企業(yè)數(shù)字化轉(zhuǎn)型中信息安全治理影響因素研究

摘 要：識(shí)別企業(yè)數(shù)字化轉(zhuǎn)型中信息安全治理的影響因素以及影響因素間的層次結(jié)構(gòu)關(guān)系，有助于企業(yè)管控?cái)?shù)字化運(yùn)營的信息安全風(fēng)險(xiǎn)。通過文獻(xiàn)分析、案例總結(jié)和專家咨詢等方式識(shí)別企業(yè)信息安全治理的影響因素，在此基礎(chǔ)上運(yùn)用解釋結(jié)構(gòu)模型（ISM）對(duì)企業(yè)信息安全治理的影響因素進(jìn)行層次結(jié)構(gòu)和運(yùn)行機(jī)理分析。結(jié)果表明：企業(yè)信息安全治理以風(fēng)險(xiǎn)處置、職責(zé)明確、行為塑造、知識(shí)共享和反饋改進(jìn)的治理模式為直接依賴，以合規(guī)治理、流程治理、責(zé)任治理、契約治理和關(guān)系治理的治理機(jī)制為中間保障，以CEO決策力、CIO有效性、CFO支持度、TMT凝聚力和問責(zé)制的治理結(jié)構(gòu)為高層支持。

關(guān)鍵詞：信息安全治理；數(shù)字化轉(zhuǎn)型；解釋結(jié)構(gòu)模型；影響因素；運(yùn)行機(jī)理

中圖分類號(hào)：F124；F270

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-3890（2024）05-0033-08

黨的十八大以來，黨中央高度重視數(shù)字經(jīng)濟(jì)發(fā)展，將其上升為國家戰(zhàn)略，并持續(xù)出臺(tái)政策來推動(dòng)數(shù)字化轉(zhuǎn)型。黨的二十大報(bào)告再次強(qiáng)調(diào)，促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)的深度融合，實(shí)現(xiàn)數(shù)字中國建設(shè)目標(biāo)。在此背景下，伴隨數(shù)字技術(shù)的發(fā)展以及市場環(huán)境的變化，企業(yè)加速將數(shù)字技術(shù)引入現(xiàn)有架構(gòu)，推動(dòng)管理方式、運(yùn)營機(jī)制和生產(chǎn)過程的重塑，逐步實(shí)現(xiàn)數(shù)字化運(yùn)營管理[1]。盡管數(shù)字化轉(zhuǎn)型能幫助企業(yè)降本增效，顯著提高高質(zhì)量發(fā)展能力，但隨之而來的信息安全風(fēng)險(xiǎn)遍布數(shù)字化應(yīng)用場景，企業(yè)面臨更加嚴(yán)峻的信息安全挑戰(zhàn)，如若應(yīng)對(duì)不當(dāng)極有可能危及國家安全和社會(huì)穩(wěn)定[2]。此時(shí)傳統(tǒng)補(bǔ)丁式的信息安全管理已不合時(shí)宜，企業(yè)亟須樹立從被動(dòng)式防守轉(zhuǎn)向主動(dòng)式保護(hù)的信息安全管理思路。

信息安全治理是企業(yè)有效管控?cái)?shù)字化轉(zhuǎn)型信息安全風(fēng)險(xiǎn)的手段，它以維護(hù)企業(yè)信息資產(chǎn)安全為目標(biāo)，通過結(jié)構(gòu)優(yōu)化、機(jī)制選擇和模式匹配將信息安全舉措嵌入數(shù)字化運(yùn)營場景中，有效提升企業(yè)信息安全能力。企業(yè)信息安全治理是由不同治理要素構(gòu)成的復(fù)雜系統(tǒng)，認(rèn)識(shí)其功能結(jié)構(gòu)、厘清其影響因素、分析其作用機(jī)理對(duì)充分認(rèn)識(shí)和把握信息安全治理，構(gòu)建面向數(shù)字化轉(zhuǎn)型的信息安全管理體系至關(guān)重要[3]。然而，現(xiàn)階段圍繞信息安全治理的研究存在三方面局限：第一，企業(yè)信息安全治理內(nèi)涵不清晰。有學(xué)者將信息安全治理等同于治理機(jī)制，導(dǎo)致學(xué)界認(rèn)為信息安全治理不過是具體治理機(jī)制在信息安全管理中的應(yīng)用而已。第二，尚未辨識(shí)出企業(yè)信息安全治理的影響因素。全流程數(shù)字化運(yùn)營管理的推進(jìn)，使得企業(yè)信息安全風(fēng)險(xiǎn)具有范圍廣泛、對(duì)象不確定和高破壞等特征，這需要在明確關(guān)鍵影響因素的前提下有的放矢提升信息安全能力。第三，對(duì)不同影響因素之間的作用關(guān)系缺乏深入分析[4]。已有研究還無法充分解答不同因素之間的關(guān)系，這會(huì)限制面向企業(yè)數(shù)字化轉(zhuǎn)型的信息安全治理體系的構(gòu)建。上述局限導(dǎo)致既有理論研究無法為企業(yè)信息安全管理實(shí)踐提供指引，企業(yè)信息與數(shù)據(jù)安全管理缺乏有效理論依據(jù)。

基于上述分析，本研究綜合文獻(xiàn)研究、專家訪談、管理案例梳理出企業(yè)信息安全治理的影響因素，運(yùn)用解釋結(jié)構(gòu)模型（Interpretative Structural Model，ISM）分析企業(yè)信息安全治理不同影響因素之間的復(fù)雜關(guān)系并使之條理化、層次化和結(jié)構(gòu)化，進(jìn)而針對(duì)企業(yè)信息安全治理的戰(zhàn)略規(guī)劃、機(jī)制保障和模式實(shí)施提出有效治理策略，幫助企業(yè)更好地應(yīng)對(duì)和管控信息安全風(fēng)險(xiǎn)。本研究的創(chuàng)新之處體現(xiàn)在兩方面：綜合運(yùn)用文獻(xiàn)研究、案例研究和專家訪談等多元視角辨識(shí)企業(yè)信息安全治理影響因素，確保對(duì)企業(yè)信息安全治理多角度、多層次的深入理解；采用ISM探究企業(yè)信息安全治理不同影響因素之間的關(guān)系，認(rèn)識(shí)企業(yè)信息安全治理系統(tǒng)的多級(jí)遞階結(jié)構(gòu)，明晰不同影響因素間的邏輯和作用機(jī)理。

一、文獻(xiàn)綜述

目前，信息資源管理領(lǐng)域?qū)ζ髽I(yè)信息安全治理的研究仍處于探索階段，尚未形成一套完整的理論體系，具有廣闊的研究空間。相關(guān)研究主要涉及三個(gè)主題：企業(yè)信息安全治理的內(nèi)涵、企業(yè)為何進(jìn)行信息安全治理、企業(yè)如何進(jìn)行信息安全治理。

（一）企業(yè)信息安全治理的內(nèi)涵

現(xiàn)階段學(xué)者們對(duì)企業(yè)信息安全治理的認(rèn)識(shí)尚未達(dá)成一致，已有研究主要從技術(shù)和管理兩個(gè)視角探討企業(yè)信息安全治理的內(nèi)涵。立足技術(shù)視角的研究認(rèn)為，企業(yè)信息安全歸根結(jié)底是技術(shù)問題，因此信息安全治理是IT部門的職責(zé)，據(jù)此將企業(yè)信息安全治理定義為“指導(dǎo)和控制企業(yè)信息安全活動(dòng)的技術(shù)體系[5]。”而立足管理視角的研究認(rèn)為，企業(yè)信息安全本質(zhì)是管理問題，因此需要強(qiáng)調(diào)信息安全的戰(zhàn)略定位，據(jù)此將企業(yè)信息安全治理定義為“為了實(shí)現(xiàn)信息安全與組織戰(zhàn)略目標(biāo)一致而采取的綜合性信息安全解決方案[6]。”

本文涉及的信息安全范疇幾乎涵蓋企業(yè)數(shù)字化運(yùn)營管理的所有業(yè)務(wù)及流程，因此我們側(cè)重從管理視角認(rèn)識(shí)和理解企業(yè)信息安全治理。借鑒和參考已有研究對(duì)企業(yè)信息安全治理的定義，本文認(rèn)為企業(yè)信息安全治理是外部監(jiān)管環(huán)境變化和內(nèi)部信息安全強(qiáng)化的結(jié)構(gòu)性反應(yīng)，是在滿足合規(guī)要求基礎(chǔ)上將信息安全嵌入企業(yè)內(nèi)部各項(xiàng)要素的數(shù)字化中，以實(shí)現(xiàn)信息安全與數(shù)字化運(yùn)營管理的匹配，從而為治理者和相關(guān)利益主體創(chuàng)造價(jià)值，并有效管控?cái)?shù)字化運(yùn)營管理中信息安全風(fēng)險(xiǎn)的一套制度安排。需要強(qiáng)調(diào)的是，該定義面向企業(yè)數(shù)字化運(yùn)營管理明確了一個(gè)前提、一項(xiàng)任務(wù)和一個(gè)目標(biāo)，即滿足信息安全合規(guī)（前提）、在數(shù)字化運(yùn)營管理中嵌入信息安全要求（任務(wù)）、有效防范化解信息安全風(fēng)險(xiǎn)（目標(biāo)）。

（二）企業(yè)為何進(jìn)行信息安全治理

信息安全是企業(yè)數(shù)字化運(yùn)營管理的基本前提，沒有安全作為保障的數(shù)字化不僅會(huì)導(dǎo)致業(yè)務(wù)中斷，而且可能危及企業(yè)的生存與發(fā)展[7]。實(shí)際上，企業(yè)開展信息安全治理是由數(shù)字化的客觀需要以及信息安全特征決定的，這體現(xiàn)在兩方面：第一，企業(yè)內(nèi)部不同部門及流程之間的信息不對(duì)稱以及行動(dòng)不同步嚴(yán)重影響企業(yè)整體信息安全水平[8]。跨部門或業(yè)務(wù)流程之間的溝通不足，將會(huì)導(dǎo)致圍繞信息安全的信息不對(duì)稱，不同部門以及業(yè)務(wù)流程之間對(duì)信息安全的重視差異進(jìn)一步造成不同部門與業(yè)務(wù)流程的信息安全風(fēng)險(xiǎn)管控措施不一致[9]，而薄弱環(huán)節(jié)將會(huì)給企業(yè)整體數(shù)字化運(yùn)營管理帶來風(fēng)險(xiǎn)。第二，企業(yè)內(nèi)部不同部門所追求目標(biāo)的沖突。在企業(yè)數(shù)字化運(yùn)營管理中，部分管理者認(rèn)為企業(yè)應(yīng)該追求運(yùn)營管理績效，而信息安全管理不僅不能為企業(yè)帶來收益，而且要耗費(fèi)大量的資源和投入，所要防范的風(fēng)險(xiǎn)僅僅是潛在的而已。因此，企業(yè)需要在戰(zhàn)略層面上平衡內(nèi)部追求績效和確保安全之間的沖突。

事實(shí)上，企業(yè)信息安全治理的主要目的不涉及傳統(tǒng)公司治理的權(quán)力分配和代理成本問題，而是在滿足外部合規(guī)基礎(chǔ)上，將信息安全的要求嵌入到企業(yè)各項(xiàng)業(yè)務(wù)與流程的數(shù)字化中，防范與控制各種新型數(shù)字技術(shù)應(yīng)用場景下可能存在的各類信息安全風(fēng)險(xiǎn)，確保企業(yè)數(shù)字化運(yùn)營管理的安全可靠，進(jìn)而借助信息安全管理提升數(shù)字化運(yùn)營管理的效率和效益。

（三）企業(yè)如何進(jìn)行信息安全治理

面向企業(yè)數(shù)字化運(yùn)營管理的信息安全治理，一要健全治理結(jié)構(gòu)，二要完善治理機(jī)制，三要匹配治理模式[10]。首先，在組織結(jié)構(gòu)方面要形成對(duì)信息安全負(fù)責(zé)的治理結(jié)構(gòu)，明確信息安全相關(guān)主體之間的權(quán)責(zé)利關(guān)系。其次，在管理制度方面制定并發(fā)布科學(xué)、合理的信息安全制度，對(duì)包含硬件、軟件和人員的整個(gè)企業(yè)信息系統(tǒng)進(jìn)行規(guī)范和約束，以減少內(nèi)部信息安全風(fēng)險(xiǎn)的發(fā)生以及明確應(yīng)對(duì)外部信息安全風(fēng)險(xiǎn)的措施。最后，在管理舉措的落地上要遵循合理的安排及步驟。信息安全從來不是一項(xiàng)可以自下而上單純依靠員工自覺就能做好的工作，信息安全管理舉措絕大部分是反人性的，它會(huì)給日常工作增加需要遵循的條條框框，這些都不可能讓員工自愿配合，需要輔助或匹配合理的部署模式，從而避免陷入相同或類似信息安全問題重復(fù)發(fā)生的管理怪圈[11]。

綜上所述，如何優(yōu)化企業(yè)數(shù)字化運(yùn)營管理中的信息安全治理是值得深入研究的議題。已有文獻(xiàn)對(duì)企業(yè)信息安全治理的探討還處于初級(jí)階段，雖涉及企業(yè)信息安全治理的基本內(nèi)容，但對(duì)企業(yè)信息安全治理的關(guān)鍵影響因素還沒有形成充分的理論認(rèn)識(shí)。另外，面向數(shù)字化運(yùn)營管理的企業(yè)信息安全治理是一項(xiàng)復(fù)雜的系統(tǒng)工程，需要不同治理要素之間的相互配合，非常有必要對(duì)關(guān)鍵治理要素以及不同關(guān)鍵治理要素之間的關(guān)系進(jìn)行說明和分析。因此，本研究基于解釋結(jié)構(gòu)模型（ISM）來挖掘不同治理要素之間的層次關(guān)系優(yōu)化信息安全管理策略，從而借助不同治理要素的功能實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效管控。

二、企業(yè)信息安全治理影響因素識(shí)別

本研究采用三種方式凝練企業(yè)信息安全治理影響因素：第一，通過查閱文獻(xiàn)研究和梳理相關(guān)國家標(biāo)準(zhǔn)（如《信息技術(shù)-安全技術(shù)-信息安全治理》（GB/T 32923—2016）），在理論層面充分獲取企業(yè)信息安全治理的影響因素。第二，分析近幾年（2020—2023年）典型的銀行、酒店、社交媒體、電子商務(wù)、醫(yī)療等不同領(lǐng)域10余個(gè)企業(yè)信息安全以及數(shù)據(jù)泄露事件，識(shí)別出企業(yè)信息安全治理的影響因素。第三，對(duì)5位企業(yè)信息安全從業(yè)者（2位高層管理者、2位技術(shù)專家、1位信息安全認(rèn)證相關(guān)人員）進(jìn)行半結(jié)構(gòu)化深度訪談。訪談提綱的問題包括企業(yè)信息安全治理需要得到哪些支持、企業(yè)有哪些保障措施、現(xiàn)階段存在什么問題、未來如何進(jìn)行改進(jìn)等，在實(shí)踐層面充分了解并獲取企業(yè)信息安全治理的影響因素。

借助上述三種途徑和方法，本研究總結(jié)出企業(yè)信息安全治理的20個(gè)影響因素，然后邀請9位專家學(xué)者（研究方向包括：2位戰(zhàn)略管理、2位信息安全管理、2位數(shù)字化轉(zhuǎn)型管理、2位公司治理、1位風(fēng)險(xiǎn)管理）判定這些因素是否對(duì)企業(yè)信息安全治理產(chǎn)生影響，超過5人認(rèn)為備選因素對(duì)企業(yè)信息安全治理有影響時(shí)入選。需要說明的是，這9位學(xué)者均長期關(guān)注組織管理領(lǐng)域內(nèi)的研究問題，與項(xiàng)目組圍繞信息安全管理開展過相關(guān)合作，認(rèn)可企業(yè)信息安全問題的重要性。專家學(xué)者評(píng)價(jià)的統(tǒng)計(jì)結(jié)果如表1所示。

為了理解上述影響因素的內(nèi)涵以及深入分析上述因素對(duì)企業(yè)信息安全治理的具體影響，本研究采用企業(yè)信息安全治理結(jié)構(gòu)、企業(yè)信息安全治理機(jī)制、企業(yè)信息安全治理模式的理論分析框架對(duì)影響因素進(jìn)行分類，下面展開具體論述。

（一）治理結(jié)構(gòu)

結(jié)合企業(yè)數(shù)字化運(yùn)營中的信息安全管理實(shí)踐，識(shí)別企業(yè)信息安全治理的相關(guān)主體，剖析不同治理主體之間的關(guān)聯(lián)性，對(duì)于理解不同治理主體之間的權(quán)力配置方式，厘清信息安全治理結(jié)構(gòu)的特點(diǎn)和屬性極為重要。在企業(yè)信息安全治理結(jié)構(gòu)中：（1）CEO（Chief executive officer）對(duì)信息安全戰(zhàn)略規(guī)劃具有決策權(quán)。（2）CIO（Chief information officer）對(duì)信息安全管理具有執(zhí)行權(quán)。（3）CFO（Chief financial officer）對(duì)信息安全軟硬件相關(guān)投資具有財(cái)務(wù)決策權(quán)。（4）企業(yè)內(nèi)部高層管理團(tuán)隊(duì)（Top management team，TMT）的其他成員圍繞信息安全管理形成凝聚力和統(tǒng)一共識(shí)。（5）TMT針對(duì)信息安全管理形成完善的問責(zé)機(jī)制。上述治理結(jié)構(gòu)的不同維度和屬性任務(wù)對(duì)構(gòu)建完善的信息安全組織結(jié)構(gòu)均會(huì)產(chǎn)生顯著影響。

（二）治理機(jī)制

面對(duì)數(shù)字化運(yùn)營管理中信息安全風(fēng)險(xiǎn)的廣泛滲透性，單靠信息安全治理結(jié)構(gòu)的完善還不能有效管控信息安全風(fēng)險(xiǎn)，還需要若干信息安全治理機(jī)制。健全的治理機(jī)制是企業(yè)信息安全有序運(yùn)行的前提，治理機(jī)制作用的發(fā)揮需要輔以合理的制度安排，相關(guān)制度安排需要從以下維度考慮：（1）合規(guī)治理。企業(yè)內(nèi)部信息安全管理需要考慮合規(guī)性，即按照國家法律和行業(yè)相關(guān)標(biāo)準(zhǔn)要求來進(jìn)行。（2）契約治理。通過企業(yè)內(nèi)部正式的治理規(guī)則來實(shí)現(xiàn)基于規(guī)范的合作，它通過正式的控制機(jī)制來規(guī)定相關(guān)各方應(yīng)該采取的信息安全行動(dòng)。（3）關(guān)系治理。關(guān)系治理注重合作各方信息的溝通和信任的建立，這有助于各方協(xié)同制定信息安全制度路線和方針，形成良好的信息安全合作關(guān)系。（4）流程治理。企業(yè)信息安全治理需要面向業(yè)務(wù)流程，因?yàn)樘囟ǖ闹卫硎侄沃挥袑?shí)現(xiàn)與具體業(yè)務(wù)流程的結(jié)合，才能夠有效降低治理要求對(duì)業(yè)務(wù)流程的干擾，以有效、便捷和穩(wěn)定的方式促進(jìn)企業(yè)信息安全管理水平的提高。（5）責(zé)任治理。企業(yè)內(nèi)部對(duì)信息安全管理責(zé)任歸屬的討論、劃分與說明是責(zé)任治理的范疇，往往涉及重大信息安全事項(xiàng)的責(zé)任劃分、應(yīng)急處理等具體事宜。

（三）治理模式

信息安全治理模式?jīng)Q定了信息安全治理實(shí)施過程中信息安全風(fēng)險(xiǎn)的處置和責(zé)任落實(shí)情況，需要對(duì)其進(jìn)行評(píng)價(jià)以作出適應(yīng)性改進(jìn)，從而更好地發(fā)揮其價(jià)值和效用。這是因?yàn)椋幢阍偻昝赖慕M織功能設(shè)計(jì)如果沒有辦法落地，對(duì)于信息安全管理來說也毫無價(jià)值[12]。在確保信息安全治理有效落地方面，以下環(huán)節(jié)非常重要：（1）職責(zé)明確。每個(gè)崗位上的員工明確自己的信息安全職責(zé)，尤其是在數(shù)字化運(yùn)營管理中這一點(diǎn)非常有必要。（2）風(fēng)險(xiǎn)處置。不同崗位上的員工知悉工作中潛在的信息安全風(fēng)險(xiǎn)，以及如何處置的具體步驟和措施。（3）行為塑造。伴隨技術(shù)和系統(tǒng)升級(jí)對(duì)信息安全提出的更高要求，面向員工的各類信息安全培訓(xùn)除了提升信息安全技能之外，要深刻影響員工的信息安全行為。（4）知識(shí)共享。不同崗位與流程中員工對(duì)信息安全知識(shí)的共享有助于提高企業(yè)整體的信息安全水平。（5）反饋改進(jìn)。員工在日常工作中遇到的信息安全問題以及規(guī)章制度的不合理之處，也需要及時(shí)反饋給信息安全主管領(lǐng)導(dǎo)或部門，以便持續(xù)改進(jìn)信息安全部署中的不合理之處。

三、研究方法及其過程

在識(shí)別出企業(yè)信息安全治理的影響因素之后，本研究采用解釋結(jié)構(gòu)模型進(jìn)一步劃分影響因素之間關(guān)系的層次結(jié)構(gòu)，目的是明確不同影響因素之間的層級(jí)結(jié)構(gòu)以及作用機(jī)理。解釋結(jié)構(gòu)模型的主要特點(diǎn)是通過系統(tǒng)元素之間相互影響關(guān)系的辨識(shí)，將復(fù)雜系統(tǒng)分解成多級(jí)遞階結(jié)構(gòu)，從而將影響因素之間錯(cuò)綜復(fù)雜的關(guān)系變得條理化、層次化和清晰化[13-14]。

（一）建立鄰接矩陣

本研究用15×15矩陣表示企業(yè)信息安全治理影響因素之間的邏輯關(guān)系，從而獲得鄰接矩陣A。鄰接矩陣中元素aij表示第i行和第j列的元素，即代表企業(yè)信息安全治理影響因素Fi和Fj之間的相關(guān)關(guān)系。其中，i，j=1，2，…，15。鄰接矩陣A表示如下：

為了確保影響因素之間關(guān)系的科學(xué)性和有效性，本研究采用專家咨詢法、問卷調(diào)查法對(duì)企業(yè)信息安全管理領(lǐng)域的20余位專家學(xué)者進(jìn)行調(diào)查（包括前述9位評(píng)定信息安全治理影響因素的專家學(xué)者），對(duì)企業(yè)信息安全治理的15個(gè)影響因素之間的關(guān)系進(jìn)行比對(duì)。最終結(jié)果采用大多數(shù)專家學(xué)者的意見，并形成鄰接矩陣A（見圖1）。

（二）計(jì)算可達(dá)矩陣

可達(dá)矩陣是指在一個(gè)結(jié)構(gòu)模型中，根據(jù)節(jié)點(diǎn)之間的連接關(guān)系，通過矩陣表示節(jié)點(diǎn)之間的可達(dá)性。可達(dá)矩陣的使用可以幫助我們分析和描述結(jié)構(gòu)模型的連通性。通過觀察矩陣中的元素，我們可以得知結(jié)構(gòu)模型中的節(jié)點(diǎn)是否相互連通，以及它們之間的連接方式。例如：如果可達(dá)矩陣中的某些元素值為1，那么對(duì)應(yīng)的節(jié)點(diǎn)就是連通的；而如果某些元素值為0，則表示相應(yīng)的節(jié)點(diǎn)之間不存在直接的連通路徑。本研究根據(jù)鄰接矩陣計(jì)算得出的可達(dá)矩陣M如圖2所示。

（三）可達(dá)矩陣的層次化處理

可達(dá)矩陣層次化處理是為了揭示企業(yè)信息安全治理影響因素之間的層次關(guān)系。將可達(dá)矩陣M劃分為可達(dá)集C（Fi）和先行集D（Fi）。其中：可達(dá)集表示可達(dá)矩陣要素Fi所在行中有“1”對(duì)應(yīng)的列元素集合；先行集表示可達(dá)矩陣要素Fi所在的列中有“1”對(duì)應(yīng)的行元素集合。共同集E（Fi）表示可達(dá)集C（Fi）和先行集D（Fi）之間的交集所組成的集合，即E（Fi）= C（Fi）∩ D（Fi）= {1}。本研究計(jì)算得出的可達(dá)集、先行集和共同集見表2。

（四）構(gòu)造解釋結(jié)構(gòu)模型

企業(yè)信息安全治理影響因素的層次分級(jí)依據(jù)E（Fi）= C（Fi）∩ D（Fi）進(jìn)行逐級(jí)抽取。第一層次化處理后，滿足E（Fi）= C（Fi）∩ D（Fi）的結(jié)果有12，13，15，因此L1={12，13，15}為第一層。隨后，將列表中含有12，13，15的元素去掉，發(fā)現(xiàn)滿足條件的有11，14，那么L2={11，14}為第二層。以此類推得出第三層為L3={7，8}，第四層為L4={1，2，3，4，5，6，9，10}。依據(jù)層次化分析結(jié)果、可達(dá)矩陣以及原始鄰接矩陣，將變量符號(hào)轉(zhuǎn)化為對(duì)應(yīng)的影響因素，本研究所構(gòu)造的企業(yè)信息安全治理影響因素解釋結(jié)構(gòu)模型如圖3所示。

可以看出，影響企業(yè)信息安全治理的15個(gè)因素可以劃分成4 個(gè)層次。在企業(yè)信息安全治理影響因素的L1～ L4等級(jí)中，隨著等級(jí)升高，影響持續(xù)不斷加強(qiáng)。在解釋結(jié)構(gòu)模型中，第一層級(jí)和第二層級(jí)的因素是最為直接的影響因素，對(duì)企業(yè)信息安全風(fēng)險(xiǎn)的處置、規(guī)范的信息安全行為塑造、對(duì)信息安全活動(dòng)的反饋改進(jìn)、對(duì)于崗位信息安全職責(zé)的確立以及具體信息安全知識(shí)的共享都能使企業(yè)信息安全治理直接見效；處于第四層級(jí)的CEO決策力、CIO有效性、CFO支持度、TMT凝聚力和TMT問責(zé)制，屬于治理結(jié)構(gòu)方面的因素，尤其是CEO決策力和CIO有效性是影響信息安全治理的關(guān)鍵因素。合規(guī)治理、流程治理、責(zé)任治理屬于治理機(jī)制方面的因素，而合規(guī)治理在影響效用方面最為關(guān)鍵；處于第二層級(jí)的契約治理、關(guān)系治理是直接影響因素和根本影響因素的承接，是企業(yè)推行信息安全治理中需要培育和打通的重要要素。

（五）運(yùn)行機(jī)理分析

由企業(yè)信息安全治理的解釋結(jié)構(gòu)模型可以看出，不同的影響因素對(duì)企業(yè)信息安全治理的影響程度是不同的。對(duì)模型的層級(jí)關(guān)系進(jìn)行分析對(duì)比，可以梳理出企業(yè)信息安全治理的運(yùn)行機(jī)理，這有助于定位和明確促進(jìn)企業(yè)信息安全治理的關(guān)鍵因素，如圖4所示。

第一，企業(yè)信息安全治理直接依賴不同部門及流程各崗位上的信息安全風(fēng)險(xiǎn)處置情況、信息安全責(zé)任劃分、信息安全行為的塑造、信息安全知識(shí)的共享以及對(duì)信息安全活動(dòng)的反饋改進(jìn)。這些因素屬于信息安全治理模式范疇，直接關(guān)系到信息安全治理的實(shí)施與落地。在信息安全治理下沉到具體崗位過程中，尤其要關(guān)注風(fēng)險(xiǎn)是否處置、是否塑造正確行為和是否持續(xù)反饋改進(jìn)，以提高信息安全落地的有效性。

第二，企業(yè)信息安全治理需要有合規(guī)治理、流程治理、責(zé)任治理、契約治理和關(guān)系治理的保障。這些因素屬于信息安全治理機(jī)制范疇，承接信息安全治理結(jié)構(gòu)的決策，并部署信息安全治理模式的具體行動(dòng)。在面向數(shù)字化運(yùn)營的信息安全治理機(jī)制中，尤其要關(guān)注合規(guī)治理、流程治理和責(zé)任治理，在確保信息安全滿足監(jiān)管要求的基礎(chǔ)上，將信息安全舉措部署到數(shù)字化流程之中，并劃分清楚流程的傳導(dǎo)與銜接等管理責(zé)任。

第三，企業(yè)信息安全治理由CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責(zé)制等規(guī)劃和推動(dòng)。這些因素屬于企業(yè)信息安全治理結(jié)構(gòu)的范疇，決定著企業(yè)信息安全的地位與走向，在企業(yè)數(shù)字化運(yùn)營管理中尤其要確保CEO對(duì)信息安全以及數(shù)字安全的重視，同時(shí)要發(fā)揮CIO在企業(yè)信息安全治理中的專業(yè)作用，通過CEO與CIO的良好互動(dòng)推動(dòng)信息安全治理結(jié)構(gòu)的完善。

四、研究結(jié)論與啟示

（一）研究結(jié)論

本研究首先通過文獻(xiàn)研究、案例分析和專家訪談識(shí)別出企業(yè)信息安全治理的影響因素，在此基礎(chǔ)上運(yùn)用解釋結(jié)構(gòu)模型分析各種影響因素以及它們相互之間的層次關(guān)系，進(jìn)而得出企業(yè)信息安全治理影響因素之間的作用機(jī)理，主要得出以下結(jié)論：

1.企業(yè)信息安全治理主要受到治理結(jié)構(gòu)、治理機(jī)制和治理模式三方面因素的影響。其中：治理結(jié)構(gòu)包括CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責(zé)制5個(gè)因素；治理機(jī)制包括合規(guī)治理、契約治理、關(guān)系治理、流程治理、責(zé)任治理5個(gè)因素；治理模式包括職責(zé)明確、風(fēng)險(xiǎn)處置、行為塑造、知識(shí)共享、反饋改進(jìn)5個(gè)因素。

2.企業(yè)信息安全治理的影響因素可以劃分為4個(gè)層級(jí)。第一層包括風(fēng)險(xiǎn)處置、行為塑造、反饋改進(jìn)，第二層包括職責(zé)明確、知識(shí)共享，第三層包括契約治理、關(guān)系治理，第四層包括CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責(zé)制、合規(guī)治理、流程治理、責(zé)任治理。

3.企業(yè)信息安全治理影響因素的作用機(jī)理。首先，對(duì)信息安全治理模式的直接依賴，尤其是風(fēng)險(xiǎn)處置、行為塑造、反饋改進(jìn)3個(gè)影響因素之間的良性互動(dòng)；其次，需要信息安全治理機(jī)制的保障，尤其是契約治理、關(guān)系治理要有效承接治理結(jié)構(gòu)的決策并將其落實(shí)到具體行動(dòng)上；最后，需要治理機(jī)構(gòu)的支持，尤其是CEO的決策力、CIO的有效性，以及兩個(gè)要素之間的良性互動(dòng)共同推動(dòng)信息安全治理的發(fā)展。

（二）管理啟示

信息安全治理在企業(yè)數(shù)字化運(yùn)營管理中愈發(fā)重要，為了更好地推進(jìn)企業(yè)信息安全治理的發(fā)展，本研究提出以下管理啟示：

1.在戰(zhàn)略規(guī)劃層面上重視信息安全治理結(jié)構(gòu)。企業(yè)要在戰(zhàn)略規(guī)劃中確定信息安全的長期目標(biāo)和未來發(fā)展方向，這需要在組織結(jié)構(gòu)中完善信息安全治理結(jié)構(gòu)，主要包括明確的信息安全治理角色和責(zé)任分配，即有效回答“由誰治理”的問題，通過清晰化信息安全治理相關(guān)主體的權(quán)責(zé)利關(guān)系，確保信息安全治理的開展。

2.在制度安排層面上重視信息安全治理機(jī)制。企業(yè)要在制度安排上建立相應(yīng)的規(guī)章制度和流程以確保信息安全的推動(dòng)，這需要在管理制度上健全信息安全治理機(jī)制，主要包括知悉外部信息安全政策要求、確立內(nèi)部信息安全管理舉措、完善風(fēng)險(xiǎn)評(píng)估和責(zé)任說明，有效回答“如何治理”的問題，通過建立各類信息安全治理機(jī)制，推進(jìn)信息安全活動(dòng)。

3.在實(shí)施落地層面上注重信息安全治理模式。企業(yè)要在信息安全實(shí)施落地中將信息安全的要求和控制措施實(shí)際應(yīng)用到企業(yè)員工以及具體崗位的日常運(yùn)營中，這需要在實(shí)施過程中匹配合理的信息安全治理模式，在崗位安全職責(zé)、行為引導(dǎo)、員工培訓(xùn)、風(fēng)險(xiǎn)處置等方面進(jìn)行精細(xì)化管理，有效回答“怎樣落地”的問題，確保信息安全落地且有效。

總而言之，企業(yè)信息安全治理需要從戰(zhàn)略上完善治理結(jié)構(gòu)、制度上健全治理機(jī)制和實(shí)施上匹配治理模式，從而確保企業(yè)信息安全管理的全面性和有效性。只有注重不同層面上的信息安全治理影響因素，并將其有機(jī)結(jié)合起來，企業(yè)才能系統(tǒng)推進(jìn)信息安全治理發(fā)展，提高企業(yè)應(yīng)對(duì)各類信息安全威脅的管理水平。

（三）研究局限與未來展望

盡管本研究對(duì)企業(yè)信息安全治理的影響因素進(jìn)行了系統(tǒng)分析，但仍存在一些不足之處有待未來研究予以完善。第一，雖然我們通過文獻(xiàn)研究、案例分析和專家訪談等不同方法提取了企業(yè)信息安全治理影響因素，但這些影響因素較多地集中在相對(duì)重視信息安全管理的金融等行業(yè)，其他行業(yè)中企業(yè)信息安全治理影響因素的分析有待進(jìn)一步開發(fā)和探究。第二，雖然我們對(duì)企業(yè)信息安全治理影響因素進(jìn)行了結(jié)構(gòu)化分析，并深入探究了影響因素之間的關(guān)系及作用機(jī)理，但并未對(duì)不同影響因素的重要性進(jìn)行量化分析，未來可以通過給出不同影響因素的權(quán)重，實(shí)現(xiàn)對(duì)不同因素重要性排序的目標(biāo)。

注釋：

①因2017年。

參考文獻(xiàn)：

[1]劉淑春， 閆津臣， 張思雪， 等．企業(yè)管理數(shù)字化變革能提升投入產(chǎn)出效率嗎？[J]. 管理世界， 2021（5）： 170-190.

[2]張晨芳， 夏志杰， 王詣銘. 政策工具視角下的我國網(wǎng)絡(luò)安全政策內(nèi)容量化分析——基于2015-2020年的國家政策文本[J]. 信息資源管理學(xué)報(bào)， 2021， 11（3）： 99-109.

[3]ALGHAMDI S， WIN K T， VLAHU-GJORGIEVSKA E. Information security governance challenges and critical success factors： systematic review[J]. Computers amp; security， 2020， 99： 102030.

[4]甄杰， 謝宗曉， 李康宏， 等. 信息安全治理與企業(yè)績效： 一個(gè)被調(diào)節(jié)的中介作用模型[J]. 南開管理評(píng)論， 2020， 23（1）： 158-168.

[5]WHITMAN M， MATTORD H J. Information security governance for the non-security business executive[J]. Journal of executive education， 2012， 11（1）： 97-111.

[6]NICHO M. A process model for implementing information systems security governance[J]. Information and computer security， 2018， 26（1）： 10-38.

[7]FAVORETTO C， MENDES G H D S， OLIVEIRA M G D， et al. Digital transformation of business model in manufacturing companies： challenges and research agenda[J]. Journal of business amp; industrial marketing， 2022， 37（4）： 748-767.

[8]甄杰， 謝宗曉， 陳琳， 等. 高管支持對(duì)信息安全績效的影響——探討制度化過程的中介效應(yīng)[J]. 系統(tǒng)管理學(xué)報(bào)， 2019， 28（5）： 846-856.

[9]甄杰， 謝宗曉， 林潤輝. 治理機(jī)制、制度化與企業(yè)信息安全績效[J]. 工業(yè)工程與管理， 2018， 23（3）： 171-176.

[10]李維安， 張耀偉， 鄭敏娜， 等. 中國上市公司綠色治理及其評(píng)價(jià)研究[J]. 管理世界， 2019（5）： 126-133.

[11]BALOZIAN P， BURNS A J， LEIDNER D E. An adversarial dance： toward an understanding of insiders’ responses to organizational information security measures[J]. Journal of the association for information systems， 2023， 24（1）： 161-221.

[12]TEJAY G P S， MOHAMMED Z A. Cultivating security culture for information security success： a mixed-methods study based on anthropological perspective[J]. Information amp; management， 2023， 60（3）： 103751.

[13]陳睿君， 謝雅萍， 黃麗清. ISM框架下連續(xù)創(chuàng)業(yè)行動(dòng)影響因素分析[J]. 科學(xué)學(xué)研究， 2020， 38（9）： 1662-1669.

[14]毛義華， 曹家棟， 方燕翎. 基于ISM的新型研發(fā)機(jī)構(gòu)影響因素分析[J]. 科研管理， 2022， 43（8）： 55-62.

Influencing Factors of Enterprise Information Security Governance in Enterprise Digital Transformation：

Analysis Based on Interpretive Structural Model

Abstract：

Identifying factors that influence information security governance in enterprise digital transformation and understanding the hierarchical relationships among these factors can help organizations manage the information security risks of digital operations. This article utilizes literature analysis， case summaries， and expert consultations to identify the factors affecting information security governance. Based on this， it applies Interpretive Structural Modeling （ISM） to analyze the hierarchical structure and operational mechanisms of the factors influencing enterprise information security governance. The results show that the governance model of enterprise information security governance relies directly on risk disposal， clear responsibilities， behavior shaping， knowledge sharing， and feedback improvement. It is supported by compliance governance， process governance， responsibility governance， contract governance， and relationship governance mechanisms. It is further supported by the governance structure of CEO decision-making power， CIO effectiveness， CFO support， TMT cohesion， and accountability.

Keywords：

information security governance; digital transformation; interpretive structural model; influencing factors; operational mechanism