相对较少,故采用文献[19]中的分析方法进行了7次检验,即每次检验只涉及一个控制变量,验证结果见附表3。根据附表3,7个控制变量的系数均不显著,即控制变量没有对研究模型的有效性产生影响。

在多重中介效应的检验过程中,除了需要关注总的间接效应外,还需要对变量之间单独的中介效应进行分析(见表5)。高管支持通过识别对信息安全绩效的中介效应为0.100(Z =2.215,p <0.050),偏差矫正与增进95%Bootstrap置信区间为{0.021,0.167},置信区间不包括0;高管支持通过履行对信息安全绩效的中介效应为0.126(Z =2.240,p <0.050),偏差矫正与增进95%Bootstrap置信区间为{0.026,0.212},置信区间不包括0;高管支持通过内化对信息安全绩效的中介效应为0.027(Z =0.578,p >0.050),同时偏差矫正与增进95%Bootstrap置信区间为{-0.048,0.092},该置信区间包括0。因此,识别和履行在高管支持与信息安全绩效关系中有显著的中介效应,而内化的中介效应则不显著。

3.3 结果分析

多重中介模型的验证方法有多种,近年来,学者们都比较推荐Bootstrap方法,因为该方法模型参数估计更为稳健、结论也更为可靠[37]。然而,由于结构方程模型中的多重中介分析需要设置多个辅助变量[38],故本文基于Bootstrap方法,利用SPSS 22.0的Process插件来验证多重中介模型。按照所提出的研究假设,将高管支持设定为自变量,将制度化的过程识别、履行和内化作为研究模型中的中介变量,将信息安全绩效作为模型中的因变量。与此同时,将样本数量设定为5 000,置信区间设置为95%,对下述5个方程的回归系数进行显著性检验(检验结果分别见表5、6):

式中:c 、a 1、a 2、a 3、b 1、b 2和b 3为回归系数;ε 1~ε 5为残差。

概念教学不应只注重让学生死记硬背概念,而应让学生真正经历概念的形成过程,遵循从特殊到一般,从具体到抽象,从过程到结果的原则,引领学生进行合情推理演绎,逐步帮助学生真正理解概念的内涵,从而使学生的合情推理能力得到有效的培养。

由表5可知,在自变量与因变量的关系中,高管支持与信息安全绩效的相关系数c= 0.530(p <0.001),达到了显著性水平,表明高管支持程度的差异会显著影响信息安全绩效的高低,假设H1得到验证,这也为后续研究模型中中介效应的检验提供了条件。在自变量和中介变量关系中,高管支持与制度化过程(识别、履行和内化)的相关系系分别为:a 1= 0.388(p <0.001),a 2= 0.411(p <0.001),a 3= 0.473(p <0.001),均达到了显著性水平。这表明,高管支持对制度化过程的识别、履行和内化均有显著的正向影响,假设H5、H7和H9均得到了验证。在中介变量和因变量的关系中,制度化(识别、履行与内化)与信息安全绩效的相关系数分别为:b 1= 0.259(p <0.01),b 2= 0.306(p <0.01),b 3= 0.056(p <0.05),

根据图2可以看出,不同幅值条件下的“温度-电容”曲线变化趋势基本相同,但是随着激励信号幅值的增加曲线更加平滑,说明增加激励信号的幅值大小可以有效地减少异常数据。

表5 回归方程参数

表6 中介效应分析检验结果

假设H2和H3得到验证,拒绝假设H4。这表明,制度化过程的识别和履行对信息安全绩效有正向影响,而内化对信息安全绩效的正向影响不显著。

在整体的模型指标中,F= 15.959,p= 0.000,这就说明了自变量高管支持通过中介变量识别、履行和内化对因变量信息安全绩效的影响达到了显著性水平。此外,模型的解释水平R 2= 0.309,表明仍然还有将其他变量可以纳入研究模型中进行进一步分析的可能性。

在中介效应分析方面,由表6可知,高管支持对信息安全绩效的间接效应为

小学是为人生奠基的黄金时间,应该以宽度求深度,这个宽度主要靠读书。凡是自信、能干、语文素养高的学生,几乎百分之百是读书“读出来”的,而不是靠教师“讲出来”的。因此,在儿童课外阅读推广的初期,首先要让学校认识到,阅读是教育的核心工作,孩子们阅读兴趣和习惯的培养是长期坚持不懈的事,阅读是为孩子们打好精神底子的事;要让教师认识到,帮助孩子学会阅读重要,帮助孩子爱上阅读更重要!

综上所述,本文提出研究模型,如图1所示。

三是将红色文化融入优良传统。我军红色文化中所体现出的理想信念和意志品质,既蕴含着丰富的、军人特有的“战斗”精神,也与当代工匠精神所具备的敬业、专业、耐心、专注、执着、坚持、创新、创造等精神特质和价值追求交相辉映、一脉相承。加强军队院校文化建设,要继承和发扬这些红色文化传统,使学员在不断地认识—实践—再认识过程中,真正将红色文化内化于心、外化于行。

本文假设检验的结果如图2所示。

图2 假设检验结果

注:*p <0.05,**p <0.01,***p <0.001

3.4 结果讨论

高管支持对信息安全绩效有显著正向影响(H1),该研究结论与组织管理的其他研究情境下高管支持的正向作用相一致[6,39]。表明在企业信息安全管理中同样应该重视高层管理团队对信息安全管理活动的支持和导向作用,不断影响企业员工参与信息安全管理活动的积极性和主动性,创造一种持续的信息安全文化改进环境,不断提升员工的安全态度和安全价值观[40]

高管支持对制度化的识别、履行和内化有显著正向影响(H5、H7和H9)。这与文献[41]中所得出的企业信息安全的制度化需要得到高层管理者和员工的全员支持和参与是一致的。这表明,信息安全制度化的不同过程,从整体制度化路线方针的制定→内外制度的一致性表达→制度的内部实施均需要得到高层管理团队的支持。因此,无论是在资源的配置、企业内部良好氛围的创造,还是在其他部门和员工的带动上,都会对制度化有显著促进作用。

制度化的识别和履行对信息安全绩效有显著正向影响(H2和H3),并且识别和履行在高管支持和信息安全绩效的关系中具有中介作用(H6和H8)。该结论与文献[1,7]中所提及的信息安全管理中高管支持和制度化对信息安全管理有效性/信息安全绩效有显著正向影响的结论基本一致。

内化对信息安全绩效的正向影响不显著(H4),同时其在高管支持与信息安全绩效关系中的中介作用也不显著(H10),表明高管支持对信息安全制度化的内化没有显著促进作用,这与本文的预期假设出现了偏差。可能是由于内化对信息安全绩效的影响效用需要经过一段时间的积累,或者是内化本身就是一个相对漫长的过程。对内化影响作用的观察需要持续地进行,并且在对其细化的基础上开展进一步的研究和探讨。

4 结论

随着互联网技术和各种信息系统的应用,企业面临着越来越复杂的信息安全环境,因此,如何构建有效的信息安全风险防控机制便成为企业管理的热点问题。本文基于高阶理论和新制度理论,以国内通过信息安全管理体系认证的企业为研究对象,探讨了高管支持、制度化与信息安全绩效之间的关系,并重点分析了制度化的中介作用。研究表明,高管支持对企业信息安全绩效有显著正向影响;高管支持对制度化的识别、履行和内化均有显著正向影响;制度化的识别和履行对企业信息安全绩效有显著正向影响,且识别和履行在高管支持和信息安全绩效关系中具有多重中介作用。

历史文化名城形成的主要影响因素是地理条件、政治军事地位、经济发展。一定的历史活动总是在一定的地域上展开的,城市的形成与发展也离不开地理条件,包括山川形胜、水陆交通、土壤气候等。政治军事地位影响城市的等级和规模,城市规模的大小往往同城市政治行政地位的高低成正比,政治地位的升降通常也意味着城市的盛衰。经济基础决定上层建筑,在历史文化名城的形成过程中,经济因素是内在的动力。文化昌明之区,必是繁荣富庶之地。历史文化名城尽管兴衰殊途,但都必然有过一时或数代之盛,城市经济的发展为文化积累打下了深厚的物质基础。

上述研究结论对企业如何通过制度化来提高信息安全管理水平有如下重要启示:

中华合作时报社总编室主任张弛结合自身丰富的摄影经验,从摄影基础知识、用光、构图、新闻纪实摄影及拍摄技巧和注意事项等方面详细展开,以工作摄影中常见的会议、活动、人物、景物等一系列作品作为实例,对新闻摄影的取景构图、光线应用等进行了重点讲解。

(1)企业需要充分利用高管支持对信息安全管理的积极影响。首先,高管支持可以为企业的信息安全制度建设提供良好的资源保证,进而为各项信息安全管理活动的开展创造良好的内部制度环境。其次,高管团队对于信息安全知识的认知和理解,有助于企业明确信息安全制度建设的方向。例如,信息安全的制度要从单纯的防御保护,逐渐转变为对整个业务流程的优化。这就需要高管团队来推动、协调、整合不同部门的业务和工作。最后,高管团队对信息安全管理的参与,能够发挥导向性的带动作用。例如,高层管理者出席企业信息安全的重要会议、听取企业信息安全的关键性汇报可以让员工感受到高管对信息安全的重视程度,从而激发和带动员工对信息安全的重视,减少员工信息安全违规行为的发生。

(2)信息安全制度化是一个过程体系,企业需要协同管理不同过程。首先,通过信息安全制度化的识别分析外部制度环境的要求,明确制度化的部署过程对企业产生的结构影响并制定对应的路线方针。即企业需要调整内部结构和行为方式以适应外部合法性要求。例如,中央网络安全和信息化领导小组的成立改变了互联网监管的权利结构[1],不少企业和组织都会建立相应的小组或部门以应对外部监管。其次,明确部署过程后,企业要寻求信息安全制度的合理外部表达,以实现与外部法律和规范支持相一致的内部制度安排。企业最常采用的是以一种外部可见的方式来展示内部制度的价值,例如发布信息安全管理规范体系来保证企业的信息安全合规经营目标与企业运营战略的一致性。最后,确保信息安全制度的内化过程顺利进行,重视“人”的行为因素。企业信息安全制度的实施受规则、信念和认知等基础要素的支持。具体而言,通过构建惩罚机制来减少员工信息安全违规的发生,通过完善激励和分享机制来促进员工的信息安全保护行为;强调共同信念和企业文化的日益客观化和秩序化在信息安全制度实施中的作用,逐渐形成员工遵守信息安全制度的习惯性方式;通过信息安全意识培训程序提高员工的信息安全意识,向员工传递遵守信息安全制度和管理策略是降低信息安全风险、维护信息资产安全的恰当方式等理念。

(3)以信息安全绩效为导向,构建可持续的企业信息安全制度和管控措施。首先,为了保护企业内部的业务信息和信息系统等资源,需要在风险分析的基础上,根据不同信息资源的重要程度实行不同的等级保护。例如,最高等级的顶层信息资源,企业需要以专门监督检查、实时监控实时处置为原则进行保护。其次,企业的信息安全制度要从单纯的防御保护,逐渐渗透到对整个业务流程的规范和优化。从2017年5月勒索病毒的爆发和传播来看,企业信息安全中被动的防御式和封堵式的管理策略已经过时,企业需要重新梳理业务流程,主动减少潜在的安全漏洞,持续提高信息安全的质量和水平。

本文的局限性主要表现在两方面:①没有在信息安全管理这一特定情境下对高管支持的维度进行划分。本文重点探讨高管支持对于信息安全制度化(识别、履行和内化)的影响,以及制度化对企业信息安全绩效的影响,导致了分析重点集中在制度化上,而没有对信息安全管理情境下的高管支持维度进行划分,这是在未来研究中需要细化的环节。②研究样本的选择限定在国内通过信息安全管理体系认证的企业,这在一定程度上造成了研究样本的数量相对较少,覆盖的行业不够广泛。未来的研究应该扩大调研样本的数量,并开展不同行业之间的对比研究,以进一步检验和完善本文的结论。

附表1 问卷

附表2 交叉载荷因子

附表3 控制变量检验结果

参考文献:

[1]林润辉,谢宗晓,王兴起,等.制度压力、信息安全合法化与组织绩效[J].管理世界,2016(2):112-127.

[2]Posey C,Roberts T L,Lowry P B.The impact of organizational commitment on insiders’motivation to protect organizational information assets[J].Journal of Management Information Systems,2015,32(4):179-214.

[3]Tondel I A,Line M B,Jaatun M G.Information security incident management:Current practice as reported in the literature[J].Computers&Security,2014,45(9):42-57.

[4]谢宗晓,王兴起.信息安全管理研究回顾与述评[J].图书馆论坛,2016(5):87-94.

[5]Lee C,Lee C,Kim S.Understanding information security stress:Focusing on the type of information security compliance activity[J].Computers&Security,2016,59(C):60-70.

[6]Hu Q,Dinev T,Paul H,et al. Managing employee compliance with information security policies:The critical role of top management and organization culture[J].Decision Science,2012,43(4):615-659.

[7]武德昆,官海滨,王兴起,等.高管支持对信息安全绩效的影响研究:信息安全意识的中介效应[J].中国海洋大学学报(社会科学版),2014(2):44-50.

[8]Barton K A,Tejay G,Lane M,et al. Information system security commitment:A study of external influences on senior management[J].Computers&Security,2016,59(6):9-25.

[9]Buyl T,Boone C,Hendriks W.Top management team members’decision influence and cooperative behavior:An empirical study in the information technology industry[J].British Journal of Management,2014,25(2):285-304.

[10]Shao Z,Feng Y,Hu Q.Effectiveness of top management support to enterprise system success:A contingency perspective of fit between leadership style and system lifecycle[J].European Journal of Information Systems,2016,25(2):131-153.

[11]Xue Y,Liang H,Wu L.Punishment,justice,and compliance in mandatory IT settings[J].Information Systems Research,2011,22(2):400-414.

[12]Merhi M I,Ahluwalia P.Top management can lower resistance toward information security compliance[C]//International Conference on Information Systems Fort Worth.Texas:[s.n.],2015:1-11.

[13]Posey C,Roberts T L,Lowry P B,et al. Insiders’protection of organizational information assets:Development of a system-based taxonomy and theory of diversity for protection-motivated behaviors[J].MIS Quarterly,2013,37(4):1189-1210.

[14]Puhakainen P,Siponen M.Improving employees’compliance through information systems security training:An action research study[J].MIS Quarterly,2010,34(4):757-778.

[15]Siponen M,Mahmood M A,Pahnil S.Employees’adherence to information security policies:An exploratory field study[J].Information&Management,2014,51(2):217-224.

[16]谢宗晓.信息安全合法化过程与机制研究——新制度理论视角[D].天津:南开大学,2016.

[17]Kostova T,Roth K.Adoption of an organizational practice by subsidiaries of multinational corporations:Institutional and relational effects[J].Academy of Management Journal,2002,45(1):215-233.

[18]谢宗晓,林润辉.信息安全制度化3I模型[J].中国标准导报,2016(6):30-33.

[19]Liang H,Saraf N,Hu Q,et al. Assimilation of enterprise systems:The effect of institutional pressures and the mediating role of top management[J].MIS Quarterly,2007,31(1):59-87.

[20]Mccomb S A,Kennedy D M,Green S G,et al. Project team effectiveness:The case for sufficient setup and top management involvement[J].Production Planning and Control,2008,19(4):301-311.

[21]Mithas S,Tafti A,Bardhan I,et al. Information technology and firm profitability:Mechanisms and empirical evidence[J].MIS Quarterly,2012,36(1):205-224.

[22]Mithas S,Ramasubbu N,Sambamurthy V.How information management capability influences firm performance[J].MIS Quarterly,2011,35(1):237-256.

[23]Hsu S C,Shih S P,Hung Y W,et al. The role of extra-role behaviors and social controls in information security policy effectiveness[J].Information Systems Research,2015,26(2):282-300.

[24]Johnston A C,Warkentin M,Siponen M.An enhanced fear appeal rhetorical framework:Leveraging threats to the human asset through sanction rhetoric[J].MIS Quarterly,2015,39(1):113-134.

[25]陈昊,李文立,柯育龙.组织员工信息系统安全行为研究进展[J].信息系统学报,2016(1):118-134.

[26]Cheng L,Li Y,Holm E,et al. Understanding the violation of IS security policy in organizations:An integrated model based on social control and deterrence theory[J].Computers&Security,2013,39(11):447-459.

[27]Boss S R,Galletta D F,Lowery P B,et al. What do systems users have to fear?Using fear appeals to engender threats and fear that motivate protective security behaviors[J].MIS Quarterly,2015,39(4):837-864.

[28]Ifinedo P.Information systems security policy compliance:An empirical study of the effects of socialization,influence,and cognition[J].Information&Management,2014,51(1):69-79.

[29]张大力,葛玉辉.高管团队跨界行为与企业创新绩效的关系:基于团队学习视角[J].系统管理学报,2016,25(2):236-245.

[30]Kolkowska E,Karlsson F,Hedstrom K.Towards analyzing the rationale of information securitynoncompliance:Devising a value-based compliance analysis method[J].Journal of Strategic Information Systems,2017,26(1):39-57.

[31]Kolkowska E,Dhillon G.Organizational power and information security rule compliance[J].Computers&Security,2013,33(3):3-11.

[32]Flores W R,Antonsen E,Ekstedt M.Information security knowledge sharing in organizations:Investigating the effect of behavioral information security governance and national culture[J].Computers&Security,2014,43(6):90-110.

[33]Chen Y,Zahedi F M.Individuals’internet security perceptions and behaviors:Polycontextual contrasts between the united states and china[J].MIS Quarterly,2016,40(1):205-222.

[34]Warkentin M,Willison R.Behavioral and policy issues in information systems security:The insider threat[J].European Journal of Information Systems,2009,18(2):101-105.

[35]Vance A,Siponen M,Pahnila S.Motivating IS security compliance:Insights from habit and protection motivation theory[J].Information&Management,2012,49(3-4):190-198.

[36]Hsu C,Lee J N,Straub D W.Institutional influences on information systems security innovations[J].Information Systems Research,2012,23(2):918-939.

[37]温忠麟,叶宝娟.中介效应分析:方法和模型发展[J].心理科学进展,2014,22(5):731-745.

[38]方杰,温忠麟,张敏强,等.基于结构方程模型的多重中介效应分析[J].心理科学,2014,37(3):735-741.

[39]Souitaris V,Maestro B M M.Polychronicity in top management teams:The impact on strategic decision processes and performance of new technology ventures[J].Strategic Management Journal,2009,31(6):652-678.

[40]梅强,张超,李雯,等.安全文化、安全氛围与员工安全行为关系研究—基于高危行业中小企业的实证[J].系统管理学报,2017,26(2):277-286.

[41]谢宗晓,林润辉,王兴起.用户参与对信息安全管理有效性的影响——多重中介方法[J].管理科学,2013,26(3):65-76.

Impact of Top Management Support on Information Security Performance:A Exploration into the Mediating Role of Institutionalization

ZHEN Jie 1,XIE Zongxiao 2,CHEN Lin 3,LIN Runhui 4
(1.School of Business Planning,Chongqing Technology and Business University,Chongqing 400067,China;2.Department of Information Security Service,China Financial Certification Authority,Beijing 100054,China;3.Department of Public Administration,Shandong University of Science and Technology,Qingdao 266590,Shandong,China;4.Business School,Nankai University,Tianjin 300071,China)

【Abstract】 Based on the upper echelons theory and the neo-institutional theory,this paper explored the relationship between top management support,institutionalization,and information security performance.A questionnaire survey was conducted among 148 enterprises which had passed the certification of information security management system ISO/IEC 27001,and Smart PLS 3.0 and Bootstrap method of SPSS 22.0 were used for statistical analysis and mediation effect test.The results show that top management support has a positive effect on information security performance,identification,implementation,and internalization while identification and implementation have a positive effect on information security performance.In addition,top management support affects information security performance via the mediating effect of identification and implementation.The findings have important management implications for enterprises on the promotion of the process of information security institutionalization with the top management support and the improvement of information security performance via institutionalization.

Key words: top management support;institutionalization;information security performance

中图分类号: C 931

文献标志码: A

DOI: 10.3969/j.issn.1005-2542.2019.05.006

文章编号: 1005-2542(2019)05-0846-11

收稿日期: 2017-06-06 修订日期:2017-12-12

基金项目: 国家自然科学基金资助项目(71132001,71672123)

作者简介: 甄 杰(1986-),男,博士,讲师。研究方向为行为信息安全。

通信作者: 谢宗晓(1979-),男,博士,高级工程师。E-mail:xiezongxiao@vip.163.com

标签:;  ;  ;  ;  ;  ;  ;  

高管支持对信息安全绩效的影响-探讨制度化过程的中介效应论文
下载Doc文档

猜你喜欢