APP下载

信息安全压力与员工违规意愿:被调节的中介效应

2018-11-09谢宗晓董坤祥

管理科学 2018年4期
关键词:意愿违规信息安全

甄 杰,谢宗晓,董坤祥

1 重庆工商大学 商务策划学院,重庆 400067

2 中国金融认证中心 信息安全服务部,北京 100054

3 山东财经大学 管理科学与工程学院,济南 250014

引言

随着计算机网络和信息技术的快速发展,企业的正常运转和市场竞争力的提升愈发依赖于信息技术和信息系统的支持,信息已然成为企业的关键资产和重要资源。然而,频发的信息安全事件却时常将企业置于各种风险和威胁之中,信息安全也日渐成为企业高度关注的管理问题[1]。企业的信息安全风险由外部威胁(如黑客入侵、网络间谍活动)和内部威胁构成。其中,70%~80%的信息安全风险是由员工有意或无意的违规行为引发的[2]。因此,员工的信息安全违规行为已经超越外部威胁成为企业信息安全管理中需要重点解决的问题[3]。

事实上,员工的信息安全违规行为往往会对企业的信息安全管理造成巨大威胁[4],这是因为再先进的信息技术和管理信息系统,如果没有规范操作作为基本保障,其安全性也会大大折扣[5]。也就是说,即使企业采纳了先进的信息技术或部署了完备的管理信息系统,员工如果没有遵守信息安全管理制度(如重要数据备份、安全的操作规程等),也很容易引发严重的信息安全风险或事件。一般来说,制定科学合理的信息安全管理制度[6]并严格的执行是企业信息安全的重要保证[7],但是企业如果不能有效减少员工的信息安全违规行为,也就不能有效阻断频发的信息安全事件[8]。因此,探讨员工信息安全违规的关键影响因素和作用机制,对于企业预防和管理员工的信息安全违规行为具有重要的理论和现实意义。

1相关研究评述

近年来,借鉴犯罪学、社会心理学、健康学和组织行为学等领域的相关理论探讨员工的信息安全行为是国内外行为信息安全研究的热点[9],涉及的主要研究问题包括:①企业如何确保员工遵守其内部的信息安全管理策略[10];②企业如何激发员工的信息安全保护行为;③企业如何设计相应的惩罚措施,以形成对员工信息安全违规行为的有效威慑[11];④员工产生信息安全违规行为的原因。尽管围绕上述问题的探讨取得一定研究成果,但是已有研究存在以下3个局限。

(1)研究结论不统一。IFINEDO[12]研究发现,感知威胁严重性对员工的信息安全遵守行为有正向影响。相反地,VANCE et al.[13]则证明,感知威胁严重性对员工的信息安全遵守行为有负向影响。这一研究结论的矛盾,在很大程度上是由于两项研究使用同一理论中的变量测量维度不一致造成的。由此可见,行为信息安全管理领域内的相关研究还存在较大的改进空间。

(2)精英偏见。已有研究主要基于信息安全专家和高层管理团队的思维模式,从而导致研究结论往往出现精英偏见[1]。换句话说,信息安全专家和高层管理人员代表了企业的高层管理,即使他们能够提供员工信息安全行为的有益见解,但是他们几乎接触或意识不到一般组织员工感知到的管理信息系统的脆弱性和信息安全管理带给他们的困惑[14]。因此,相关研究也就无法对员工的信息安全保护及信息安全违规行为做出全面、充分的解读和分析。

(3)系统分析员工信息安全违规影响因素和作用过程的研究比较匮乏[15]。已有研究较多探讨企业如何通过严厉的惩罚措施来威慑员工[16],进而减少信息安全违规行为的发生,但是较少涉及对员工信息安全违规(行为)意愿的影响机制的分析,如内在动机、影响因素和作用过程[17]。只有SIPONEN et al.[18]运用中和技术理论分析员工信息安全违规意愿的形成过程,即员工用否认责任、否认伤害等6种中和技巧来说服自己,以做出信息安全违规行为;D′ARCY et al.[7]从员工遵守信息安全管理策略会产生“额外”工作负荷的角度,解读员工的道德推脱对信息安全违规行为的影响。然而,上述研究有两个明显的局限性:①忽视了信息安全意识的作用。也就是说,上述两项研究没有结合企业信息安全管理的实践,没有探讨员工信息安全意识的影响和作用,因此也就没有办法解答为什么越来越多的国内外企业非常重视开展或推动员工的信息安全意识培训;②在行为信息安全的管理研究中,没有充分考虑“人”的正向能动可能性。换句话讲,员工态度和行为的转变(如执行一个“坏”的工作行为)需要经历态度和行为的转变过程,这个转变过程需要有合理和充分的理论分析和解读。只有这样,才能拓展行为信息安全相关理论的解释范畴。

信息安全违规行为包括不遵守信息安全管理制度的所有信息资源、技术、系统的不规范使用行为。基于上述分析,本研究对员工信息安全违规行为的影响机制展开分析,基于应对理论和道德推脱理论构建信息安全压力、道德推脱、信息安全意识和信息安全违规意愿之间的关系模型,采用问卷调查方法对研究模型进行验证,以期能够为企业有效减少和控制员工的信息安全违规行为提供有针对性的对策和建议。

2理论基础和研究假设

本研究的理论基础是应对理论和道德推脱理论,应对理论主要用来分析员工道德推脱的前因,道德推脱理论主要用来解释员工如何说服自身的内在道德调控系统以允许信息安全违规行为的发生。

2.1应对理论

应对理论详细描述了个体心理压力的认知和行为过程,因此该理论为员工信息安全压力的产生,即员工为遵守信息安全管理制度所产生的压力提供了一个合适的理论分析框架[7]。具体来说,应对理论主要分析个体面对压力时经历的应对过程和采取的应对策略,以及这些策略为何产生、有何作用[19]。该理论指出,应对过程首先要进行压力评估,主要包括首要评估和次要评估两个相关联的评估环节。在首要评估环节,个体会评价所面临事件的关联性,并判断事件是否会带来压力;在次要评估环节,个体会判断对该压力事件的驾驭能力。经过上述两个评估环节,个体会形成对该事件的应对策略[20]。与此相对应,本研究关注的信息安全压力是员工经过首要评估和次要评估产生的结果,它是指为了满足企业信息安全管理要求,需要消耗员工认知资源和能力所引发的一种心理压力。与具有挑战属性的工作压力不同,信息安全压力往往由员工为了履行工作职责而使用信息技术或操作信息系统的工作负荷过载、复杂性和不确定性所造成[5]。因此,员工的信息安全压力更多的是一种具有阻断属性的工作压力。

在评估结果的具体应对策略上存在多种不同的反应分类,但是应用最多的应对策略分类是问题聚焦和情绪聚焦。问题聚焦的应对策略包括直接努力或改变所面临的压力环境。在特定的工作环境下,基于问题聚焦的努力消除障碍的同时,可以增加人们的工作知识和技能。情绪聚焦的应对策略包括改变思考或体验压力的方式,如转移注意力和逃离特定的压力情景[21]。也就是说,情绪聚焦的应对策略无法改变客观存在的压力环境[22],而问题聚焦的应对策略可以改变特定的压力环境[23]。基于上述分析,信息系统领域的学者已经采用该理论来分析相关问题[24]。已有研究已经识别了几种不同的应对策略,包括精神放松技巧、修改工作任务以及创造或适应技术。同时,还有研究表明,当评估结果威胁到个人发展或工作推进时,如果员工判断他们对于这些压力情景的控制非常有限,则他们倾向于采用情绪聚焦的应对策略[25]。

2.2道德推脱理论

BANDURA[26]在社会认知理论的框架下提出了道德推脱的概念,用于解读个人的不道德行为。道德推脱是指个体会产生一种特定的认知倾向,包括重新定义自己的不道德行为以使其伤害显得更小[27],并最大限度地减少自己在某项不道德行为后果中的责任[28]。因此,道德推脱理论往往用于解释为什么人们在明知错误的情况下,仍然会做出某些错误行为[29]。该理论认为,当个人在道德上采取推脱时,他就切断了该行为与其有害后果间的关系[30]。

组织领域的相关研究已经证明,道德推脱为分析员工的消极工作、违规、不道德行为提供了一种全新视角[31]。当某种违规行为产生于组织时,员工往往会将违规行为造成的伤害进行去人性化的认知和解读,从而使人们摆脱了因违反自身道德标准而产生的内疚和自责情绪,心安理得地做出不道德行为[32]。基于上述分析,本研究采用道德推脱理论分析员工在做出信息安全违规行为时的自我认知调整和自我说服心理过程。

2.3研究假设

2.3.1信息安全压力对违规意愿的直接效应

在企业的信息安全管理中,当员工严格按照信息安全管理制度执行日常工作任务时,有些员工会感知到信息安全压力,即遵守信息安全管理制度的工作任务负荷过重、管理要求复杂难懂、安全要求不够具体明确,该过程是应对理论的首先评估过程[5]。已有研究表明,员工往往会将负面情绪(如时间的浪费、精力的耗费和挫折)归因于为了满足岗位信息安全需求而付出的“额外”努力[7]。与此同时,员工也会感知到他们对于企业的信息安全管理制度的执行要求没有任何的控制权或话语权,该过程是应对理论的次要评估过程。也就是说,耗费员工时间和精力的信息安全操作步骤增加了员工的工作负担,为员工带来了信息安全压力,员工自觉执行信息安全管理制度的可能性就会下降[33]。尤其是在企业的信息安全管理制度比较复杂的情况下,员工只有两种选择:第一,花费大量的时间和精力充分地理解复杂的管理程序和繁琐的技术要求,这样做可能会在一定程度上降低日常工作的进度;第二,不遵守企业的信息安全管理制度,冒着一定风险采取信息安全违规行为,而不会对工作进度产生太大影响。因此,本研究提出假设。

H1信息安全压力对员工的信息安全违规意愿有正向影响。

2.3.2道德推脱的中介作用

信息安全压力会引发员工的信息安全违规行为[3],然而信息安全压力对违规(行为)意愿的具体作用机制还有待于更加深入的探讨。频发的员工信息安全违规行为显然违反了企业信息安全管理制度,背离了职业道德准则。员工对规章制度的畏惧心理和对违规惩罚的恐惧心理,以及内心道德准则的自我驱使都没有促使其遵守企业的信息安全管理制度[9]。这就说明,一方面,道德推脱使员工的信息安全违规行为与外部惩罚之间失去联系,此时的自我道德调控过程已经失效[34],员工可以摆脱违规行为造成的内疚和自责;另一方面,当员工的信息安全违规不是一个偶发事件时,即信息安全违规时常发生于企业和团队的内部,此时员工往往会进行责任分散,以推脱应当承担的责任[34]。

整体而言,信息安全压力的存在意味着员工遵守信息安全管理制度有一定难度,当员工没有办法理解其重要性时,信息安全管理制度对于企业生存和发展的重要性就会大打折扣[7]。一般来说,信息安全压力会对员工的正常工作表现产生影响[7]。例如,员工遵守企业信息安全管理制度花费的时间,导致其不能及时完成工作任务或通过加班来完成工作任务。然而,一旦面临工作任务重或工作周期短的情况,通过拖延或加班没有办法完成既定工作。此时,这种累积的信息安全压力将会触发员工的负面行为反应[5]。事实上,员工受到的工作规范约束、接受的岗前培训和职业培训,以及内心具备的职业道德又不允许员工轻易做出信息安全违规行为。此时,信息安全违规行为的发生需要员工完成道德推脱的过程。进一步,员工的道德推脱通过道德辩护、责备归因、责任转移和责任分散等相互关联的机制产生作用[31],这就助推了员工不同类型信息安全违规行为的发生。综上,员工的信息安全压力通过道德推脱的过程机制最终影响信息安全违规意愿。因此,本研究提出假设。

H2道德推脱在信息安全压力与员工信息安全违规意愿之间起中介作用,即信息安全压力通过道德推脱间接正向影响员工信息安全违规意愿。

2.3.3信息安全意识对信息安全压力与道德推脱的调节作用

信息安全领域的研究表明,员工违规行为导致的信息安全事件已经成为企业信息安全管理的主要威胁[35],提高员工的信息安全意识尤为重要[36],这也是国内外众多企业开展信息安全意识培训的原因[37]。信息安全论坛(Information security forum,ISF)将信息安全意识定义为组织所有员工理解信息安全的重要性,清楚组织所适用的安全级别[38],知悉并履行个人在日常工作中的安全职责[39]。

如前所述,员工的信息安全压力水平越高,越能够促使其进行道德推脱。但信息安全压力的产生也存在缓解条件和抑制因素,即信息安全意识[40]。员工高水平的信息安全意识有助于抑制信息安全压力的产生,从而进一步阻碍道德推脱。DINEV et al.[41]证明员工的信息安全意识越高,越有利于企业信息资源的保护;PUHAKAINEN et al.[42]证明信息安全意识培训可以显著提高员工的信息安全意识,提高员工遵守信息安全管理制度的能力,这也在某种程度上减轻了员工的信息安全压力;谢宗晓等[43]验证了员工信息安全意识对信息安全管理制度有效性的积极影响。由此可见,员工的信息安全意识越强,越能够阻碍信息安全压力的产生,进而减少道德推脱过程的进行。因此,本研究提出假设。

H3信息安全意识负向调节信息安全压力与道德推脱之间的关系,即员工的信息安全意识水平越高,信息安全压力对道德推脱的影响越弱。

2.3.4信息安全意识对道德推脱与员工信息安全违规意愿的调节作用

道德推脱与员工信息安全违规意愿密切相关,然而不同员工在信息安全违规方面的表现却存在很大差异[7]。由前述分析可知,道德推脱能够切断员工信息安全违规行为与其内在道德标准的关联,使员工不会因为信息安全违规而感到自责和内疚[44]。在企业信息安全管理中,如果员工具有强烈的信息安全意识,这就意味着员工理解并熟知日常工作中的信息安全管理制度,并对自身的工作职责有着清楚的认知[45]。此时,员工的道德推脱过程将会受到信息安全意识的“干扰”,不能顺利完成,道德推脱与信息安全违规意愿之间的关系就会受到抑制。因此,本研究提出假设。

H4信息安全意识负向调节道德推脱与信息安全违规意愿之间的关系,即员工的信息安全意识水平越高,道德推脱对信息安全违规意愿的影响越弱。

2.3.5被调节的中介作用

在前述分析中,一方面,基于应对理论和道德推脱理论的分析发现,员工的信息安全压力通过道德推脱的中介机制影响信息安全违规意愿;另一方面,基于信息安全意识的相关研究可知,高水平的信息安全意识可以抑制信息安全压力与道德推脱、道德推脱与信息安全违规意愿之间的关系。综合这两方面的论述,信息安全意识可能会对信息安全压力-道德推脱-信息安全违规意愿的整个中介机制起调节作用,换句话讲,可能存在被调节的中介效应。

员工的高信息安全意识水平为信息安全压力的产生提供了某种抑制条件,员工由此有更小的可能性将信息安全压力转化为道德推脱的过程;而员工道德推脱水平的降低,也降低了员工的信息安全违规意愿。反之,员工的信息安全意识水平较低时,便会有较高的信息安全压力感知,这就增加了员工道德推脱的可能性,进而导致较高水平的员工信息安全违规意愿。例如,微软公司在帮助客户建立信息安全方案时指出,建立信息安全意识培训方案的主要目标是通过强化大家认可的、与公司业务有关的安全活动,即降低产生信息安全压力的可能,从而改变全体员工的行为[39]。企业信息安全控制的效果依赖于员工的信息安全意识[35],信息安全意识的提高有利于员工执行信息安全管理制度以及建立重视信息安全管理的组织文化[46]。上述研究都在一定程度上验证了信息安全压力与员工信息安全违规意愿之间存在被调节的中介效应。因此,本研究提出假设。

H5信息安全意识负向调节信息安全压力通过道德推脱影响员工信息安全违规意愿的中介效应,即员工信息安全意识越强,信息安全压力通过道德推脱影响员工信息安全违规意愿的中介效应越弱。

综上所述,提出研究模型,见图1。与已有相关研究[5,7]相比,本研究模型有两点创新:①在企业信息安全管理情景下,基于应对理论的两个评估环节,明确了员工信息安全违规的主要影响因素是信息安全压力,进而构建信息安全压力-道德推脱-信息安全违规意愿这一影响路径;②识别了信息安全意识的调节效应。这就意味着,明确了信息安全管理情景下道德推脱理论和应对理论的限制条件和适用范围,这对于既定框架下深入理解员工的信息安全违规行为有重要作用。上述两点创新对于明确企业信息安全管理中员工的重要性,从而更好地从行为信息安全的视角解决企业信息安全管理中“人”的问题有重要意义。

图1研究模型Figure 1Research Model

3研究方法

3.1样本选取和数据收集

本研究采用问卷调查的方法进行数据收集,问卷调研对象是中国通过信息安全管理体系认证(GB/T 22080-2008/ISO/IEC 27001:2005)的企业的内部员工,说明被访者的工作单位正在实施信息安全管理制度,调研对象的工作环境符合本研究的情景要求。问卷调研过程依托专业的调研平台,采用在线填写问卷的形式,调研时间为2017年3月1日至2017年3月31日。问卷采用Likert 7点评分法,1为非常不同意,7为非常同意。

为了保证所填写问卷的有效性,对问卷的收集进行必要的控制。例如,每个IP地址只能对应一份有效问卷进入数据的分析过程;填写不完整的问卷不能提交等。在此基础上,对回收的356份问卷进行筛选,剔除恶意回答、前后不一致等的38份无效问卷后,最终得到有效问卷318份,问卷的有效回收率为89.326%。被访者的描述性统计结果见表1。

表1样本描述性统计结果Table 1Results for Descriptive Statistics of the Samples

3.2变量及其测量

为了保证测量工具的信度和效度,本研究尽量采用已有研究中被广泛使用和验证的研究量表,并结合企业信息安全管理这一特定情景进行调整。对信息安全压力的测量,根据D′ARCY et al.[7]和LEE et al.[5]的量表修改得到,包括3个题项,涉及工作负荷量、复杂性和不确定性3个维度;对道德推脱的测量,根据BANDURA[28]、MOORE et al.[32]和DETERT et al.[47]的量表改编,概括为3个题项,涉及道德辩护、责任转移和忽视结果3个维度;对信息安全意识的测量,根据SPEARS et al.[48]和D′ARCY et al.[49]的量表改编,包括3个题项;对员工信息安全违规意愿的测量题项来自于SIPONEN et al.[18]和CHENG et al.[6]的量表,采用密码管理、工作站注销和用移动设备拷贝数据3种情景模拟的方式,考察员工的违规意愿。

在控制变量方面,由于不同行业的信息化发展水平以及信息系统的采纳程度不同,进而造成不同行业中企业对于员工信息安全知识需求的不同。组织员工从事工作的类型会对其信息安全行为有影响,如市场营销和数据管理两种工作类型对于员工信息安全行为的要求完全不同。教育程度会对员工的认知和学习领悟能力有一定影响。一般来说,员工的年龄越大,工作经验也就越丰富,对于信息安全行为会有影响。基于上述分析,本研究将企业员工所属行业、工作类型、教育程度、年龄和性别作为控制变量。

本研究问卷量表的测量题项见表2。

4实证结果和分析

4.1共同方法偏差

基于问卷调查的实证研究中,如果观测变量由相同的被试者填答容易导致共同方法偏差问题。为了排除共同方法偏差的影响,本研究在统计控制环节采用Harman单因素检验的方法进行检验[50]。检验结果表明,第1个因子的方差解释度为38.933%,小于40%,说明研究数据不存在共同方法偏差问题,可以进行后续的数据分析工作。

4.2信度和效度检验

本研究对量表的信度和效度进行检验,主要采用组合信度(CR)和项目载荷评价量表的信度;通过验证性因子分析,检验测量量表的结构效度,用潜变量平均变异萃取量(AVE)的平方根是否大于潜变量之间的相关值检验区分效度,用AVE评价量表的聚合效度。测量量表的不同指标见表2和表3。

由表2可知,信息安全压力、道德推脱、信息安全意识和信息安全违规意愿的组合信度分别为0.931、0.882、0.860和0.909,4个潜变量的Cronbach′sα值分别为0.889、0.802、0.758和0.849,均大于0.700的基准值。上述两个指标说明测量量表具有较好的信度。由表2可知,4个潜变量的AVE分别为0.818、0.714、0.672和0.769,均大于0.500的基准值;每个潜变量所包含测量题项的因子载荷均在0.700的基准值之上,表明量表具有较好的结构效度。对交叉载荷进行检验的结果见表3,因子载荷在所属潜变量一列的值要明显高于其他潜变量的值,表明本研究测量模型具有较高的聚合效度和区分效度。

表2量表的信度和效度Table 2Reliability and Validity of Scales

表3交叉载荷检验结果Table 3Test Results for Cross Loading

4.3描述性统计

信息安全压力、道德推脱、信息安全意识和信息安全违规意愿4个潜变量的平均值、标准差和相关系数见表4。由表4可知,信息安全压力与道德推脱显著正相关,r=0.747,p<0.010;道德推脱与信息安全违规意愿显著正相关,r=0.542,p<0.010;信息安全压力与信息安全违规意愿显著正相关,r=0.645,p<0.010;道德推脱与信息安全意识显著负相关,r=-0.722,p<0.010;信息安全意识与信息安全违规意愿显著负相关,r=-0.712,p<0.010。这些相关性与理论预期的关系相一致,为验证研究假设提供了初步证据。

表4均值、标准差和相关系数Table 4Mean, Standard Deviation and Correlation Coefficients

注:**为p<0.010,下同。

表5回归分析结果Table 5Results of Regression Analysis

注:*为p<0.050,***为p<0.001,下同。

4.4研究假设检验

本研究进行逐步线性回归,考虑到需要进行调节效应检验,在进行回归分析之前对控制变量以外的所有变量进行中心化处理,具体回归分析结果见表5。表5中,模型1以道德推脱为因变量,以控制变量为自变量;模型2在模型1的基础上,增加信息安全压力为自变量,用来检验信息安全压力与道德推脱之间的关系;模型3在模型2的基础上,增加信息安全意识以及信息安全压力与信息安全意识的交互项为自变量,检验信息安全意识对信息安全压力与道德推脱之间关系的调节作用。模型4以信息安全违规意愿为因变量,以控制变量为自变量,模型5在模型4的基础上,增加信息安全压力为自变量,模型6在模型5的基础上增加道德推脱为自变量,模型4、模型5和模型6用来检验道德推脱的中介效应。模型7以信息安全违规意愿为因变量,自变量包括控制变量、信息安全压力、道德推脱、信息安全意识以及信息安全压力与信息安全意识的交互项、道德推脱与信息安全意识的交互项,检验信息安全意识的调节作用。同时,模型3和模型7也是检验被调节的中介效应的重要步骤。

(1)检验H1。模型5的回归结果表明,信息安全压力与信息安全违规意愿显著正相关,β=0.518,p<0.001,ΔR2=0.216,大于0,表示模型的解释力增强。因此,H1得到验证。

(2)检验H2。信息安全压力与信息安全违规意愿显著正相关,模型2的回归结果表明,信息安全压力与道德推脱显著正相关,β=0.589,p<0.001。以信息安全违规意愿为因变量、以信息安全压力和道德推脱为自变量进行回归分析,模型6的回归结果表明,信息安全压力与信息安全违规意愿显著正相关,β=0.434,p<0.001;道德推脱与信息安全违规意愿显著正相关,β=0.178,p<0.050。对比模型5与模型6的回归结果可知,信息安全压力回归系数由0.518降至0.434,说明信息安全压力对信息安全违规意愿的影响通过道德推脱的部分中介机制产生作用,H2得到验证。

(3)检验H3和H4。模型3的回归结果表明,信息安全压力与信息安全意识的交互项系数为-0.516,p<0.001,说明信息安全意识对信息安全压力与道德推脱之间关系有负向调节作用,H3得到验证;模型7的回归结果表明,道德推脱与信息安全意识的交互项系数为-0.422,p<0.010,说明信息安全意识对道德推脱与信息安全违规意愿之间关系有负向调节作用,H4得到验证。为了更加准确判断调节效应的显著性,以平均数加减标准差为标准,将信息安全意识划分为高、低两个水平,然后进行简单斜率分析,结果见图2。由图2可知,在高信息安全意识水平下,信息安全压力与道德推脱以及道德推脱与信息安全违规意愿的关联性均较强,简单斜率分别为0.764(p<0.010)和0.568(p<0.010);在低信息安全意识水平下,信息安全压力与道德推脱以及道德推脱与信息安全违规意愿的关联性较弱,简单斜率分别为0.143(p>0.050)和0.087(p>0.050)。因此,H3和H4进一步得到验证。

(4)检验H5。本研究采用EDWARDS et al.[51]提出的被调节的路径分析方法检验H5(即被调节的中介效应),采用Spss的Process插件Bootstrap程序进行检验[52],设定Bootstrap的次数为5 000次,置信区间为95%[53],运算出不同信息安全意识水平下路径系数、标准误差和中介效应的置区间,结果见表6。

由表6可知,在低信息安全意识水平下,间接效应在95%水平上的置信区间包含0,即信息安全压力通过道德推脱影响信息安全违规意愿的作用不显著,β=-0.071,p>0.050;在高信息安全意识水平下,间接效应在95%水平上的置信区间不包含0,系数为-0.237,p<0.010,即信息安全压力通过道德推脱影响信息安全违规意愿的作用显著。也就是说,随着信息安全意识水平的提升,道德推脱的中介作用逐渐显著,H5得到验证。

图2信息安全意识的调节作用Figure 2Moderating Effect of Information Security Awareness

表6被调节的中介效应检验结果Table 6Test Results for Moderating Mediation Effects

5结论

本研究以应对理论和道德推脱理论为基础,以中国通过信息安全管理体系认证企业(ISO/IEC 27001)的员工 为对象,采用问卷调查方法,对信息安全压力与员工信息安全违规意愿之间的作用机制进行研究,研究结果如下。

(1)信息安全压力对员工信息安全违规意愿有显著正向影响,并且道德推脱在信息安全压力与信息安全违规意愿之间起中介作用。员工信息安全压力越大,其信息安全违规的意愿越强烈。这与D′ARCY et al.[7]和LEE et al.[5]在组织管理情景下得出的信息安全压力与反生产行为/不道德组织行为关系的研究结论一致。企业内部诸多信息安全的要求造成了员工遵守信息安全管理制度的压力,这会加大员工信息安全违规的可能性。在此过程中,道德推脱过程切断了违规行为与负面后果(如愧疚和自责)之间的关系,加大了发生信息安全违规行为的可能性。

(2)信息安全意识对信息安全压力与道德推脱、道德推脱与信息安全违规意愿之间的关系有负向调节作用。说明员工的信息安全意识越高,信息安全压力对道德推脱的影响越弱,道德推脱与信息安全违规意愿之间的关系越弱。背后所隐含的内在逻辑是,员工对信息安全管理的重要性越熟悉,越知悉个人在日常工作中的信息安全职责,就越容易创造信息安全违规的屏蔽条件。这与D′ARCY et al.[49]和BULGURCU et al.[40]的研究结论一致,即员工信息安全意识越高,组织内部越不容易产生信息安全的违规行为。

(3)信息安全意识负向调节道德推脱在信息安全压力与信息安全违规意愿之间的中介作用,即员工信息安全意识越高,上述中介作用越弱,反之越强。也就是说,信息安全意识负向调节从信息安全压力到信息安全违规意愿的整个间接效应,即存在被调节的中介效应,而且这一被调节的中介效应通过信息安全压力与道德推脱和道德推脱与信息安全违规意愿之间关系的调节作用实现。这就意味着,信息安全压力可以通过道德推脱影响信息安全违规意愿,对于高信息安全意识的员工来说,这一影响过程和作用机制将会受到抑制。

本研究证实了信息安全压力除对信息安全违规意愿有直接的显著正向影响外,还通过道德推脱的中介机制间接影响违规意愿,信息安全意识对上述中介作用有完全的负向调节效应。在管理实践中,企业可以通过合理减轻员工的信息安全压力、提高员工的信息安全意识等手段减少员工信息安全违规行为的发生。

(1)减轻员工的信息安全压力。企业要求在工作中采用新的技术或系统,以及遵守既定的企业管理制度,往往会增加员工的心理压力[54]。在信息安全管理中,员工遵守信息安全管理制度,就会在原有工作的基础上增加工作负荷、复杂性和不确定性。因此,员工自觉执行信息安全管理制度的可能性就会下降。基于此,企业需要降低信息安全管理制度的复杂性,使员工不需要花费大量时间和精力完成系统的操作,从而加快工作进度。此外,企业的信息安全管理部门需要与员工有足够的沟通和反馈,以及时解决员工在信息安全管理中遇到的问题,减少工作中不清晰和不明确的地方。

(2)提高员工的信息安全意识。企业要明确信息资产和资源与企业的人力、物力和财力等同样重要,甚至在既定情况下企业信息资产的安全直接关乎企业的生存和发展,这样的理念应渗透并落实到员工的日常工作中。尤其是,需要以反面案例提醒员工信息安全违规行为的严重后果,如泄露企业客户的信息对客户造成的严重打击、没有及时修补企业系统漏洞引发的各种安全事故等。企业需要帮助员工明确和知晓信息安全违规行为造成的严重后果和伤害,这对于阻断员工违规行为的中和技术有重要作用,同样可以有效减少信息安全违规行为的发生。

(3)加强员工的职业道德培训。企业应开展或改善员工的信息安全意识培训,除了强调信息安全管理对于保护企业信息资产的重要性之外,还要突出强调遵守信息安全管理制度是员工职业道德素养的组成部分。与此相对应,员工才会在自我内在道德调节系统中深化遵守信息安全管理制度的必要性和重要性,有效抑制其信息安全违规行为的发生。同时,企业需要明确,员工信息安全意识的培养和提高不是一件一蹴而就的事情,需要在信息安全管理的方方面面有所体现,并且渗透到员工的日常工作中。只有这样,才能发挥信息安全意识的重要作用。

本研究仍存在不足和需要完善的地方。①为了保证量表的信度和效度,对研究模型中变量的测量均采用已有研究中被广泛使用和多次验证的题项。未来研究应该设计和开发更加符合中国企业信息安全管理情景的研究量表,以使研究结论更符合中国企业信息安全管理的实践。②问卷调查的对象均是中国通过信息安全管理体系认证的企业的内部员工,这在一定程度上限定了样本所属行业,而对信息安全管理要求较高行业的企业,往往注重信息安全管理体系的认证,导致研究样本覆盖的行业不够广泛,后续的研究应扩大样本量,以使研究结论更加具有代表性。

猜你喜欢

意愿违规信息安全
健全机制增强农产品合格证开证意愿
基于区块链技术的船舶信息安全预测
违规借调的多重“算计”
不同社会阶层体育消费意愿和行为的比较研究
信息安全不止单纯的技术问题
违规动火作业致9死18伤
违规试放存放 爆炸5死1伤
驾照
2014第十五届中国信息安全大会奖项
An Analysis on Deep—structure Language Problems in Chinese