信息安全合法化采納動機與模式研究
——新制度理論與創(chuàng)新擴散理論的整合視角

(1.揚州大學 商學院，江蘇 揚州 225127; 2.中國金融認證中心，北京 100054; 3.重慶工商大學 商務策劃學院，重慶 400067; 4.南開大學 商學院，天津 300071)

1 引言

信息安全得到了前所未有的重視。隨著“中央網絡安全和信息化領導小組”的成立，對網絡安全和信息安全的認識也上升到了“國家安全”的層次，越來越多的監(jiān)管制度開始發(fā)布。信息安全作為一種強監(jiān)管制度，對具體組織而言，如何滿足信息安全合法性或信息安全監(jiān)管的要求，已經成為亟待解決的問題[1]，同時，信息安全合法化/制度化過程也成為組織研究領域關注的熱點之一[2]。

企業(yè)通過部署最佳實踐是獲取合法性最重要的途徑之一[3]。但是，一旦最佳實踐與企業(yè)的主營業(yè)務不一致，就可能呈現脫耦現象[4]，嚴重程度可能取決于最佳實踐與主營業(yè)務的關聯程度。例如，EMS(environmental management system)呈現的脫耦現象比QMS(quality management system)領域更為嚴重[5]。在信息安全情境中，以ISMS(information security management system)為例，ISMS對組織主營業(yè)務的關聯程度一般情況下要低于QMS，但是要高于EMS。與以上最佳實踐相比，ISMS還須具備復雜的技術細節(jié)。而現有研究中關于最佳實踐的采納文獻大多沒有關注這一點。現有研究將國內采納ISMS的組織分成三類，但是，該分類論斷缺乏實證。如果將獲得GB/T 22080-2008/ISO/IEC 27001∶2005(以下簡稱27001∶2005)的認證企業(yè)以所有制分類，三類企業(yè)認證比例并沒有呈現顯著的差異，但是顯然這三類企業(yè)面臨的制度環(huán)境存在很大不同[2]。因此，僅從制度壓力的角度去考察信息安全合法化顯然不全面，外部制度壓力可能只是其中一個維度。

鑒于此，本文基于新制度理論與創(chuàng)新擴散理論的整合視角，通過10個樣本組織進行探索性案例研究，探討除了外部制度壓力之外，是否存在著其他的影響組織采納模式的不可忽視的因素，并且在此基礎上探索信息安全合法化采納模式及動機。

2 相關的最佳實踐理論視角及其研究

最佳實踐研究的文獻更多地集中于全面質量管理領域。據了解，尚未發(fā)現專門關于ISMS的信息安全最佳實踐的研究。

2.1 管理時尚視角

管理時尚概念最早被定義為管理者在管理方面所共有的審美情趣[6]， 1996年管理時尚理論正式被提出[7]。該理論實際是新制度理論的一個特殊視角，與“正式結構的神話”[4]不同，管理時尚特別強調標簽的作用。戴明環(huán)、BCG矩陣都是具備高度概念化或顯著標簽的管理時尚。ISMS的早期版本顯著的特征之一也是應用了戴明環(huán)，因此，可以用管理時尚的視角去觀察ISMS。管理時尚是對已有現象的總結，為我們觀察流行的管理方法或技術趨勢提供了一個可能的視角。例如“敏捷開發(fā)”被作為管理時尚對待[8]。

2.2 管理修辭視角

管理修辭理論是新制度理論的另一個視角，和管理時尚一樣，也起源于TQM研究領域。對于TQM作用的持續(xù)爭論并不是源于其本身，更多的則是源于TQM概念的廣泛曲解。有研究指出，除了那些關注獲得布德里奇美國國家質量獎的企業(yè)的研究，大部分研究并沒有確認企業(yè)是否部署真正的TQM[9]。TQM從其最初狹窄的技術特點的定義，已經演變成一種廣泛傳播的思潮，這種思潮正是以修辭夸張和日益模糊的定義為主要特征[9]。

基于修辭理論的修辭性合法化可以認為是廣義溝通理論研究的一個分支。相比修辭性TQM，新制度理論框架下的合法化更容易淪落為虛張聲勢的管理修辭。有諸多文獻從修辭分析的角度探討合法化過程。有學者用案例研究探討了修辭與新組織形式出現之間的關系，具體而言就是新出現的組織形式或創(chuàng)新如何調整他們的修辭性策略來獲取合法性[10]。Harmon等[11]則提出一個修辭性合法化的模型，來識別隱含于制度延續(xù)與制度變遷之下的溝通與認知結構。明茨伯格認為管理者有三分之二甚至四分之三的時間用在了口頭活動上，其中包括說服員工為共同的目標而努力，采納與部署最佳實踐當然也在此列。與上述TQM研究領域以及組織合法化研究領域類似，在信息安全情境中，ISMS也分化為技術上的ISMS和修辭上的ISMS。

2.3 創(chuàng)新擴散視角

新的實踐或結構的擴散存在諸多解釋，有研究將其歸因為內在的優(yōu)點與創(chuàng)新性[12]，換言之，組織之所以采納這些新的實踐或結構是因為它們是有效的。顯然，這種觀點在后續(xù)的新制度主義研究中被證明并不盡然。但是，基于“有用性”的創(chuàng)新擴散的視角在信息系統(tǒng)研究領域卻得到了充分的研究，并發(fā)展成為為數不多的原創(chuàng)理論[13]，即技術接受模型[14]。該模型認為影響個體接受信息系統(tǒng)的因素主要有兩個：感知的有用性和易用性。這兩個因素會影響個體的認知/態(tài)度，最終影響個體/組織行為。

3 研究方法

3.1 研究方法與案例選擇

基于本文的研究情境，采用Yin[15]的多案例設計方法，原因在于：(1)案例研究兼具描述、解釋和探索的功能[16]，本研究是一個探索“為什么”的理論建構問題；(2)多案例研究可以通過“復制邏輯”相互檢驗所得到的結論[15]。

在多案例研究中，雖然不存在理想的案例數目，一般4～10個案例效果不錯。案例個數少于4，很難產生復雜的理論；多于10，則可能導致數據繁雜難于處理。本文基于上述標準，結合理論抽樣原則[17]選擇了10家采納27001∶2005的國內企業(yè)作為研究案例。

選擇案例企業(yè)遵循以下兩條原則：(1)在近幾年依據27001∶2005部署信息安全管理體系，但不一定申請認證；(2)組織背景盡量多樣化，例如，主營業(yè)務或所有制等要素。由于信息安全行業(yè)的保密性特點，本文隱去了案例樣本中的組織名稱，樣本信息如表1所示。

表1 案例樣本的描述性統(tǒng)計

注：*()內年份表示部署的時間。

3.2 數據來源

我們在研究中應用了多個數據源，其中包括列席關于信息安全推進的會議，大量的現場直接觀察或參與式觀察，高管團隊或中層主管人員的訪談，其中包括CEO、信息安全的分管領導、信息安全主管以及具體負責人等，以及相關的文件、檔案和二手資料。為了使數據有更高的信效度，我們還對第三方認證組織中負責審核該企業(yè)的ISMS審核員組織了訪談，并查閱了保存在第三方認證組織的對應企業(yè)的審核記錄及檔案資料。

3.3 信效度保證策略

本文沿用Yin[15]文獻中對案例研究設計質量的四個指標進行了重點關注，其中包括：建構效度、內在效度、外在效度和信度。(1)建構效度：本研究在數據收集階段通過訪談，二手資料以及大量的實地觀察來實現多重證據的交叉驗證；在數據收集與分析階段，用思維導圖對證據進行內部整理與討論；在撰寫報告階段讓所有的深度訪談對象對報告草案都進行了逐一核實。(2)內在效度：本文在數據分析部分嚴格遵守扎根理論所提出的三步編碼技術和程序對數據進行主題的提煉、范疇的歸納和模型的構建。(3)外在效度：本文采用多案例研究保證外在效度。(4)信度：本文在數據收集部分，根據Yin[15]設計，并盡可能詳細匯報每一步驟。

3.4 數據分析

3.4.1 分析策略

我們沿用了常見的歸納方法，并通過不同數據收集方法、來源，不同對象、情境的“三角驗證”，來提高四個主要的信效度指標。除此之外，我們也使用了Yin[15]描述的其他數據分析技術。

以案例ND-C5的分析為例，首先，通過內部人員訪談記錄，現場觀察記錄，收集到的文件、檔案等各種記錄，組織內部會議描述其信息安全最佳實踐的采納動機以及可能的部署過程，組織討論會得到結論A。其次，通過第三方認證組織的ISMS審核員的訪談記錄，從第三方認證組織獲取的文件與檔案，以及審核員提交的現場調研報告，通過討論會得到結論B，并由此與步驟一的結論進行對比。如果結論一致，則建立采納模式的初步構念，并在此基礎上進行跨案例的分析。如果結論不一致，則繼續(xù)通過討論會直至所有研究人員達成統(tǒng)一。在分析完案例ND-C5后，通過討論會確定該案例信息安全最佳實踐的采納模式。借鑒跨案例研究[18]以及Yin[15]的多案例研究復制邏輯要求，對案例進行配對比較，列舉每對公司的相似與不同之處。具體的數據分析過程嚴格遵守扎根理論。

3.4.2 數據分析過程

數據分析過程嚴格遵守扎根理論所提出的三步編碼技術和程序對數據進行主題的提煉、范疇的歸納和模型的構建，以保證研究的信度和模型的效度[16,19]。為方便分類過程，我們使用QSR Nvivo 11定性分析軟件作為輔助工具。

開放式編碼對數據收集階段獲取的資料(包括部分錄音和圖片)進行編碼和標簽，目的是從大量資料中創(chuàng)建和提煉盡可能多的概念范疇來組織、解釋和匹配經驗數據。本文通過開放式編碼初步提取了82個涉及組織采納27001∶2005的概念范疇。由于所獲取的初始概念范疇相對較多，而且不同的概念范疇之間所涵蓋的要素存在交叉和重疊，因此需要對82個原始概念范疇進行分解、剖析、提煉與整合。按照上述操作過程，最終提煉和整合了37個概念范疇。

主軸編碼主要是為了發(fā)現和尋找范疇之間的邏輯關聯。經過開放式編碼已經提煉了37個概念范疇，在這一步驟中需要分析不同概念范疇之間的關系，目的是對不同的概念范疇做歸類處理。本文效仿周江華等[19]的研究，也沿用“條件-行動/互動-結果”[20]這一編碼范式，來確定初始范疇之間的聯系。通過整合，將37個初始范疇歸納為18個副范疇，并最終整合到5個主范疇中。如表2所示。

表2 主軸編碼

選擇性編碼的目的是選擇核心范疇，并將其高度概念化。開放性編碼和主軸編碼的分析展示了信息安全最佳實踐采納的基本框架，還需通過選擇性編碼分析來選擇概括性較強的核心范疇來整合5個主范疇。經過選擇性編碼之后，基本可以得出兩條清晰的故事線：來自監(jiān)管(或上級)部門的壓力、來自客戶的壓力以及來自規(guī)范或模仿的壓力三個主范疇對“外部制度壓力”存在顯著影響；安全管理規(guī)范化或制度化和風險評估的結果(或業(yè)務安全要求)對“內部安全需求”存在顯著影響。

4 案例分析與發(fā)現

在案例編碼與分析過程中，本文所得到的研究結論整合了新制度理論與創(chuàng)新擴散理論的視角，為觀察組織最佳實踐的采納行為提供了一個更全面的框架。外部制度壓力和內部安全需求同時也顯現了組織對最佳實踐采納所持的期望，即追求合法性還是追求績效。本文將結合研究中發(fā)現的證據說明案例組織在采納27001∶2005時的合法性考慮與績效考慮。

4.1 外部制度壓力

在新制度理論視角下，關于合法性的諸多研究都已經表明外部制度壓力對于最佳實踐/創(chuàng)新等采納的顯著影響[21]，本研究在信息安全情境中探討了更多的因素，而不是僅僅局限于三維度框架[22]。

4.1.1 應對政府監(jiān)管的一種途徑

由于關系到國家安全和個體隱私等內容，幾乎所有的國家對信息安全都實施強監(jiān)管環(huán)境[23]，例如，關系國計民生或公眾利益的信息系統(tǒng)都要強制性地實施信息系統(tǒng)安全等級保護[24]。因此，國有企業(yè)一般會面臨更強的監(jiān)管環(huán)境，無論是中央企業(yè)的ZX-C1和ZT-C3，還是地方國企BS-C9。本文閱讀并統(tǒng)計了所有的國務院行政性法規(guī)以及國資委、銀監(jiān)會、工信部和人民銀行等國家部委關于信息安全方面的行政公文。諸多業(yè)內專家認為，目前國家在信息安全監(jiān)管方面還存在諸多不成熟，甚至許多規(guī)范性文件之間也不一致，企業(yè)的合規(guī)性(或符合性)負擔較重。

4.1.2 組織整體安全戰(zhàn)略的一部分

組織采納ISO14001時，最大的外部壓力不是來自傳統(tǒng)的利益相關方，因為公司總部在兩者之間充當了緩沖[5]。以上現象更適用于跨國公司在國內的分支，并不是普遍的情形。在深度訪談中發(fā)現，越是基層的組織，業(yè)務壓力越重，所有與業(yè)績沒有直接關系的活動都比較消極。公司總部大多只承擔管理功能，不背負具體的業(yè)績任務，更容易采納戰(zhàn)略性的革新，而不僅僅關注眼前的形勢。

4.1.3 作為技術壁壘的輔助手段

案例中的絕大部分企業(yè)都面臨較大的生存壓力，尤其是主要客戶為政府或相關組織，對方一般都會有專門的要求，甚至可能通過標書將沒有資質的企業(yè)排除在外，這時候27001∶2005可能會成為隱含的技術壁壘。資質是一把“雙刃劍”，可能作為排除競爭者的工具，也可能成為被排除的理由。

在采訪中有關于安全資質完全不同的視角，已經建立穩(wěn)定合作關系的，想利用資質將競爭對手排除在外。同時，想進入新領域的企業(yè)，則需要先滿足資質上的要求，不能存在所謂的“硬傷”，以至于“軟件開發(fā)領域的資質，我們一般都會拿”，而不是考慮組織具體情況。

4.1.4 其他組織部署帶來的壓力

我們接觸的樣本企業(yè)中，企業(yè)間的橫向聯系包括如下幾種類型：第一類，共同監(jiān)管導致的聯系。例如，都是中央企業(yè)，同歸屬國資委監(jiān)管，或者都是地方國企。這種關系的建立可能因為業(yè)務來往，或參加國資委組織的會議慢慢建立的私人感情，也可能是由于工作調動。第二類，地域關系形成的聯系。即使中央企業(yè)，由于駐地不同，也會面臨不同的地方政府，因此也會形成穩(wěn)定的聯系。第三類，行業(yè)關系形成的聯系。由于行業(yè)協(xié)作關系或者同業(yè)競爭也可能形成穩(wěn)定的聯系。

當然，更多的聯系呈現的不是某一種因素，而是幾種因素的結合，例如屬于同監(jiān)管單位以及同駐地，這些形成穩(wěn)定聯系的組織之間，常被稱為“兄弟單位”。和個體之間的比較邏輯類似，兄弟單位之間的相似性為比較提供了基礎。尤其是在可比較的組織群體內處于較為落后的情況下更加明顯。

4.1.5 對標管理導致的消極模仿

對標又叫標桿管理，如果標桿企業(yè)部署了27001∶2005，這會對其他相關組織造成模仿壓力，尤其是在情境模糊的情形下。樣本中ZX-C1就是很典型的例子。

4.2 內部安全需求

重新審視關于最佳實踐的三種理論視角，創(chuàng)新擴散理論是趨于褒義的，起源于創(chuàng)新擴散的管理時尚理論則較為中性，起源于新制度理論的管理修辭理論則偏向于貶義。在本研究中，內部安全需求出發(fā)的信息安全最佳實踐部署，本質是創(chuàng)新擴散視角，這其中隱含的前提是最佳實踐是有用的。

4.2.1 規(guī)范化/制度化/標準化

幾乎訪談的所有人員都提出信息安全管理的規(guī)范化、制度化和標準化的需求，只是程度有所不同。但同樣是規(guī)范化、制度化和標準化，認真分析發(fā)現有積極態(tài)度的，也有消極態(tài)度的。積極態(tài)度的是基于組織實際的流程改進或流程再造，目的是提高信息安全管理水平。更多的安全域并不能流程化，而是以安全控制點的形式呈現，在本質上與流程是一致的。有些案例中體現了更廣義的管理標準化態(tài)度或理念，也是積極的。

在一些情況下，規(guī)范化/制度化/標準化已經變成了手段，目的卻是“免除責任”，我們稱其為“消極的”。消極規(guī)范化/制度化/標準化在傳統(tǒng)行業(yè)中更常見，由于IT是弱勢部門，而組織的主要領導都是主營業(yè)務出身，對信息化及信息安全的理解能力有限，甚至認為之所以發(fā)生信息安全事件，都是因為“管松了”。在這種簡單邏輯下，IT或信息安全主管部門并不是為了真正加強信息安全管理能力，而是為可能發(fā)生的信息安全事件悄悄轉移責任。

在27001∶2005 A.10.1.3責任分割，強調“各類責任及職責范圍應加以分割，以降低未授權或無意識的修改或者不當使用組織資產的機會。”但是在案例ND-C5和NG-C6中，他們的理解并不同。消極規(guī)范化/制度化/標準化是一個很普遍的現象，出現的本質原因在于最高管理層對信息安全的理解不夠，試圖用簡單粗暴的邏輯解決問題，或者公司的整個管理體系存在問題，最終形成了“上有政策，下有對策”的局面，形如27001∶2005這樣的最佳實踐，成了事實上的“對策”。

4.2.2 爭取部門權力或合法性

由于國家對信息安全強制性的要求，組織會象征性或儀式性地建立某些儀式性的結構，例如，地方政府或國企中的“信息安全領導小組”，這些看起來無關緊要的部門。有研究認為部門內人員為了維護其部門的權益或爭取合法性，最終改變了權力的結構[25]。象征性部門轉向實質性權力部門，在信息安全領域并不鮮見，業(yè)務發(fā)展階段的安全需求應該是最主要的原因之一，部門領導及其人員的利益爭取也是原因之一，所以部門看起來是“因人而設”。

4.2.3 控制潛在的信息安全風險

由于風險管理意識的廣泛普及，案例中所有的組織，尤其是技術人員，都會詳細地談到自身對風險及其管理的理解。為了更好地區(qū)分，在這個問題上，更多地參考案例組織的信息安全風險評估/應對報告。我們組織專家對案例組織中與信息安全風險管理相關的報告或記錄進行了評估，以判斷案例組織對信息安全風險真實的重視程度。幾乎所有的信息安全活動都是為了控制安全風險[26]。換句話說，信息安全的首要目的是為了控制風險，或者保障信息安全有效性，這兩者都是一個目的，就是盡量不發(fā)生信息安全事件。這意味著風險在信息安全中處于重要的位置，甚至可以說，信息安全圍繞控制風險展開。

4.3 信息安全合法化采納矩陣

按照數據分析策略，沿用Boiral[5]的表述方式，案例發(fā)現與主范疇聯系的顯著性程度如表3。

表3 以主范疇統(tǒng)計的案例發(fā)現顯著性程度

注：*代表顯著程度低；**代表顯著程度中等；***代表顯著程度高。

確定上述邏輯關系后，我們根據“外部制度壓力”和“內部安全需求”兩個維度劃分信息安全合法化采納矩陣，四個象限按其最重要的部署動機分別稱為：戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納。如圖1所示。

圖1 信息安全合法化采納模式矩陣

4.3.1 戰(zhàn)略性采納

戰(zhàn)略性采納是組織外部制度壓力與內部安全需求都高的情況。很長時間以來，27001∶2005都被誤認為是一個管理標準，實際上，27001∶2005的一個重要進步是不再區(qū)別技術還是管理，而是將控制措施劃分為安全控制域，安全控制目標和安全控制點三個層次，其中安全控制點可以增減。也就是說，27001∶2005是圍繞控制目標展開的，至于具體實現途徑，是通過管理手段還是技術手段，則是另一個層次的問題。

戰(zhàn)略性采納比較符合27001∶2005的原意，在總則中提出“采用ISMS應當是一個組織的一項戰(zhàn)略性決策”。在戰(zhàn)略性采納中，認證并不是要考慮的主要因素，因此ZX-C1和ZT-C3都沒有獲得此認證。ZT-C3中，IT部門CEO將其描述為部署最佳實踐的目的是為防止信息安全事件的發(fā)生。

4.3.2 合規(guī)性采納

合規(guī)性采納的組織對應低內部安全需求與高外部制度壓力。在本研究中ND-C5、ZY-C7和BS-C9都屬于合規(guī)性采納，但是對應不同方面的壓力，ND-C5的外部壓力主要來自兄弟部門的部署，以及上級公司的戰(zhàn)略要求。ZY-C7是屬于充分競爭領域的軟件開發(fā)行業(yè)，外部壓力則主要來自客戶要求， 27001∶2005作為顯性的安全管理能力證明。作為地方國資委屬下的金融企業(yè)，BS-C9的外部壓力主要來自政府監(jiān)管，實現“內外合規(guī)”。

4.3.3 儀式性采納

儀式性采納對應低外部制度壓力以及低內部安全需求，本研究JX-C4與HR-C8屬于儀式性采納。儀式性采納本只是組織脫耦的一種形式，在ISO9001與ISO14001的采納中都觀察到的一種現象[5]。

儀式性采納模式中，組織為了獲取認證可能會設計看起來更為完美的制度以應對ISMS審核。在案例的正式訪談中，這種情形很難得到確認，或者說，相關人員一般不會承認在審核過程中有造假行為。本研究中，我們需要從閱讀組織文件、觀察或者從第三方認證組織的角度發(fā)現問題。

第三方認證組織的ISMS審核員的判斷在閱讀體系文件時可以得到佐證，例如，HR-C8雖然有咨詢公司提供的信息安全風險評估程序，但是風險評估報告卻過于簡單，與風險應對報告也不能對應。經過專家鑒定，HR-C8并沒有進行過完整的風險評估。此外，HR-C8的文件在咨詢公司結束服務后的時間內，版本也從未更新過，大部分的文件運行記錄也是缺失的。

4.3.4 策略性采納

策略性采納對應低外部制度壓力和高內部安全需求，在本研究中，NC-C2、NG-C6和FS-C10都屬于策略性采納。策略性采納并不是強調部署過程中對技術或管理的偏重，而是強調與戰(zhàn)略性應用的區(qū)別，由于外部壓力低，因此在應用中可能出現大量的刪減，甚至到不能滿足27001∶2005的認證要求。策略性采納指的是絕大部分的部署都集中在技術層面，戰(zhàn)略層的問題反而被忽略。原則上說，這有悖于27001∶2005的基本理念，或者說，這僅僅是部署27001∶2005。

5 結論與討論

5.1 理論貢獻

本文通過10個案例探討了通過采納信息安全最佳實踐實現合法化過程的動機及其模式。研究結論表明，影響組織采納模式的最重要的兩個維度是外部制度壓力和內部安全需求，沿著這兩個維度，本文給出了信息安全合法化采納模式的矩陣，并依次定義為：戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納。本研究的理論貢獻主要有如下幾點：

第一，為觀察組織采納最佳實踐提供了更全面的視角。已有的研究視角主要從新制度理論或創(chuàng)新擴散理論角度去觀察組織行為，這種先入為主的視角并不利于理解組織行為的復雜性，我們通過嚴格遵守三步編碼的扎根理論，得出外部制度壓力和內部安全需求兩個主要維度，從而將新制度理論或創(chuàng)新擴散理論的視角有機地結合在一起，擺脫了原來非此即彼的觀察邏輯。雖然本文限定的研究背景是通過部署27001∶2005獲取信息安全合法性的組織，但是研究結論仍然可以推廣至所有類似的最佳實踐采納領域。

第二，在信息安全情境中驗證了新制度理論與創(chuàng)新擴散理論，也豐富了制度壓力理論所包含的具體內容。儀式性采納的組織脫耦現象[4]在諸多領域得到了驗證，作為新興領域的信息安全，研究則較為匱乏。更重要的是，信息安全與之前的熱點領域存在一定的差異，因此有必要進行重新驗證。同時，我們通過探索性案例研究，不再局限于三維度框架[22]，使制度壓力的應用更加契合國內企業(yè)所面臨的信息安全情境。

最后，本文在研究方法上也有一定的貢獻。我們對案例中已經獲取認證的組織，通過檔案數據查詢到第三方認證組織及其ISMS審核員，通過對雙方的深入訪談，二手資料以及觀察記錄進行比對，使之相互驗證，得到了更客觀的研究結果。限于樣本獲取和研究情境等原因，這種“三角驗證”的方式在相關文獻中屬首次使用。

5.2 管理啟示

雖然本研究采用的是歸納性方法，但是戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納的劃分，對于實踐中的信息安全合法化部署仍然存在較強的預測能力，具有一定的實踐意義。

首先，對組織而言，“外部制度壓力”和“內部安全需求”可以指導組織據此判斷自身應該采取的信息安全合法化模式，并探討在滿足合法化要求的前提下考慮績效，對企業(yè)而言，既要避免“儀式性部署”，又要防止“為了安全而安全”。同時，采納模式的劃分，也有助于組織確定自身信息安全的戰(zhàn)略定位，并確定適當的演化路徑。例如，隨著組織信息化程度的不斷提高，由“企業(yè)信息化”向“信息化企業(yè)”轉變的過程中，組織應該同步完成信息安全合法化向戰(zhàn)略性采納的演化和提升。

其次，對監(jiān)管機構與第三方認證組織而言，采納模式劃分可以促使在監(jiān)管過程或ISMS審核過程中考慮如何做到“因地制宜”或“因人而異”。尤其是地方政府往往通過認證補貼等途徑，促進當地企業(yè)的信息安全管理規(guī)劃化和標準化水平，但更多的企業(yè)往往停留于“儀式性采納”，導致沒有起到預期的作用。通過測量本研究所提供的組織采納動機或影響因素，辨析組織采納模式的途徑，從而更好地做到“有的放矢”，解決文獻中所提出的“騙補”等現象。

5.3 研究局限性與展望

但是，本研究依然存在一定的局限性。在選取的10家案例企業(yè)中，除NG-C6外，信息安全最佳實踐的部署都通過同一個咨詢團隊，一些研究曾經指出咨詢組織是導致新實踐或結構廣泛傳播的重要原因之一，并在一定程度上導致了同形[7,26]。雖然本文的研究問題是為了探討采納動機與模式，發(fā)生在最佳實踐的部署過程之前，但是同一家咨詢組織的客戶可能存在某些共同的特征，這些特征存在干擾研究結果的可能。

信息安全合法化采納的四種模式，包括儀式性采納，本身并沒有絕對的好壞。重點在于采納模式與組織戰(zhàn)略是否匹配或一致。此外，信息安全是動態(tài)過程，而不是一成不變的狀態(tài)。因此在信息安全合法化采納之后，模式之間如何進行演化也是需要深入探討的問題。對具體組織而言，最好是通過信息安全合法化過程不僅獲取了合法性，同時也提高了信息安全有效性。最后，如訪談部分所述，27001∶2005部署過程中，“管理者代表”的定義同時也體現了組織對信息安全的不同定位，這應該屬于治理層的問題。在信息安全情境中長期存在“重技術，輕管理”的現象，實際更嚴重的是“輕治理”[27]，因此，信息安全治理也是今后應該關注的問題之一。