組織環(huán)境對(duì)企業(yè)信息安全管理的影響路徑研究

吳志杰

（江蘇大學(xué) 管理學(xué)院，江蘇 鎮(zhèn)江 212013）

一、引言

隨著各類信息泄露事件的頻繁發(fā)生，信息安全逐漸引起了組織和個(gè)人的重視，無論是個(gè)人、組織還是國家，保持關(guān)鍵信息的安全性都是非常重要的。

目前，對(duì)于信息安全的學(xué)術(shù)研究大多集中于技術(shù)層面，從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認(rèn)為，信息安全的經(jīng)濟(jì)管理研究比其技術(shù)方面研究更為重要。［1］傅毓敏（2010）指出，中國企業(yè)信息安全事故頻發(fā)的主要原因，是對(duì)信息安全管理人員和流程的重視不足。［2］信息安全管理是一項(xiàng)包括技術(shù)、管理及其他因素在內(nèi)的系統(tǒng)工程，必須上升到管理角度進(jìn)行剖析才有可能徹底解決信息安全問題。

鑒于此，本文聚焦于企業(yè)信息安全管理中的組織環(huán)境與人力資源安全層面上，通過對(duì)139家中小企業(yè)進(jìn)行訪談和問卷調(diào)查收集數(shù)據(jù)，運(yùn)用因子分析和結(jié)構(gòu)方程模型對(duì)數(shù)據(jù)進(jìn)行處理，用實(shí)證的方法分析組織環(huán)境和人力資源安全在企業(yè)信息安全管理中發(fā)揮的作用，對(duì)組織環(huán)境、人力資源安全與企業(yè)信息安全管理中其他要素間的關(guān)系進(jìn)行研究。

二、理論基礎(chǔ)及假設(shè)

1、企業(yè)信息安全管理要素構(gòu)成

對(duì)于企業(yè)信息安全管理要素的構(gòu)成，國際上普遍遵循的是ISO17799:2005標(biāo)準(zhǔn)的分類方法。ISO17799將企業(yè)信息安全管理實(shí)施分為11個(gè)方面，［3］分別是物理和環(huán)境安全、信息安全事件管理、人力資源安全、安全政策、組織信息安全、資產(chǎn)管理、通信與操作管理、訪問控制、業(yè)務(wù)連續(xù)性管理、信息系統(tǒng)獲取開發(fā)和維護(hù)、符合性。這其中，除了與技術(shù)關(guān)系較為緊密的訪問控制、信息系統(tǒng)獲取開發(fā)和維護(hù)、通信與操作管理這3個(gè)方面外，其他信息安全管理要素更側(cè)重于組織整體的運(yùn)營管理，在實(shí)施企業(yè)信息安全管理過程中有較高的參考意義。

為了實(shí)證分析中數(shù)據(jù)測(cè)量方便，本文參考該標(biāo)準(zhǔn)，從企業(yè)的角度，按照各要素屬性及控制措施的相似性，將ISO17799標(biāo)準(zhǔn)中的11個(gè)要素整合為6個(gè)要素，分別為組織環(huán)境（符合性、安全政策、組織信息安全）、人力資源安全、資產(chǎn)設(shè)備安全（資產(chǎn)管理、物理和環(huán)境安全）、操作管理（通信與操作管理、訪問控制）、應(yīng)急響應(yīng)機(jī)制（信息安全事件管理、業(yè)務(wù)連續(xù)性管理）和信息系統(tǒng)開發(fā)與維護(hù)。

2、研究假設(shè)

（1）組織環(huán)境。本文中的組織環(huán)境側(cè)重于企業(yè)中的政策制度、人文環(huán)境等軟環(huán)境，主要指所有潛在影響信息安全管理活動(dòng)的因素或力量，在企業(yè)的信息安全管理中起導(dǎo)向性的作用，具體包括企業(yè)的安全政策方針、安全文化氛圍和業(yè)務(wù)符合性等。企業(yè)信息安全管理成功的實(shí)現(xiàn)離不開組織環(huán)境的支持，良好的組織環(huán)境對(duì)企業(yè)的信息安全管理有重要的推動(dòng)作用，它有助于企業(yè)各項(xiàng)安全政策、安全策略的實(shí)施。

組織的安全政策是組織實(shí)施信息安全活動(dòng)的戰(zhàn)略導(dǎo)向。完備的安全政策、方針可以為企業(yè)的每一個(gè)員工提供基本的行為準(zhǔn)則、指南，使得企業(yè)信息安全管理的各項(xiàng)活動(dòng)都有章可循，促進(jìn)信息安全管理進(jìn)程的實(shí)施。齊曉云（2011）通過實(shí)證驗(yàn)證了企業(yè)信息系統(tǒng)的失敗與缺乏相應(yīng)的制度與機(jī)制保障之間存在強(qiáng)相關(guān)關(guān)系，制度與機(jī)制保障對(duì)信息系統(tǒng)成功有正向的影響作用。［4］

企業(yè)的安全文化氛圍等人文環(huán)境是組織環(huán)境的一個(gè)重要組成部分，它是企業(yè)的一種無形的管理思想。相關(guān)研究表明，環(huán)境對(duì)人的安全行為習(xí)慣養(yǎng)成有著較大的影響。其中，人文環(huán)境的影響尤為明顯。［5］Van Niekerk（2010）指出，導(dǎo)致信息安全事故的主要因素是企業(yè)信息安全文化氛圍的減少。良好的安全文化氛圍可以提高員工的安全意識(shí)，不單能避免由員工的不安全行為所產(chǎn)生的風(fēng)險(xiǎn)，更能促進(jìn)全體員工參與到保障組織信息安全的行動(dòng)中來，最大程度消除事故隱患，有效預(yù)防和減少各類事故的發(fā)生。［6］Herath（2009）通過問卷調(diào)研的實(shí)證研究驗(yàn)證了懲罰力度是企業(yè)員工的安全行為重要影響因素之一，［7］說明企業(yè)的政策制度對(duì)人力資源安全有著正向的影響。

綜合上述分析，可以得知，良好的組織環(huán)境會(huì)對(duì)企業(yè)信息安全管理中的各要素活動(dòng)有著正向的促進(jìn)作用。因此本文提出以下假設(shè)：

H1：組織環(huán)境對(duì)人力資源安全有顯著的正向影響；

H2：組織環(huán)境對(duì)操作管理有顯著的正向影響；

H3：組織環(huán)境對(duì)信息系統(tǒng)開發(fā)與維護(hù)有顯著的正向影響。

H4：組織環(huán)境對(duì)資產(chǎn)設(shè)備安全有顯著的正向影響。

H5：組織環(huán)境對(duì)應(yīng)急響應(yīng)機(jī)制有顯著的正向影響。

（2）人力資源安全。人在企業(yè)信息安全管理活動(dòng)中不僅是主體，也是客體。主體是指許多信息安全控制措施實(shí)施的實(shí)現(xiàn)是由“人”來完成的；客體是指“人”也是信息安全管理中所要管理的對(duì)象。據(jù)有關(guān)統(tǒng)計(jì)表明，在所有的信息安全事故中，約有52%是人為因素造成的，因此，人力資源安全管理顯得十分重要。

在企業(yè)中，高層領(lǐng)導(dǎo)輕視信息安全是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識(shí)薄弱的主要因素。中層管理者是銜接企業(yè)高層與基層的橋梁，企業(yè)信息安全管理實(shí)施的效果直接取決于中層管理者對(duì)上級(jí)決策的執(zhí)行力度。Ashenden（2008）通過實(shí)證研究發(fā)現(xiàn)中層管理者的執(zhí)行力度不足會(huì)造成高層管理者和員工之間對(duì)信息安全管理存在理解上的差異，這種差異會(huì)對(duì)企業(yè)的信息安全管理產(chǎn)生不利影響。［8］普通員工對(duì)信息安全管理的參與配合不夠會(huì)導(dǎo)致各項(xiàng)安全政策、方針不能準(zhǔn)確落實(shí)，繼而影響到信息安全管理的其他方面。

綜合上述分析，可以得出，企業(yè)的人力資源安全會(huì)對(duì)企業(yè)信息安全管理的各個(gè)要素產(chǎn)生正向的影響，良好的人力資源安全可以有效減少具體操作過程中的各種不安全行為，促進(jìn)企業(yè)信息安全管理進(jìn)程的推進(jìn)。因此本文提出以下假設(shè)：

H6：人力資源安全對(duì)操作管理有顯著的正向影響；

H7：人力資源安全對(duì)信息系統(tǒng)開發(fā)與維護(hù)有顯著的正向影響；

H8：人力資源安全對(duì)資產(chǎn)設(shè)備安全有顯著的正向影響；

H9：人力資源安全對(duì)應(yīng)急響應(yīng)機(jī)制有顯著的正向影響。

基于以上的總結(jié)分析，提出了本文的理論模型及研究假設(shè)，如圖1所示：

圖1 理論模型及研究假設(shè)

三、研究過程

1、研究設(shè)計(jì)與樣本

（1）研究設(shè)計(jì)。本文在借鑒國內(nèi)外現(xiàn)有成果的基礎(chǔ)上，結(jié)合企業(yè)信息安全管理的實(shí)施程序，設(shè)計(jì)預(yù)測(cè)試問卷。問卷采用Likert 5點(diǎn)量表對(duì)各個(gè)項(xiàng)目加以度量，1表示 “非常不符合”，5表示 “非常符合”，根據(jù)答題者對(duì)每一項(xiàng)目的打分來判斷企業(yè)對(duì)某一現(xiàn)象表述的態(tài)度或看法，若分?jǐn)?shù)越高，認(rèn)同度越高。對(duì)10家中小企業(yè)進(jìn)行預(yù)測(cè)試后，形成測(cè)量項(xiàng)目表1。

表1 探索性因子分析結(jié)果

（2）調(diào)查樣本。本文采取簡(jiǎn)單隨機(jī)抽樣的方式形成樣本，面向長三角發(fā)放調(diào)查問卷200份（其中150份通過電子郵件發(fā)放，50份通過實(shí)地走訪企業(yè)完成），最終收回155份，有效問卷率為69.5%。調(diào)查企業(yè)均為中小型企業(yè)，其樣本構(gòu)成見表2。

2、測(cè)量工具及其信度和效度檢驗(yàn)

（1）信度檢驗(yàn)。本研究首先對(duì)量表進(jìn)行信度檢驗(yàn)。信度檢驗(yàn)采用了學(xué)術(shù)界普遍使用的Cronbach's α系數(shù)來衡量數(shù)據(jù)的內(nèi)在一致性信度。一般情況下，若 Cronbach's α 系數(shù)小于 0.35 為低信度，在 0.35 到0.5 之間勉強(qiáng)可信，0.5 到 0.7 之間信度較好， 大于0.7則屬于高信度。［9］本文通過對(duì) 6個(gè)維度進(jìn)行信度檢驗(yàn)，發(fā)現(xiàn)6個(gè)維度的Cronbach's α系數(shù)最小值是0.669，其余都大于 0.7，量表總體的 Cronbach's α 系數(shù)未0.897，表明此量表的可靠性較高，量表選項(xiàng)設(shè)計(jì)是合理有效的。

（2）效度檢驗(yàn)。首先采用了KMO度量和Bartlett球形度檢驗(yàn)對(duì)量表的內(nèi)容效度進(jìn)行檢驗(yàn)。從表3可以看出，各維度的KMO度量介于0.638到0.907之間，總體樣本KMO度量達(dá)到0.833，所有的顯著性系數(shù)均趨近于0，低于設(shè)定的顯著性水平（p＜0.01），表明量表的內(nèi)容效度較高。

從探索性因子分析結(jié)果看，信息安全管理量表的每一項(xiàng)目的因子載荷均大于 0.55（見表 1），大于前人所建議的社會(huì)科學(xué)量表因子載荷0.55 的臨界值。［10］從驗(yàn)證性因子分析的結(jié)果看，除GFI和NFI沒有通過檢驗(yàn)外，其他統(tǒng)計(jì)檢驗(yàn)量全部通過檢驗(yàn)，整體通過率為77.7%，見表4，因此可以判定量表與數(shù)據(jù)之間具有不錯(cuò)的擬合性，量表整體結(jié)構(gòu)效度較好。

3、結(jié)構(gòu)方程模型構(gòu)建

在理論模型的基礎(chǔ)上，運(yùn)用結(jié)構(gòu)方程軟件AMOS7.0構(gòu)建了初始結(jié)構(gòu)方程模型，并進(jìn)行擬合優(yōu)度檢驗(yàn)。根據(jù)運(yùn)行結(jié)果，GFI值 （0.884）、NFI值（0.736）、CFI值（0.899）小于 0.9 的參考值，PNFI值（0.448） 小于 0.5 的參考值，未能通過檢驗(yàn)，說明結(jié)構(gòu)模型與數(shù)據(jù)的擬合程度處于不可接受的狀態(tài)，因此需要對(duì)初始模型進(jìn)行一定的修正。另外，運(yùn)行結(jié)果表明，組織環(huán)境對(duì)資產(chǎn)設(shè)備安全和應(yīng)急響應(yīng)機(jī)制的影響路徑系數(shù)未達(dá)顯著性水平，因此在修正時(shí)將這兩條路徑刪除。修正后的指數(shù)均達(dá)到模型可以接受的標(biāo)準(zhǔn)，即修正后的結(jié)構(gòu)模型與實(shí)際數(shù)據(jù)可以適配。修正模型及路徑系數(shù)如圖2所示。

4、研究結(jié)果

將AMOS輸出的路徑系數(shù)進(jìn)行整理，最終得到如表5的檢驗(yàn)結(jié)果。其中，直接效應(yīng)是指潛在自變量到結(jié)果變量的直接影響，用潛在自變量到結(jié)果變量的路徑系數(shù)來衡量直接效應(yīng)的大小。間接效應(yīng)是指潛在自變量通過影響一個(gè)或多個(gè)中介變量，而對(duì)結(jié)果變量的間接影響。在本研究中，組織環(huán)境是潛在自變量，它對(duì)其余五個(gè)結(jié)果變量有直接或間接影響。同時(shí)，組織環(huán)境通過影響人力資源安全，從而對(duì)其余四個(gè)結(jié)果變量產(chǎn)生間接影響，因此人力資源安全是模型的中介變量。

表2 樣本描述性統(tǒng)計(jì)分析

表3 信度和效度檢驗(yàn)表

表4 驗(yàn)證性因子分析擬合指數(shù)表

上述實(shí)證結(jié)果表明，組織環(huán)境主要通過人力資源安全間接影響資產(chǎn)設(shè)備安全和應(yīng)急響應(yīng)機(jī)制。間接效應(yīng)系數(shù)均為正，分別為0.121和0.27，研究結(jié)果對(duì)假設(shè)H4、假設(shè)H5呈現(xiàn)弱支持。總的來說，組織環(huán)境對(duì)信息安全管理的各個(gè)要素有著不同程度的直接或間接的影響，這也驗(yàn)證了組織環(huán)境在企業(yè)信息安全管理中的中心地位，對(duì)企業(yè)的信息安全管理有著決定性的影響，企業(yè)應(yīng)該首要考慮如何完善這一要素。

人力資源安全對(duì)其余四個(gè)要素的作用均為正，且四條路徑系數(shù)都達(dá)到了顯著性水平，假設(shè)H6-H9得到了支持。在這四條路徑中，人力資源安全是組織環(huán)境和其余四個(gè)要素的中介變量，通過該中介變量的間接效應(yīng)，組織環(huán)境對(duì)四個(gè)潛在變量的總效應(yīng)系數(shù)明顯增大。可見，人力資源安全在信息安全管理中發(fā)揮中介作用，組織環(huán)境通過人力資源安全部分中介作用于信息安全管理其他要素，對(duì)其他因素產(chǎn)生關(guān)聯(lián)性影響。因此，企業(yè)在信息安全管理活動(dòng)應(yīng)充分發(fā)揮人力資源安全的中介作用，使各項(xiàng)安全政策、規(guī)章制度的實(shí)施達(dá)到事半功倍的效果。

四、結(jié)語

本文將企業(yè)信息安全管理要素分為組織環(huán)境、人力資源安全、資產(chǎn)設(shè)備安全、操作管理、信息系統(tǒng)開發(fā)與維護(hù)和應(yīng)急響應(yīng)機(jī)制六個(gè)方面，通過對(duì)139家中小企業(yè)的調(diào)查研究發(fā)現(xiàn)，組織環(huán)境對(duì)人力資源安全、操作管理、信息系統(tǒng)開發(fā)與維護(hù)有著顯著的正向影響，對(duì)資產(chǎn)設(shè)備安全和應(yīng)急響應(yīng)機(jī)制有著一定的正向影響。人力資源安全在信息安全管理中發(fā)揮中介作用，組織環(huán)境通過人力資源安全部分中介作用于信息安全管理其他要素，驗(yàn)證了本文所提出的假設(shè)。啟示企業(yè)管理者必須重視組織環(huán)境和人力資源安全，促進(jìn)企業(yè)信息安全管理的長遠(yuǎn)發(fā)展。

表5 研究假設(shè)檢驗(yàn)結(jié)果

［1］Ross Anderson.Why Information Security is Hard—An E-conomic Perspective［C］.Proceedings of 17th Annual Computer Security Applications Conference,2001.

［2］普華永道會(huì)計(jì)師事務(wù)所.2010全球信息安全調(diào)查報(bào)告［R］.2010.

［3］ISO/IEC 17799:2005.Code of practice for information security management［S］.

［4］齊曉云等.信息系統(tǒng)成功影響因素的階段差異研究［J］.軟科學(xué).2011,（2）.

［5］Mookerjee Vijay.When Hackers Talk:Managing Information Security Under Variable Attack Rates and knowledge Dissemination［J］.Information Systems Research,2011,9

［6］J.F.Van Niekerk.Information security culture:A management perspective［J］.Computers&Security.2010,29.

［7］Tejaswini Herath,H.R.Rao.Encouraging information security behaviors in organizations:Role of penalties,pressures and perceived effectiveness［J］.Decision Support Systems.2009,47.

［8］Debi Ashenden.Information security management:A human challenge?［J］.Information Security Technical Report.2008,13.

［9］薛薇.SPSS統(tǒng)計(jì)分析方法及應(yīng)用［M］.北京:電子工業(yè)出版社,2009.

［10］邱皓政,林碧芳.結(jié)構(gòu)方程模型的原理與應(yīng)用［M］.北京:中國輕工業(yè)出版社.2009.