基于ISO/IEC標(biāo)準(zhǔn)的信息安全管理關(guān)鍵成功要素組態(tài)分析

摘要：

基于ISO/IEC系列標(biāo)準(zhǔn)文件，運(yùn)用模糊集定性比較分析法，探討包含信息安全制度、高管支持、一致性、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全意識(shí)、信息安全文化在內(nèi)的多重因素集合影響組織信息安全管理績(jī)效的協(xié)同機(jī)制。研究結(jié)果表明，能夠確保組織高信息安全管理績(jī)效的兩種組態(tài)分別是高信息安全意識(shí)、高水平信息安全文化氛圍和高質(zhì)量信息安全制度、完善的信息安全風(fēng)險(xiǎn)評(píng)估，存在一條組織非高信息安全管理績(jī)效的驅(qū)動(dòng)路徑。組織可根據(jù)組態(tài)結(jié)果整合內(nèi)部資源，開展高效信息安全管理。

關(guān)鍵詞：

信息安全管理；關(guān)鍵成功要素；信息安全標(biāo)準(zhǔn)；組態(tài)效應(yīng)

中圖分類號(hào)：C931.6"""""""" 文獻(xiàn)標(biāo)志碼：A

收稿日期：2023-02-20

基金項(xiàng)目：

教育部人文社會(huì)科學(xué)研究基金（批準(zhǔn)號(hào)：20YJC630003）資助；中國(guó)博士后科學(xué)基金（批準(zhǔn)號(hào)：2021M691688、2021T140353）資助。

通信作者：

陳昊，男，博士，副教授，主要研究方向?yàn)閿?shù)據(jù)安全治理等。E-mail：ch9569@qdu.edu.cn

國(guó)民經(jīng)濟(jì)與社會(huì)發(fā)展第十四個(gè)五年規(guī)劃指出要“加快數(shù)字社會(huì)建設(shè)步伐，營(yíng)造良好數(shù)字生態(tài)”。安全的信息流動(dòng)能夠促進(jìn)經(jīng)濟(jì)發(fā)展［1］，組織作為數(shù)字資源和數(shù)據(jù)信息的重要持有者，是構(gòu)建良好數(shù)字生態(tài)的關(guān)鍵節(jié)點(diǎn)。近年，各類組織信息安全事件比例攀升，諸如非法入侵政府網(wǎng)站，組織內(nèi)部人員竊取商業(yè)機(jī)密牟利等惡性事件頻發(fā)，嚴(yán)重威脅組織資源轉(zhuǎn)化，阻礙企業(yè)發(fā)展。信息安全管理（Information Security Management， ISM）是有效應(yīng)對(duì)組織信息安全威脅和風(fēng)險(xiǎn)的系統(tǒng)化過(guò)程，通過(guò)應(yīng)用物理、技術(shù)，安全控制等手段保障信息資產(chǎn)安全［2］。通過(guò)關(guān)鍵成功要素分析［3］識(shí)別關(guān)鍵要素，合理配置安全資源，可確保高信息安全管理績(jī)效（Information Security Management Performance， ISMP）。ISM關(guān)鍵成功要素包括高層管理支持、信息安全管理與業(yè)務(wù)活動(dòng)的一致性、安全控制和組織意識(shí)、信息安全制度、組織使命、用戶參與、制度化［4-7］等，實(shí)證研究可探尋關(guān)鍵成功因素間的因果關(guān)聯(lián)［2］。綜上，現(xiàn)有研究側(cè)重通過(guò)文獻(xiàn)回顧或基于特定理論視角歸納總結(jié)關(guān)鍵成功要素，所提取要素離散且理論化，目前缺乏統(tǒng)一成功要素分析框架，同時(shí)忽視了關(guān)鍵成功要素組合可能會(huì)以集合作用方式影響ISMP。因此，本文借助標(biāo)準(zhǔn)文件，基于模糊集定性比較分析法，探討組織ISM實(shí)施效果的關(guān)鍵成功要素和組織高/非高信息安全管理績(jī)效的關(guān)鍵要素組態(tài)，旨在為組織建設(shè)信息安全管理體系提供前置條件和要素基礎(chǔ)。

1 要素提取

ISO/IEC信息安全管理相關(guān)標(biāo)準(zhǔn)提供了組織評(píng)估自身是否有能力滿足其信息安全要求的要素框架，基于組織環(huán)境角度，規(guī)定了建立、實(shí)施、運(yùn)行、保持和持續(xù)改進(jìn)信息安全管理體系的基本要求，適用于各類組織。本文整合理論與實(shí)踐，基于通用度最高的ISO/IEC27001：2013和ISO/IEC27014：2020標(biāo)準(zhǔn)，歸納總結(jié)提取六個(gè)關(guān)鍵要素，涉及企業(yè)信息安全管理全流程和多主體，能夠較全面展示企業(yè)開展信息安全管理活動(dòng)的現(xiàn)實(shí)需求和側(cè)重點(diǎn)（表1）。

信息安全制度（Information Security Policy，ISP）由組織高層管理者確定、批準(zhǔn)、發(fā)布、傳達(dá)給員工和組織外部相關(guān)人員。組織會(huì)適時(shí)審查和更新制度，確保其適宜、充分和有效。ISP明確了員工的角色和責(zé)任［8］，規(guī)定了員工保護(hù)組織資源時(shí)解決問(wèn)題的具體方法，從而影響員工安全行為［9］。高質(zhì)量ISP幫助員工理解組織可接受和負(fù)責(zé)任的安全行為，直接與整體戰(zhàn)略目標(biāo)相聯(lián)系，有助于確保組織環(huán)境安全［5］。

高管支持（Top Management，TM）包括認(rèn)知支持和行為支持。高層管理者認(rèn)知層面高度重視組織ISM能推動(dòng)信息安全管理活動(dòng)融入組織正常業(yè)務(wù)［7］。此外，高層管理者還會(huì)提供資源支持［2］、嘗試各種領(lǐng)導(dǎo)風(fēng)格［10］、構(gòu)建良好的上下屬關(guān)系［11］等行為支持。

一致性（Alignment，ALI）主要包括：確保信息安全管理目標(biāo)和組織戰(zhàn)略方向保持一致，根據(jù)組織戰(zhàn)略目標(biāo)建立高效信息安全管理戰(zhàn)略［12］；整合信息安全管理體系要求和公司業(yè)務(wù)，避免組織業(yè)務(wù)與安全管理發(fā)生矛盾［6］；結(jié)合信息安全風(fēng)險(xiǎn)管理與組織整體風(fēng)險(xiǎn)管理方法，避免信息安全風(fēng)險(xiǎn)管理與組織風(fēng)險(xiǎn)管理混亂；信息安全制度同時(shí)滿足內(nèi)部合同要求和外部行業(yè)規(guī)章或法律規(guī)定，為信息安全管理創(chuàng)造良好氛圍條件。

信息安全風(fēng)險(xiǎn)評(píng)估（Information Security Risk Assessment，ISRA）是指識(shí)別、分類組織重要資產(chǎn)和漏洞，根據(jù)威脅及其發(fā)生概率和影響排序，能夠用于衡量組織信息安全風(fēng)險(xiǎn)管理，其完整流程體系包括構(gòu)建風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、響應(yīng)風(fēng)險(xiǎn)和監(jiān)控風(fēng)險(xiǎn)［13］。通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估，組織和員工能夠提前意識(shí)安全風(fēng)險(xiǎn)的危害，采取措施規(guī)避錯(cuò)誤做法，確保風(fēng)險(xiǎn)管理過(guò)程有效性。

信息安全意識(shí)（Information Security Awareness，ISA）是組織內(nèi)員工關(guān)于信息安全重要性、組織所適用的安全級(jí)別和自身安全職責(zé)的意識(shí)［9］。ISA幾乎存在于組織安全管理各層面［14］，能夠敦促員工重視信息安全制度［15］，降低因員工違規(guī)操作導(dǎo)致的信息安全風(fēng)險(xiǎn)。

信息安全文化（Information Security Culture，ISC）是組織內(nèi)關(guān)于信息安全防護(hù)運(yùn)作的信念、價(jià)值觀、態(tài)度和知識(shí)［16］，直接影響組織戰(zhàn)略部署和目標(biāo)，推動(dòng)組織內(nèi)部相關(guān)要素融合，減少安全制度和業(yè)務(wù)流程間的矛盾［17］。同時(shí)，ISC能夠營(yíng)造一種環(huán)境氛圍，整合人、技術(shù)和過(guò)程等元素，提供全方位信息安全保障［18］，保證組織高ISMP。

綜上，結(jié)合上述條件變量，探究組織信息安全管理的因果機(jī)制（圖1）。

2 研究設(shè)計(jì)

2.1 變量測(cè)量

根據(jù)相關(guān)研究成果［2， 19-23］和ISO/IEC27001：2013、ISO/IEC27014：2020標(biāo)準(zhǔn)，結(jié)合研究情境修正題項(xiàng)，采用Likert量表，測(cè)量ISP、TM、ALI、ISRA、ISA、ISC和ISMP。

2.2 數(shù)據(jù)收集與信效度檢驗(yàn)

相較于基層員工，高層管理者及其管理團(tuán)隊(duì)是企業(yè)信息安全戰(zhàn)略的制定者，部分高管直接參與企業(yè)信息安全實(shí)踐，更了解企業(yè)的信息安全目標(biāo)和愿景、信息安全需求與要求、信息安全制度及執(zhí)行情況等；中層管理者主要涉及企業(yè)IT部門或信息團(tuán)隊(duì)責(zé)任人，更熟悉企業(yè)信息資源的使用和安全部署。本研究通過(guò)電子郵件向多行業(yè)中、高層管理者，隨機(jī)推送800份電子問(wèn)卷。為確保問(wèn)卷科學(xué)性，要求受訪者單位頒布信息安全制度條文或具有明確的信息安全制度，共收回問(wèn)卷463份。剔除有規(guī)律作答、惡意作答等無(wú)效問(wèn)卷后，最終得有效問(wèn)卷367份。其中，男性占比47.41%，25～44歲占比96.73%，本專科學(xué)歷占比89.1%，信息技術(shù)行業(yè)占比38.69%，制造行業(yè)占比30.52%。通過(guò)信效度檢驗(yàn)，所有變量的Cronbach′s α值（0.786～0.817）和組合信度值（0.744～0.794）均大于0.7，數(shù)據(jù)信度較好；KMO值為0.875，Bartlett球形檢驗(yàn)顯著（p＜0.001），變量AVE值（0.592～0.659）大于0.5，數(shù)據(jù)效度良好。

3 結(jié)果與討論

3.1 數(shù)據(jù)校準(zhǔn)與單個(gè)條件必要性分析

各題項(xiàng)得分平均值作為變量最終得分，采用直接校準(zhǔn)法校準(zhǔn)為模糊集。完全隸屬、交叉點(diǎn)和完全不隸屬的校準(zhǔn)點(diǎn)分別設(shè)為樣本數(shù)據(jù)的95%分位數(shù)、50%分位數(shù)和5%分位數(shù)。組態(tài)分析前，檢驗(yàn)結(jié)果變量的實(shí)現(xiàn)是否需要任意單一前因條件，必要條件一致性閾值設(shè)為0.9。由表2可知，單個(gè)前因條件必要性的一致性均低于0.9，不存在高/非高ISMP的單一必要前因條件，表明ISMP受多因素協(xié)同影響。

3.2 組態(tài)分析

采用fsQCA3.0分析樣本數(shù)據(jù)，原始一致性閾值設(shè)為0.8，案例頻數(shù)閾值設(shè)為1，PRI一致性門檻值設(shè)為0.7。由于各前因條件與結(jié)果變量間關(guān)系研究尚缺乏明確理論和證據(jù)，反事實(shí)分析時(shí)，假設(shè)單一前因條件出現(xiàn)與否均可貢獻(xiàn)高/非高ISMP，即所有前因條件均選擇默認(rèn)標(biāo)準(zhǔn)“存在或缺失”。通過(guò)比較標(biāo)準(zhǔn)化分析結(jié)果的中間解和簡(jiǎn)約解，區(qū)分核心條件與邊緣條件。由表3可知，有5個(gè)高ISMP組態(tài)即H1a、H1b、H1c、H2a、H2b，均具有較高一致性（＞0.85），總體構(gòu)成組織高ISMP的充分條件；有1個(gè)非高ISMP組態(tài)即NH1。由于H1a、H1b和H1c核心條件一樣，構(gòu)成二階等價(jià)組態(tài)。同理，H2a和H2b也構(gòu)成二階等價(jià)組態(tài)。

（1）高ISMP影響因素組態(tài)分析（H1a、H1b、H1c）。組態(tài)H1a（～TM*ISA*ISC*ALI）、組態(tài)H1b（ISP*～TM*ISA*ISC*～I(xiàn)SRA）和組態(tài)H1c（～I(xiàn)SP*～TM*ISA*ISC*ISRA）共同構(gòu)成第一類組態(tài)條件，ISA和ISC為核心條件。組態(tài)H1a，ALI是邊緣條件，TM為邊緣條件缺失，ISP和ISRA是無(wú)關(guān)緊要條件，表明若具有強(qiáng)烈的信息安全意識(shí)和高水平信息安全文化，再互補(bǔ)以高度一致性，即使缺乏高管支持，組織也能產(chǎn)生高ISMP。同理，組態(tài)H1b表明即使高管未充分重視組織的信息安全管理，且沒(méi)有評(píng)估信息安全風(fēng)險(xiǎn)，憑借組織營(yíng)造的高水平信息安全文化氛圍、高質(zhì)量信息安全制度以及所有員工強(qiáng)烈的信息安全意識(shí)，也能使組織獲得高ISMP。組態(tài)H1c表明若具有強(qiáng)烈的信息安全意識(shí)，高水平信息安全文化和完善的信息安全風(fēng)險(xiǎn)評(píng)估，高管支持和信息安全制度的缺失不會(huì)影響組織高ISMP。

（2）高ISMP影響因素組態(tài)分析（H2a、H2b）。組態(tài)H2a（ISP*TM*ISA*ISRA*ALI）和組態(tài)H2b（ISP*～TM*ISA*～I(xiàn)SC*ISRA*～ALI）構(gòu)成第二類組態(tài)條件，ISP和ISRA為核心條件。組態(tài)H2a表明無(wú)論組織是否營(yíng)造高水平信息安全文化氛圍，只要有高質(zhì)量信息安全制度和完善的信息安全風(fēng)險(xiǎn)評(píng)估，再互補(bǔ)以充分的高管支持、強(qiáng)烈的信息安全意識(shí)和高度一致性，就能獲得高ISMP。組態(tài)H2b表明當(dāng)組織具有高質(zhì)量信息安全制度和完善的信息安全風(fēng)險(xiǎn)評(píng)估，輔以所有員工強(qiáng)烈的信息安全意識(shí)，即使缺少高管支持、信息安全文化氛圍和一致性，也能獲得高ISMP。

（3）非高ISMP影響因素組態(tài)分析（NH1）。非高ISMP組態(tài)即NH1，表明若組織不具備六個(gè)前因條件，即高質(zhì)量信息安全制度、充分的高管支持、強(qiáng)烈的信息安全意識(shí)、高水平信息安全文化、完善的信息安全風(fēng)險(xiǎn)評(píng)估和高度一致性，就無(wú)法獲得高ISMP。

3.3 穩(wěn)健性檢驗(yàn)

通過(guò)調(diào)整原始一致性閾值和改變PRI一致性門檻值檢驗(yàn)高ISMP前因組態(tài)的穩(wěn)健性。原始一致性閾值由0.8升至0.85，其他處理方式不變，組態(tài)結(jié)果保持不變（表4）。由表5可知，PRI一致性門檻值由0.7升至0.75，其他處理方式不變，除由于PRI一致性門檻值提高導(dǎo)致H1a、H1b和H1c產(chǎn)生新核心條件外，其余組態(tài)一致，因此結(jié)論穩(wěn)健。

4 結(jié)論

挖掘關(guān)鍵成功要素是組織信息安全管理體系建設(shè)的重要前置環(huán)節(jié)，本文不同于以往信息安全管理單層面因果關(guān)系研究，基于組態(tài)視角，揭示了組織信息安全管理的復(fù)雜運(yùn)行機(jī)制，提出組織高ISMP的驅(qū)動(dòng)路徑；證實(shí)任意單一因素均無(wú)法構(gòu)成組織高ISMP的必要條件，組織ISMP是多元因素綜合作用的結(jié)果。組織無(wú)需保證具備全部關(guān)聯(lián)要素，僅需采納適合當(dāng)前實(shí)際或未來(lái)可執(zhí)行性的組態(tài)配置方案，達(dá)成高ISMP目標(biāo)；單一條件無(wú)法直接促使組織高ISMP，組織可基于戰(zhàn)略定位整合資源，充分發(fā)揮自身優(yōu)勢(shì)，通過(guò)核心條件實(shí)現(xiàn)組織高ISMP。今后可針對(duì)特定場(chǎng)景如供應(yīng)鏈信息安全，探討外部條件是否會(huì)影響組織ISMP。

參考文獻(xiàn)

［1］王有浩， 閔杰. 信息不對(duì)稱下考慮制造商入侵的電商決策研究［J］. 青島大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2023， 36（1）：71-78.

［2］TU C Z， YUAN Y F， ARCHER N， et al. Strategic value alignment for information security management： A critical success factor analysis［J］. Information amp; Computer Security， 2018， 26（2）： 150-170.

［3］HASTIG G M， SODHI M S. Blockchain for supply chain traceability： Business requirements and critical success factors［J］. Production and Operations Management， 2020， 29（4）： 935-954.

［4］ALGHAMDI S， WIN K T， VLAHU-GJORGIEVSKA E. Information security governance challenges and critical success factors： Systematic review［J］. Computers amp; Security， 2020， 99： 102030.

［5］ARBANAS K， HRUSTEK N . Key success factors of information systems security［J］. Journal of Information and Organizational Sciences， 2019， 43（2）： 131-144.

［6］謝宗曉， 林潤(rùn)輝， 王興起. 用戶參與對(duì)信息安全管理有效性的影響—多重中介方法［J］. 管理科學(xué)， 2013， 26（3）： 65-76.

［7］董坤祥， 謝宗曉， 甄杰， 等. 高管支持、制度化與信息安全管理有效性［J］. 外國(guó)經(jīng)濟(jì)與管理， 2018， 40（5）： 113-126.

［8］KIM H L， HAN J. Do employees in a" “good”" company comply better with information security policy？ A corporate social responsibility perspective［J］. Information Technology amp; People， 2019， 32（4）： 858-875.

［9］CHEN H， LI W L. Understanding organization employee′s information security omission behavior： An integrated model of social norm and deterrence［C］//18th Pacific Asia Conference on Information Systems. Chengdu，2014： 280.

［10］ XUE B T， XU F， LUO X， et al. Ethical leadership and employee information security policy （ISP） violation： Exploring dual-mediation paths［J］. Organizational Cybersecurity Journal： Practice， Process and People， 2021，1（1）： 5-23.

［11］ LIU C H， WANG N M， LIANG H G. Motivating information security policy compliance： The critical role of supervisor-subordinate guanxi and organizational commitment［J］. International Journal of Information Management， 2020， 54： 102152.

［12］ SOOMRO Z A， SHAH M H， AHMED J. Information security management needs more holistic approach： A literature review［J］. International Journal of Information Management， 2016， 36（2）： 215-225.

［13］ SHAMELI-SENDI A， AGHABABAEI-BARZEGAR R， CHERIET M. Taxonomy of information security risk assessment （ISRA）［J］. Computers amp; Security， 2016， 57： 14-30.

［14］ VON SOLMS B.Information security——The Fourth Wave［J］. Computers amp; Security， 2006， 25（3）： 165-168.

［15］ KHANDO K， GAO S， ISLAM S M， et al. Enhancing employees information security awareness in private and public organisations： A systematic literature review［J］. Computers amp; Security， 2021， 106： 102267.

［16］ AMANKWA E， LOOCK M， KRITZINGER E. The determinants of an information security policy compliance culture in organisations： The combined effects of organisational and behavioural factors［J］. Information amp; Computer Security， 2022， 30（4）： 583-614.

［17］ KARLSSON M， DENK T，STRM J. Perceptions of organizational culture and value conflicts in information security management［J］. Information amp; Computer Security， 2018， 26（2）： 213-229.

［18］ DA VEIGA A. Comparing the information security culture of employees who had read the information security policy and those who had not： Illustrated through an empirical study［J］. Information amp; Computer Security， 2016， 24（2）： 139-151.

［19］ BULGURCU B， CAVUSOGLU H， BENBASAT I. Quality and fairness of an information security policy as antecedents of employees′ security engagement in the workplace： An empirical investigation［C］//43rd Hawaii International Conference on System Sciences. Hawaii， 2010： 4098-4104.

［20］ OGBANUFE O. Enhancing end-user roles in information security： Exploring the setting， situation， and identity［J］. Computers amp; Security， 2021， 108： 102340.

［21］ BULGURCU B， CAVUSOGLU H， BENBASAT I. Information security policy compliance： An empirical study of rationality-based beliefs and information security awareness［J］. MIS Quarterly， 2010， 34（3）： 523-548.

［22］ TANG M C， LI M G， ZHANG T. The impacts of organizational culture on information security culture： A case study［J］. Information Technology amp; Management， 2016， 17（2）： 179-186.

［23］ VRHOVEC S， MIHELICˇ A. Redefining threat appraisals of organizational insiders and exploring the moderating role of fear in cyberattack protection motivation［J］. Computers amp; Security， 2021， 106： 102309.

Configuration Analysis of Key Success Factors of Information Security Management Based on ISO/IEC Standard

HAI Yu-gea， CHEN Haoa， YANG Xin-yu b

（a.School of Business， b.School of Quality amp; Standardization， Qingdao University， Qingdao 266061， China）

Abstract：

Based on the ISO/IEC series of standard documents， the fuzzy set qualitative comparative analysis method was applied to explore the synergistic mechanism of multiple factor sets including information security policy， top management， alignment， information security risk assessment， information security awareness， and information security culture that affect the information security management performance. The results show that two types of configuration can improve high information security management performance： strong information security awareness and high-level information security culture， high-quality information security policy and complete information security risk assessment. There exists a driving path for information security management which is non-high performance. The organization can carry out efficient information security management by integrating internal resources in accordance with the configuration results.

Keywords：

information security management; critical success factors; information security standard; configurational effect