基于風險感知的個人安全保密行為模型

王涵

摘 要：國家秘密關系國家安全，商業秘密關系企業的核心競爭力，一旦泄露會給組織利益造成損害。而涉密人員是履行保密責任的主體，對個人行為的研究、對安全保密工作的開展具有理論意義和應用價值。梳理安全保密行為研究成果，重點關注對泄密風險的感知，建立基于風險感知的安全保密行為模型和假設，并在人才培養、制度建設和宣傳教育方面提出做好安全保密工作的建議。

關鍵詞：安全保密行為;風險;組織個體;計劃行為理論;恐懼訴求;威懾理論

中圖分類號：F49? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2019）12-0196-04

引言

涉密人員是履行保密責任的主體，竊密和泄密都是人的行為，竊密和反泄密斗爭歸根結底是人的斗爭。所有安全保密技術手段都是人來使用的，人是安全保密防護體系不確定性的因素。再好的安全保密防護措施和成熟的信息系統也會因人的參與而體現出脆弱性，強壯的訪問控制機制和密碼系統可能因管理員的配置不當而失去作用，防火墻和WAF設備也可能因使用者的操作失誤而被繞過;另一方面，隱蔽的漏洞也會因可能導致竊密成功的可能，而被竊密者發現。

研究表明，安全保密技術手段在一定程度上影響工作效率，使用者經常選擇最簡單的安全策略配置甚至直接繞過安全防護，導致安全保密技術失效。社會工程學攻擊利用了使用者保密意識的缺失和人性的弱點，甚至通過金錢賄賂、美色誘惑等手段策反可能知悉涉密信息的人員，尤其是組織領導和信息系統管理員，直接或間接泄露國家秘密、商業秘密以及其他需要保密的工作信息。

由于人的成長環境、知識結構和能力的不同，導致對安全保密的認識也參差不齊，對保密技術手段的使用程度不一樣。保密工作需要培養具有符合知識背景的專業人才，加強保密教育培訓，提高人的保密意識和素質，防止違規行為導致的失泄密事件的發生。

一、文獻綜述

目前，國內外對信息安全行為的研究對象包括組織員工對信息安全制度的遵從行為、組織員工對信息安全制度的違背行為、組織員工對信息系統的誤用和濫用行為、信息安全保障行為和信息安全疏忽行為等，但針對保密情境下的個體行為仍有待研究。國內保密行為研究大多仍停留在宏觀的、定性的層面，公共政策和法學研究、政府和企業案例研究比較多，定量的保密行為研究比較少。

方星等以北京地區的中小企業員工為研究對象，驗證了計劃行為理論中行為信念、規范信念、控制信念和行為態度、主觀規范、知覺行為控制等變量對企業普通員工信息安全行為意向和信息安全實際行為的影響。Ifinedo將動機保護理論、恐懼訴求理論等與計劃行為理論結合;Nader加入了感知威脅的嚴重性、感知威脅的易損性、反應效能、反應成本、自我效能等變量解釋組織個體的信息安全行為;Johnston等分析了恐懼訴求理論中的感知威脅的嚴重性和感知威脅的易感性對動機保護理論中的響應效能和自我效能的影響，進而對個人的信息安全行為意向產生影響;甄杰等基于保護動機理論和恐懼訴求理論的整合視角，采用案例研究的方法對組織內部員工的信息安全保護行為進行研究;石栩楠基于計劃行為理論，引入了威懾理論研究企業信息系統中員工行為的影響因素，將威懾理論的正式約束、非正式約束和羞恥等變量加入到模型中。

二、研究模型

本文所指的安全保密行為是指信息安全行為中與信息保密相關的行為，在信息系統安全中側重保密性的保障。需要保密的信息可能包括國家秘密、商業秘密以及其他組織需要保密的工作信息。本文所定義的組織包括政府機關、企事業單位和其他所有在日常工作中產生需要保密的信息的組織，不僅包括狹義上產生、接觸和知悉國家秘密的政府、國企和軍工單位等，也包括對商業秘密和工作秘密的安全保密工作有需求的民營企業、私人企業甚至外資企業等。

組織中的個體指包括涉密人員和非涉密人員在內的所有接觸和知悉需要保密的信息的人員，應當采取安全保密行為保護信息在一定時間內僅限規定范圍的人員知悉。泄密行為會使所在組織安全和利益遭受損害，嚴重的會影響國家利益。組織中的個體被其他組織滲透策反、違反安全保密制度規定、信息系統被惡意入侵、員工對信息系統不了解、缺乏保密意識導致的消極不作為等行為都可能導致泄密事件的發生。

本文基于信息安全行為的相關研究和理論模型，以計劃行為理論為基礎，將經驗和投入作為行為信念的心理變量，將保密制度作為規范信念的心理變量，假設行為態度、主觀規范共同影響組織個體采取安全保密的行為意向，進而間接影響個人實際的安全保密行為。基于對泄密風險的感知，本文引入了恐懼訴求理論，將對風險后果的嚴重性感知作為感知威脅嚴重性的心理變量，與自我效能一起正向影響個體的安全保密行為。根據威懾理論，保密制度等正式的和道德規范等非正式的約束，以及泄密事件可能帶來的羞愧可能會影響組織員工對泄密風險后果嚴重性的感知。其中，保密制度是計劃行為理論和威脅理論的共同變量，具體模型（如下圖所示）。

三、研究假設

（一）基于計劃行為理論的假設

行為信念是個體安全保密意識的體現，表示著個人采取安全保密行為和自身的聯系。本文將經驗與投入作為行為信念的心理變量，組織個體的工作經驗將會影響他對行為結果的估計，在安全保密領域受到組織的培訓、教育等經驗使得個體認識到泄密風險的存在和泄密后果的嚴重程度，進而將會采取安全保密的行為。因此，可以提出以下假設：

H1：經驗和投入正向影響組織個體對安全保密行為的態度。

在計劃行為理論中，主觀規范是解釋周圍其他人的觀點和看法對個體決策行為的影響的變量。組織的保密制度可以代表組織的安全保密規范，在組織中形成保密的文化和氛圍，對于組織中絕大部分人都會產生潛移默化的影響。因此，本文將保密制度作為規范信念的心理變量，提出以下假設：

H2：保密制度正向影響組織個體對安全保密行為的主觀規范。

模型中提出的行為態度是指組織中的個體對采取安全保密行為的態度，體現了個人采取安全保密行為的傾向。一方面，如果組織中的個體對待安全保密行為的態度是消極的，那么他對待保密工作的重視程度不夠，保密意識淡薄，認為保密工作是沒有必要的、沒有作用的、沒有價值的，就會傾向于不遵守保密制度和流程，增加組織需要保密的國家秘密、商業秘密等工作信息泄露的風險。另一方面，持有積極行為態度的組織內部員工，能夠認識到違反保密規定的行為可能帶來的泄密風險和對組織利益造成的損害，傾向于在工作中注意安全和保密，采取符合保密制度和流程的行為。因此，可以提出以下假設：

H3：對待安全保密的行為態度正向影響個體采取安全保密行為的意向。

本模型定義的主觀規范指的是組織內部個體按照保密制度流程行動時所預期和感受到的壓力，即個體在組織中采取安全保密行為受到社會因素的影響。

組織通過制定安全保密制度流程等具體政策，對組織中個體的泄密行為進行限制，鼓勵員工采取遵從安全保密制度的行為。在組織中，個體采取安全保密行為的意向受周圍領導、同事和下級的影響，當大部分人都遵守安全保密制度流程時，該個體也傾向于采取安全保密的行為。當組織中絕大部分人都采取安全保密行為時，建立了組織的安全保密文化和氛圍，來自周圍人的壓力使得新進入組織的個體傾向于與大部分人保持一致，遵守安全保密制度流程。因此，可以提出以下假設：

H4：對待安全保密的主觀規范正向影響個體采取安全保密行為的意向。

行為意向是計劃行為理論中行為態度、主觀規范和知覺行為控制對個人實際行為影響的中間變量，體現了個人執行某項特定行為的意愿。模型定義的安全保密行為意向包括積極的保守組織秘密信息的行為意向和消極的泄密行為意向，其中泄密行為意向包括：違反組織保密制度和規定的行為意向，不遵守保密工作流程的行為意向、故意泄露組織內部秘密信息，以及分享組織內部工作資料和信息的行為意向等。安全保密行為意向與泄密行為意向相對立，是指組織內部個體遵守組織保密制度和流程，保守組織的國家秘密、商業秘密和需要保密的工作信息的行為。根據計劃行為理論，可以提出以下假設：

H5：采取安全保密行為的意向正向影響個體實際的安全保密行為。

（二）基于動機保護理論的假設

模型的自我效能變量定義為組織中個體保守秘密的能力，即個人對自己行動的控制能力和遵守保密制度流程的能力，反映了個人對安全保密知識和技能的掌握能力、對安全保密行為的執行能力。如果組織內部的個體越相信自己具備保守秘密的能力，那么可以認為他越傾向于采取遵守安全保密制度流程的行為。當他認為自己能控制自己的行為，遵守保密制度和流程，保守組織的秘密的時候，將會提升他采取安全保密行為的意愿，越有可能采取安全保密的行為。因此，可以提出以下假設：

H6：對待安全保密的自我效能正向影響個體安全保密的實際行為。

感知威脅的嚴重性是恐懼訴求理論和動機保護理論中的核心變量之一，是威脅評估中對威脅嚴重性的判斷，也被稱為感知嚴重性。感知威脅的嚴重性表示個人對特定行為造成威脅的嚴重程度的認知。泄露國家秘密、商業秘密和其他組織需要保護的工作秘密可能給組織個體帶來的后果還包括經濟上的賠償和社會道德輿論的譴責等。另一方面，泄密會給組織造成安全和利益上的損失，間接對個體產生影響。

如果組織中的個體對泄密風險的后果有足夠的認知，能夠充分意識到泄密行為給組織帶來的損失的嚴重程度和對自己的不良影響，可能會對他采取安全保密行為的意向產生正向影響，使他傾向于保守組織中需要保護的國家秘密、商業秘密和工作秘密。當他對泄密風險后果的嚴重程度的判斷越積極，他就越傾向于避免泄密事件的發生，從而采取安全保密行為。因此，可以提出以下假設：

H7：對泄密風險后果嚴重性的感知正向影響個體的實際安全保密行為。

（三）基于威懾理論的假設

威懾理論中對于組織政策違背行為的最主要威脅被稱作正式約束，指的是正式的懲罰方式，包括剝奪政治權利、人身自由和財產的刑事責任，賠償損失、賠禮道歉等民事責任以及吊銷駕駛執照、營業執照等其他懲罰方式。正式約束一般表現為法律規定的制裁和組織對政策違背行為的懲罰。有研究結果證明，正式約束起到的威懾作用是最為強烈的，對行為后果的嚴重性的判斷和對刑事責任、民事責任等懲罰的恐懼會影響個人的行為。

模型將保密制度作為威懾理論中的正式約束變量使用，是由于保密法律法規、規章制度都具有追究責任和懲罰相關條款條約，對組織個體具有強制約束力。因此，可以將保密制度作為威懾理論的正式約束變量，提出以下假設：

H8：保密制度正向影響組織個體對泄密風險后果嚴重性的感知。

除了法律法規等正式威懾之外，對于威懾理論的研究表明社會規范對個人的行為也有著顯著的影響，包括社會情感、社會環境、社會輿論、社會文化等非正式約束，也包括個人對違背組織政策行為產生的社會影響的心理活動和判斷。法律和道德都是約束人們行為的規范。當個人意識到違規行為可能造成的后果對社會的負面影響時，即使沒有明確的法律和制度上的懲罰，他也會受迫于社會道德規范的壓力，考慮到后果的嚴重性而產生的道德信念可能使他改變自己的行為。

模型引入道德約束作為威懾理論中的非正式變量，定義道德約束為社會和組織內部除保密制度之外的約束個人行為的規范。不同于違背保密制度的行為后果有明確的懲罰，違背道德約束的行為的后果是社會輿論的譴責和個人內心的負罪感。從古至今，保守秘密都是對個人道德要求的一部分，不能保守秘密的人不能勝任涉密崗位的工作，也不會得到組織的信任。“夫事以密成，語以泄敗。未必其身泄之也，而語及所匿之事，如此者身危。”當組織的個體打算采取可能導致泄密的行為時，道德約束會使他感知到泄密行為可能帶來失去信任的道德問題，從而影響他的安全保密行為。因此，可以提出以下假設：

H9：道德約束正向影響組織個體對泄密風險后果嚴重性的感知。

可以將本文提出的假設歸納（如下表所示）。

四、相關建議

根據本文提出的模型，經驗和投入、保密制度分別正向影響組織個體的行為態度和主觀規范，進而和知覺行為控制一起間接影響其安全保密的行為意向，從而對其安全安全保密行為有正向影響。組織的保密制度和道德規范影響組織個體對泄密后果嚴重性的感知，間接影響組織個體采取安全保密的實際行為。因此，可以對國家保密行政管理部門、黨政機關和企事業單位安全保密工作提出以下建議。

第一，重視保密人才培養。人是保密工作的主體，安全保密行為歸根結底是人的行為。研究結果表明，涉密人員的保密工作經驗和對保密能力的自信程度顯著影響他的實際保密行為。因此，提升安全保密工作人員的素質和能力，加大專業人才培養和建設力度，提高安全保密專業水平，可以對安全保密工作產生有效的幫助。

第二，完善保密制度建設。保密制度和流程是安全保密工作的基礎和規范，研究結果表明，保密制度顯著影響組織個體的主觀規范，同時對組織個體對泄密后果嚴重性的感知也有正面影響。完善的保密制度體系應當從憲法到法律法規層面，從部門規章到實施細則層面，從總體保密制度到具體保密規定層面，對安全保密工作的原則、要求和具體落實和實施提供指導。另一方面，保密制度體系也應當規定對各種形式的泄密行為的懲罰機制，對違背保密制度的行為可能帶來的后果會對組織個體產生威懾，進而避免泄密事件的發生。

第三，加強保密宣傳教育。保密意識是組織個體對安全保密工作重要性和泄密后果嚴重性認識的體現。加強保密宣傳教育，一要充分利用黨政機關、企事業單位的培訓，將保密宣傳教育納入到日常培訓體系當中;二要針對重點人員，提升涉密人員對泄密后果嚴重性的認知，增強接觸和知悉組織秘密的工作人員的保密意識;三要面向社會公眾，通過互聯網等途徑推動社會對安全保密工作的重視，在全社會形成良好的安全保密風氣和氛圍。

參考文獻：

[1]? Safa N.S.，Solms R.V.，Furnell S.Information security policy compliance model in or-ganizations[M].Elsevier Advanced Technology Publications，2016.

[2]? Ifinedo P.Understanding information systems security policy compliance：An integra-tion of the theory of planned behavior and the protection motivation theory[J].Com-puters & Security，2012，（1）：83-95.

[3]? Johnston A.C.，Warkentin M.Fear Appeals and Information Security Behaviors：An Empirical Study[J].Mis Quarterly，2010，（3）：549-566.

[4]? 甄杰，謝宗曉，李康宏，等.組織內部員工的信息安全保護行為——基于PMT和FA整合視角的多案例研究[J].管理案例研究與評論，2017，（2）：114-130.

[5]? 方星，林正杰.員工信息安全行為影響因素的實證研究——基于計劃行為理論[J].中外企業家，2013，（11）：122-123.

[6]? 石栩楠.基于計劃行為理論與威懾理論的信息系統安全模型研究[J].信息通信，2012，（3）：149-151.