武德昆 官海滨 王兴起 谢宗晓

（1．北京科技大学 东凌经济管理学院，北京100083；2．南开大学 商学院，天津300071）

一、引言

随着信息化程度的不断提高，信息安全的重要性得到了前所未有的重视。然而目前重技术轻管理的思路并没有实质性的改变信息安全管理（Information security management，ISM）的有效性。以2013年6月的“棱镜门事件”为例，美国情报机构就窃取了电子邮件，即时消息、语音聊天、文件传输、视频会议和社交网络资料等信息，而这些泄密事件完全可以通过有效的管理得以避免，例如通过加强涉密载体的保密资质审查防止硬件安全漏洞，通过提高涉密人员的信息安全意识、规范涉密人员安全操作流程等防止日常操作所导致的安全事件，通过定期的安全检查、风险评估、安全加固等手段降低涉密系统潜在的安全风险等。据《2010／2011计算机犯罪与安全调查》（Computer Crime and Security Survey）报告：尽管受访组织杀毒软件和防火墙的使用率分别达到97%和94．9%，但仍有41．1%的受访组织经历过信息安全事件，其中内部用户滥用网络或邮件造成的信息安全事件高达24．8%。

事实上，信息安全管理是一项系统性工程，在实践中，以信息技术部门为主，涉及到组织中的所有部门，与每一个员工都息息相关，［1］但只有作为对信息安全的相关活动负有战略决策及活动导向责任的高层管理者才有能力协调各部门关系，决定新技术的引进、管理制度的建立与实施和对实施情况进行监督。因此，高层管理支持（以下简称“高管支持”）对组织信息安全管理的有效性起着不可或缺的作用。

本文以信息安全管理体系（Information Security Management System，ISMS，以下同）为背景，研究高管支持在信息安全管理中的作用。ISO／IEC27000标准族中对ISMS给出了专门的定义，按照该定义满足条件的标准有很多。［2］在实际应用中，由于我国企业在信息安全管理体系的选择上也是以ISO／IEC27000标准族为主，因此一般认为ISMS与ISO／IEC27000标准族是同义的。据统计，截至2012年12月，共有1169家中国企业通过信息安全认证。基于理论和实践上的考量，本研究中也沿用这个惯例，并从通过验证的1169家企业中选取300家作为样本进行实证研究。

二、高管支持及相关文献综述和研究假设

（一）高管支持的涵义

高管支持在信息系统中的研究比较早，这些研究涵盖了不同类型的信息系统，跨越了信息系统开发、采纳、实施各阶段，并发现了高管支持对信息系统的正面作用。［3］尽管相关的研究众多，但学界对高管支持的定义并不统一。综合已有高管支持的定义，可以将高管支持定义分为四类：（1）要素观。研究者通过描述其包含的要素界定高管支持，Jarvenpaa．S．L，Ives．B提出高管支持包括高层参与（Executives participation）和高层心理投入（executives involvement）两个要素。［4］（2）绩效观。高管支持即高管对信息系统正向影响组织绩效的程度。（3）支持观。即高管支持能够为信息系统提供资源支持和良好的制度环境，Guimaraes．T．Igbaria．M定义高管支持为“高层管理鼓励和分配资源”。［5］（4）管理观。认为高管支持确保信息系统和业务流程结合，并改变管理以迎合信息系统的特色。定义的多样性也导致对高管支持的行为主体即高管本身组成的不确定性，有研究者认为高管指CEO和业务经理；［6］也有指CEO和IT经理，［7］还有研究者认为信息系统中的高管包含CEO、CIO、COO，以及其他高层业务领导。［8］

根据2017年1~6月的问卷调查结果显示,献血者在献血前、献血中、献血后对于采血护理的满意程度分别为99.00%、99.28%以及97.84%。而根据2016年7~12月的问卷调查结果,献血者在献血前、献血中、献血后对于采血护理的满意程度分别为98.79%、99.24%以及98.46%。我站在实施采血护理风险评估和控制后,献血者对于采血护理的整体满意有了显著的提升,见于表1

最近的研究者从高管支持主体的角度出发，结合高管支持在信息系统中的作用，认为信息系统情境下的高管是指那些专门针对信息系统事务相关的高管，是组织 中 高 管 的 子 集。［2，9－10］与 信 息 系 统 情 境下类似，在信息安全管理情境下，本研究中定义的高管是指为保证信息安全的相关活动负有战略决策及活动导向责任的群体。企业信息安全管理体系贯彻实施中将领导责任明确为“信息安全领导小组”的责任，即不但包括公司负责人、分管信息安全的公司副职，还包括公司所有的业务主管领导，尤其是财务、人力资源等部门的主要负责人。因此，本研究将高管支持描述为：信息安全领导小组成员基于对信息安全重要性的认识，向公司其他成员展现出的对信息安全的态度和倾向性以及参与信息安全实践行为的总和。进一步细分，高管支持体现在两个层面，即认知支持和行为支持。［2，11］

Liang H．Saraf et al的 研 究 使 用 高 管 信 念（TMB）和高管参与（TMP），并提出外部环境首先影响高管的信念结构，其次高管信念结构引导高管的行为。［12］本研究界定的高管支持体现在两个方面，即包括高管信念和高管参与。在信息安全管理背景下，高管信念指高管团队对信息安全管理活动潜能的主观心理状态，例如高管团队对信息安全的理解程度以及信息安全对组织重要性的认识；高管参与指推动信息安全管理活动融入公司日常行为的所有行动，基于已有文献提出如下假设：

H1：在信息安全管理活动中，高管信念对高管参与有着显著的正向影响。

（二）信息安全意识

在心理学上，意识是个体以其感官系统，对外来刺激的一种主观的解释与反应，它受个体及以往经验与社会普遍标准的影响。个体在面对相同的外来刺激会产生不同的个体反应，信息安全风险也不例外。美国国家标准与技术研究院（NIST）最早认识到信息安全意识的重要性，认为信息安全意识是使个体对威胁与脆弱性感到敏感，并能够识别出所需保护的资料、信息与处理的过程。经合组织（OECD）在《信息系统与网络安全准则》修订本中提到员工的意识并赋予以下的涵义：信息安全意识即所有的信息系统的参与者均应意识到信息系统与网络安全的必要性。NIST对信息安全意识做了更为具体的定义：它使得个体明白信息安全的重要性，并据此做出回应，其目的是要求在日常工作时集中关注信息安全，且必须包含组织内的所有使用者。ISF将信息安全意识定义为组织内所有的员工理解信息安全的重要性，清楚组织所适用的安全级别，知悉并履行个人的安全职责。［13］GB／T22080－2008／ISO／IEC27001：2005在正文中（5．2．2，pp．9）和附录 A中（A．8．2．2，pp．16）分别提出了建立信息安全意识规程的要求。其他常见的信息安全管理标准也有相同的条文，例如，GB／T22239－2008中的“安全意识教育和培训”。

个体行为习惯的彻底改变需要做到知行合一，即认知和行为的统一，信息安全意识的提升能够改变员工不良的行为习惯，从而降低信息安全事故发生率，提升组织的绩效，例如可以提高公司的利润率、股票收益率等。在最近的研究中，Spears J．L．＆Barki H验证了用户参与对信息安全意识在信息安全风险管理中的作用。［14］Puhakainen．P．＆ M．Siponen通过行动研究（Action Research）探讨了信息安全培训培训规程对员工信息安全意识直至员工安全策略遵守（Policy Compliance）的正向影响作用。［15］Karjalainen．M．＆M．Siponen不但进行了实证研究，而且用元理论（Meta-Theory）试图找出信息安全意识培训的本质。［16］这些研究一个隐含的前提都是信息安全意识对信息安全管理有效性有促进作用。

此外，微软公司在帮助客户建立信息安全方案的公开文档中也明确提出：建立信息安全意识培训方案的主要目标是：通过强化大家认可的、与公司业务有关的安全活动，从而改变全体员工的行为。Kruger．H．A ＆ Kearney．W．D指出安全控制的应用效果依赖于积极的安全环境，其中包括每个人都理解并执行组织内的程序和规程，具有较高的信息安全意识。［17］Bulgurcu．B，Cavusoglu．H ＆ Benbasat．I探讨了员工信息安全意识对信息安全策略遵守的正向影响，［18］谢宗晓等的研究结论则验证了员工信息安全意识对信息安全管理有效性有显著正向影响，并在用户参与和信息安全管理有效性之间的关系中具有中介作用。

基于以上认识与文献研究，提出下列假设：

H6：在信息安全的情境下，员工信息安全意识对信息安全管理有效性有显著正向影响。

（三）高管支持对信息安全管理的影响

Teo．T．S．H，Ang．J．S．K研究发现，“不能获得高管支持”是许多组织在信息系统规划、开发及使用上难以实施的重要原因，研究者通常认为高管支持的不足是信息系统成功的最大障碍。信息安全管理也不例外。［19］在信息系统的实施过程中，高管支持能够帮助清除组织中不同利益群体的阻力；提供实施全过程中必须的资源，激发员工使用信息系统的积极性。信息安全管理的实施需要促使员工遵守公司规章制度，改变员工的操作习惯，保证安全控制的实施，增加信息安全风险保护软件的使用。

高管支持问卷修改采用Liang．H et al的研究成果，问卷共6个题目，采用李克特5点量表，分为从非常同意到非常不同意共五级。［12］信息安全意识问卷修改自Spears．J．L．，Barki．H的信息安全意识问卷，该问卷包括个人安全意识与对信息资产保护的责任感两个方面。［14］信息安全管理有效性测量量表采用谢宗晓等和Chang S．E．，Lin Chin-shien的问卷。［20，23－24］该量表共有13项，其中有5项测量保密性，5项测量完整性，3项测量可用性。问卷已经被证实有着较好的内容效度和结构效度。［23］

在信息安全情境下，高管信念包括对企业信息安全管理重要性的看法，信息安全方面的远景规划，对信息安全管理成本的基本判断以及信息安全管理相关知识的初步了解。基于信念，企业高管会向其他管理者传递信息安全重要性的强有力信息，然后将这种信息传递到公司员工当中，从而影响公司员工的信息安全意识，最终影响信息安全管理的有效性。基于以上分析提出以下假设：

研究发现，高管支持对信息安全管理的有效性有着非常显著的正向作用。本研究中高管信念支持成为影响信息安全管理有效性的逻辑起点，它既能直接影响信息安全管理有效性，又能通过影响高管参与支持和员工信息安全意识影响信息安全管理有效性。

b.进行受力(方向和大小)分析。一般我们先分析场力(重力，洛伦兹力，电场力)，再来研究分析弹力，最后是查看是否有摩擦力和其他力并找到其方向。

H7：在信息安全情境下，高管信念通过信息安全意识对信息安全管理有效性产生显著的正向作用。

H4：在信息安全情境下，高管信念对信息安全管理有效性有着显著的正向作用。

评价假设的路径分析模型图与搜集的数据是否相互适配，即研究的假设是否符合实际数据的现况的指 标 称 之 为 拟 合 度 指 标 （Goodness-of-fit indices）。［27］有关模型拟合度的评价有许多不同的主张，温忠麟提出以绝对指标、相对指标，以及调整指标评价整体模型的拟合情况。［28］评价模型的具体的统计检验量以及拟合的临界值与本研究的理论模型的统计检验值如表2所示。

办好中国的事情，关键在党。近年来，云南电网全面推动党的建设重点任务落实落地，各级党组织全面承接抓落实，奋力拼搏见成效，但是党的建设工作仍然存在“不全面”“不到位”“不平衡”“不扎实”的问题，部分干部、党员的身份意识淡化，党的建设与生产经营管理工作融合不够等问题，有待进一步解决。2018年，云南电网坚持把党的政治建设摆在首位，始终绷紧政治这根弦，自觉用习近平新时代中国特色社会主义思想武装头脑、指导实践、推动工作，深入践行推进高质量发展的“七个一”工作要求，经过近一年的实践，组织人事工作成果显著，党的建设工作质量得到显著提高。

H3：在信息安全情境下，高管参与对员工的信息安全意识有着显著的正向影响。

数据分析显示研究样本中各变量的信度、效度均达到可接受的水平，表明问卷所收集整理的各变量的数据具备进一步分析的基础。从图1可以看出本研究模型为复式多重中介模型［25］，模型中既有链式中介模型，即高管信念通过高管参与和信息安全意识两个连续中介变量影响信息安全管理的有效性；又有并行多重中介模型，即高管信念和高管参与分别通过和信息安全意识影响信息安全管理的有效性。方杰、张敏强、邱皓政认为，中介模型的分析宜采用偏差校正的百分位法（Bootstrapping）直接对中介效应进行显著性检验来判断中介效应的有无，且Bootstrapping不需要样本正态性、独立性与大样本的基本假设，也可以估计任何统计量的标准误差，检验中介效应更为有效。［26］因此本研究运用结构方程模型（SEM）来分析这些变量间的相互影响关系。统计分析工具使用 AMOS16．0，且采用其Bootstrapping功能。

H8：在信息安全情境下，高管参与通过信息安全意识对信息安全管理有效性产生显著正向影响。

三、模型建构、变量测量及数据处理

（一）研究模型的确定

根据前文所提出的H1－H9的假设，我们构建了高管支持影响信息安全有效性的多重中介模型，模型包括高管参与、高管信念、信息安全意识和信息安全管理有效性四个潜变量。各变量之间的关系如图1所示。

Johnson等(1998)在Rose(1992)的基础上又进一步扩展了对DCT不同形式的研究。他们在情景描述后进行了三种处理：提供肯定答复、提供否定答复、不提供答复。研究结果呈现出一个更为复杂的局面：有无答复以及答复是肯定还是否定对被试的回答有不同程度的影响，其中对抱怨的影响最小，对道歉的影响最大，对请求的影响居中。该研究得出结论：运用不同形式DCT得到的结果可能不具备可比性，它们可能体现了被试对于是否有答复以及答复的不同性质的敏感程度(Johnson,1998:172)。

图1 高管支持影响信息安全有效性的多重中介模型

（二）研究变量与测量

因此，从某种程度上讲，信息安全管理的实施会增加员工的负担，相比于信息系统的实施，信息安全管理的实施更有可能遇到组织内部各部门，各相关利益群体的抵制，因此也更需要高管的支持和协调。［20］（P135）［21］（P187）另外，为保证信息安全系统的实施，信息安全管理组织架构要求采用决策、实施和监督的三权分离原则。例如《商业银行信息科技风险管理指引》要求商业银行在决策层设立首席信息官，形成信息科技部门、风险管理部门、审计部门三权分立的制衡格局，公司治理结构中的风险管理委员会和审计委员会处于组织高层，显然协调三者之间的关系也需要公司高管团队的支持。［22］（P108）

（三）样本选择与数据处理

本研究的样本是从国内通过信息安全认证的1169家公司（截至2012年12月）随机发放问卷300份，并以邮寄的方式回收问卷。共收回问卷246份，剔除问题填写不完整的问卷31份，最终纳入数据分析的问卷共215份，问卷的有效率87%。问卷包括男性131人，占60．9%；女性84人，占39．1%。其中：具有博士学历者10人，占4．7%；硕士学历44人，占20．5%；本科学历137人，占63．7%；本科以下学历24人，占11．2%。在安全部门工作的有48人，占22．3%；IT部门的有104人，占48．4%；业务部门的人员有45人，占20．9%；其他部门的有18人，占8．4%；公司高管有11人，占5．1%；中层管理的有58人，占27．0%；基层管理的有96人，占44．7%；普通员工有50人，占23．3%。

（四）问卷数据有效性分析

根据回收问卷进行了数据整理分析，使用SPSS18．0对4个变量的信度和效度进行检验。高管信念、高管参与、信息安全意识及信息安全管理有效性4个潜变量的信度（Cronbach‘sσ）分别为0．760、0．728、0．865、0．899，信度较高，在可接受范围内。在问卷的效度方面，Mithas，Ramasubbu等认为贴近实践，且经过长期的实践检验，加上有权威来源的测量（例如国际标准）能够保证测量的内容效度；［24］结构效度方面采用潜变量之间的相关系数来评价，如果相关系数显著，说明理论模型成立，结构效度较好，SPSS18．0分析结果（见表1）表明四个潜变量之间相关系数显著，结构效度良好。

传统的汽车金融行业业务主要集中于新车市场，二手车市场上汽车交易活动中涉及到的贷款较少，互联网汽车金融行业可以弥补这一行业的空缺，比如说瓜子二手车、优信二手车等专做二手车交易的互联网汽车金融企业等都开展了相应的二手车贷款服务。同时要利用互联网金融本身所具有的成本低、业务开展灵活等特点，根据客户需求量身打造最适合客户的汽车金融产品。

表1 4个潜变量的信度、均值、标准差及相关系数检验

四、实证结果分析

H5：在信息安全情境下，高管参与对信息安全管理有效性有着显著的正向影响。

（一）整体理论模型的检验

在信息安全的环境下，高管参与支持包括高层管理参与到信息安全制度文件的制定中，从自身角度出发，会更关注组织使命，从而使以信息安全方针为基础的安全控制与业务流程更加紧密的结合；高层管理者参与到组织的内部审核活动中，会提高安全控制的实施绩效；高层管理为信息安全提供更多的资源，为员工提供更多的信息安全技能和信息安全意识培训，都能够提高员工的信息安全意识，进而对信息安全管理的有效性产生影响。基于以上分析，我们提出如下假设：

表2 整体理论模型拟合指数评价指标检验情况

从表2可知，作为评价模型拟合程度有非常重要作用的χ2值的显著性水平没有达到一般意义上的要求（即p＞0．05）。温忠麟等指出χ2会随样本量的增大而不断增大，容易导致任何模型都会被拒绝，数据模拟χ2准则比较研究发现随着样本量的增加而减少，在样本量为200时，显著性水平为0．001，本研究中的样本量为215，p＝0．02，高于显著性水平0．001，符合其验证标准。［28］其他的指标中除了RMR值接近显著性水平之外，其他的拟合统计检验值都超过了临界值的水平，因此本研究提出的理论模型是合适的，可以用来检验提出的假设。

1.3.3 气道阻力 采用德国耶格肺功能检测仪，通过阻断法，测定治疗组、对照组治疗前后气道阻力值，连续测定6次取平均值。

（二）研究假设的检验

理论模型的路径系数与假设检验结果如表3所示，数据分析结果表明，研究提出的假设均得到支持。其中高管信念支持对高管参与支持有着显著的正向作用（β1＝0．752，p＜0．001）；高管信念支持对信息安全意识有着显著的正向作用（β2＝0．552，p＜0．05）；高管参与支持对信息安全意识有着显著的正向作用（β3＝0．725，p＜0．001）；高管信念支持对ISMS有效性有着显著的正向作用（β4＝0．302，p＜0．05）；高管参与支持对ISMS有效性有着显著的正向作用（β5＝0．521，p＜0．05）；信息安全意识对ISMS有效性有着显著的正向作用（β6＝0．309，p＜0．001）；高管信念和高管支持分别通过信息安全意识显著的影响着信息安全意识（β7＝0．731，p＜0．01；β8＝0．224，p＜0．05），信息安全意识的中介作用明显。另外，高管信念通过高管参与支持和信息安全意识（β9＝0．545，p＜0．05）影响信息安全有效性，高管参与和员工信息安全意识起到了联合中介作用。

表3 理论模型的路径系数与假设检验

五、研究结论与讨论

（一）研究结论

H2：在信息安全情境下，高管信念对员工的信息安全意识有着显著的正向作用。

作为高管支持行为的两个维度，首先，高管信念对高管参与行为有着显著的正向作用。这与在信息系统中的研究结果较为一致。高管通过对信息安全外部环境的认知会形成自己独特的“信念结构”，这种信念结构会投射到高管的日常管理行为中，所以高管对于信息安全管理相关知识的理解、信息安全管理对于组织的价值和对组织遭受安全风险的认知程度都会影响高管参与信息安全管理的行为。高管信念对信息安全意识有着显著的正向作用，基于信念，高管通过与下属的知识共享，最终会将自己的信息安全的理念传递给组织的员工，向每一个员工传递出信息安全的重要性信号以及对信息安全的支持态度，进而提高员工的信息安全意识。

在信息安全情境下，这种信念会反映到组织的愿景中，为组织设定未来的发展目标和方向，甚至贯穿于组织文化中，从而达到激励员工并提高士气，对推动信息安全管理的技术和措施的采纳，吸收和融合发挥直接的作用，最终提高组织信息安全管理的有效性。反之，如果高管团队缺乏对信息安全的理解，就无法评估信息安全的应用价值，最终会导致阻碍必要信息安全管理技术的引进和相关管理制度的建立。

某承包商通过招投标方式承包了某高校教学楼工程，工程结构类型为框架-剪力墙结构，基础为钢筋混凝土肋梁式筏板，建筑规模为地上9层，地下1层，建筑高度37.8 m，总建筑面积13 830 m2，合同工期为2012年2月25日至2012年11月15日，合同价为2 462.7万元。

其次，高管参与包括了操作层面和非操作层面的参与，作为下属会敏锐地感觉到高管对信息安全管理以及自己工作的一种态度或倾向性，从而提高员工的信息安全意识。高管参与信息安全更多地强调高管对于信息安全相关活动支持的行为或行动，贯穿于信息安全的规划、实施和检查的全过程中。高管必须提供物质资源和管理资源的支持以保障活动的顺利开展，最终影响信息安全的有效性。毫无疑问，高管对组织业务的了解最为全面，高管参与到信息安全管理的流程中，能够协助相关人员制定与公司业务最为匹配的信息安全管理规划，协调组织各个部门的利益关系推动信息安全管理的实施，以及调配相应的资源为信息安全管理的检查和持续改进提供保证，最终促进信息安全管理有效性的提升。

RCS仿真模型如图3所示，图3(a)为空客A320型飞机模型，图3(b)为F-15C型战斗机模型。以目标到接收机的雷达视线方位角为90°、俯仰角为125°为例，4种极化方式的静态RCS数据分别如图4、图5所示，其中，图4为目标是空客A320型飞机的RCS结果，图5为F-15C型战斗机的RCS结果。

最后，信息安全意识对信息安全有效性有着显著的正向作用，这与已有的信息安全标准中的要求较为一致。提高员工信息安全意识是各种信息安全管理体系标准中的共同要求，虽然在标准中提到的是“适当的意识培训和组织方针及程序的定期更新培训”，但培训的最终目的，无非就是从实质上提高企业全体工作人员的信息安全意识。信息安全意识是一种戒备和警觉的心理状态，这种心理状态以员工的外显行为表现出来，较高的信息安全意识会表现出严谨的工作习惯，从而影响信息安全管理的有效性。

第一，企业之间的相互依赖与信任是合作关系得以有效维持的关键，信任机制被更多的学者认定为是最有效的机会主义防范机制。在制度规则约束的前提下，必须建立互信关系，提升信任水平可从加强自身管理、及时与合作方沟通交流、信守承诺、培养良好的声誉等途经实现。

（二）理论贡献与管理启示

虽然高管支持在信息系统管理中的研究比较丰富，但目前少有研究者关注高管支持对信息安全管理有效性的影响。信息系统是为了支持决策和组织控制而收集、处理、存贮、分配信息的一组相互关联的软件和硬件的组合，更多地受到技术因素的影响。而信息安全管理既包括信息系统使用的安全防护，还包括其他信息的安全保护，除了技术因素之外，管理制度的实施更为重要。本研究采用实证的方法，探讨了高管支持影响信息安全管理有效性的路径，在理论上拓展了高管支持影响的理论研究范围，为高管支持在知识管理中的深入探索提供了一个新的视角。

本研究的实证结果也为组织实施信息安全管理也提供了决策依据。

MOOCs推进了传统教学与信息技术深度融合的改革步伐，传统的教学规范不再适合新型课程的发展。为了使当前高校教与学状况得到改善，使学生的学习兴趣得到激发，使教师的教学能力得到提高，同时推动信息技术与教学的交融，在高校传统教与学中，应积极借助MOOCs，这将对高校教与学产生积极的深远影响。

首先，高管信念是发动信息安全管理的源动力，因此高管须首先认识到信息安全管理对组织的重要意义，例如高管团队需要意识到信息安全管理对业务连续性的保障作用，对企业形象维护和提升的重要作用，对企业绩效提升的促进作用。高管信念转变的关键是制度法规的压力以及同行业务联系单位的影响，因此信息安全制度法规的建立和贯彻实施及与同行业务联系单位的密切沟通是转变高管信念的主要途径。

几年前，中央电视台邀请中美两国即将进入大学的高中生录制一档节目，国内12名学生是即将被清华、北大录取的优秀学生，美国的12名学生是总统奖的获得者。节目组要求大家制订对非洲贫困儿童的援助计划，中国学生首先阐述，他们从历史入手到咏叹茶马古道，然后伴奏弹唱，对主题一笔带过。美国学生从教育、饮水、医疗等细小的实际问题入手，做什么，怎么准备，预算到几元几分，整个计划拿来就可以实施。报刊评论说，“当中国孩子该立足实际解决问题的时候，他们在吟诗弄赋，在实际问题的外围不着边地轻轻飘浮”。

其次，可以动员高管参与到信息安全管理中去，发挥其象征性职能作用。例如高管列席组织层面相关委员会的活动，出席一些具有里程碑意义的汇报会议，听取关键性汇报，明确阐释组织信息安全管理的目标和方向，建立横向信息化项目成功的目标和标准，在信息安全管理资源分配方面投入更多精力，确保信息化投入足够到位等。

最后，信息安全管理是包括技术、流程、组织及人员的三维立体金字塔结构，忽视任何一方面都会影响信息安全管理的有效性。无论多么先进的技术，严谨的流程设计最终实施的主体一定是组织员工，因此企业须关注员工信息安全意识的提升，定期组织信息安全意识培训，组织信息安全经验交流会，制定公平合理的信息安全管理奖惩条例，加强信息安全职能部门与其他部门的沟通，将信息安全意识培训纳入公司常规培训，进而保证信息安全管理措施能够落实到企业的每一个员工和岗位。

［1］谢宗晓，林润辉，王兴起．用户参与对信息安全管理有效性的影响——多重中介方法［J］．管理科学，2013，26（3）：65-76．

［2］Jo Heasuk，Kim Seungjoo，Won Dongho．A study on comparative analysis of the information security management system［C］，ICCSA2010，Partⅳ，2010：510-519．

［3］白海青，毛基业．高层管理支持信息系统的概念及维度研究［J］．管理评论，2009，（10）：61-69．

［4］Jarvenpaa S L，Ives B．Executive involvement and participation in the management of information technology［J］．MIS quarterly．1991，15（2）：205-227．

［5］Guimaraes，T．，Igbaria，M．Client Server System Success：Exploring the Human Side［J］．Decision Sciences．1997，28（4）：851-876．

［6］Lederer，A．L．，Mendelow，A．L．Convincing Top Management of the Strategic Potential of Information Systems［J］．MIS Quarterly，1988，12（4）：525-534．

［7］Doll，W．J．Avenues for Top Management Involvement in Successful MIS Development［J］．MIS Quarterly．1985，9（1）：17-35．

［8］Ragu-Nathan B S，Apigian C H，Ragu-Nathan T S，et al．A path analytic study of the effect of top management support for information systems performance［J］．Omega．2004，32（6）：459-471．

［9］Jackson，S．E．Consequence of Group Composition for the Interpersonal Dynamics of Strategic Issue Processing［J］．Advances in Strategic Management．1992，8：345-382．

［10］Hambrick D．C．Upper Echelons Theory：An Update［J］．The Academy of Management Journal．2007，32（2）：334-343．

［11］贺立军，王云峰，赵钊．企业高管支持及其对信息化绩效的影响研究［J］．河北工业大学学报，2010，39（01）：84-87．

［12］Liang H，Saraf N，Hu Q，et al．Assimilation of enterprise systems：The effect of institutional pressures and the mediating role of top management［J］．Mis Quarterly．2007，31（1）：59-87．

［13］ISF（Information Security Forum），The standard of good practice for information security，Version4．0［S］．2003．

［14］Spears J．L．，Barki H．User participation in IS security management［J］．MIS Quarterly．2010，34（3）：503-522．

［15］Puhakainen．P．and M．Siponen．Improving employees＇compliance through information systems security training：an action research study［J］．MIS Quarterly，2010．34（4）：757-778．

［16］Karjalainen．M．and M．Siponen．Toward a New Meta-Theory for Designing Information Systems（IS）Security Training Approaches［J］．Journal of the Association for Information Systems，2011．12（8）：518-555．

［17］Kruger．H．A，Kearney W．D．A prototype for assessing information security awareness［J］．computers ＆security．2006，25（4）：289-296．

［18］Bulgurcu B，Cavusoglu H，Benbasat ．I．Information security policy compliance：An empirical study of rationality-based beliefs and information security awareness［J］．MIS Quarterly，2010，34（3）：523-548．

［19］Teo．TSH，Ang J．S．K．An examination of major IS planning problems［J］．International Journal of Information Management．2001，21（6）：457-470．

［20］谢宗晓．信息安全管理体系实施指南 ［M］．北京：中国标准出版社，2012．

［21］谢宗晓．信息安全管理体系实施案例 ［M］．北京：中国标准出版社，2012．

［22］中国银行业监督管理委员会．商业银行信息科技风险管理指引［R］．北京：中国金融出版社，2009．

［23］Chang．S．E．，Lin Chin-shien．Exploring organizational culture for information security management［J］．Industrial Management ＆ Data Systems．2007．10（3）：438-458．

［24］Mithas．S，Ramasubbu．N，Sambamurthy V．How information management capability influences firm performance［J］．Mis Quarterly．2011，35（1）：237-256．

［25］柳士顺，凌文辁．多重中介模型及其应用［J］．心理科学，2009，（02）：433-435．

［26］方杰，张敏强，邱皓政．中介效应的检验方法和效果量测量：回顾与展望［J］．心理发展与教育，2012，（01）：105-111．

［27］吴明隆．结构方程模型：AMOS的操作与应用［M］．重庆：重庆大学出版社，2010．

［28］温忠麟，侯杰泰，马什赫伯特．结构方程模型检验：拟合指数与卡方准则［J］．心理学报，2004，36（2）：186-194．