武德昆 官海濱 王興起 謝宗曉

（1．北京科技大學(xué) 東凌經(jīng)濟管理學(xué)院，北京100083；2．南開大學(xué) 商學(xué)院，天津300071）

一、引言

隨著信息化程度的不斷提高，信息安全的重要性得到了前所未有的重視。然而目前重技術(shù)輕管理的思路并沒有實質(zhì)性的改變信息安全管理（Information security management，ISM）的有效性。以2013年6月的“棱鏡門事件”為例，美國情報機構(gòu)就竊取了電子郵件，即時消息、語音聊天、文件傳輸、視頻會議和社交網(wǎng)絡(luò)資料等信息，而這些泄密事件完全可以通過有效的管理得以避免，例如通過加強涉密載體的保密資質(zhì)審查防止硬件安全漏洞，通過提高涉密人員的信息安全意識、規(guī)范涉密人員安全操作流程等防止日常操作所導(dǎo)致的安全事件，通過定期的安全檢查、風(fēng)險評估、安全加固等手段降低涉密系統(tǒng)潛在的安全風(fēng)險等。據(jù)《2010／2011計算機犯罪與安全調(diào)查》（Computer Crime and Security Survey）報告：盡管受訪組織殺毒軟件和防火墻的使用率分別達到97%和94．9%，但仍有41．1%的受訪組織經(jīng)歷過信息安全事件，其中內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件造成的信息安全事件高達24．8%。

事實上，信息安全管理是一項系統(tǒng)性工程，在實踐中，以信息技術(shù)部門為主，涉及到組織中的所有部門，與每一個員工都息息相關(guān)，［1］但只有作為對信息安全的相關(guān)活動負有戰(zhàn)略決策及活動導(dǎo)向責(zé)任的高層管理者才有能力協(xié)調(diào)各部門關(guān)系，決定新技術(shù)的引進、管理制度的建立與實施和對實施情況進行監(jiān)督。因此，高層管理支持（以下簡稱“高管支持”）對組織信息安全管理的有效性起著不可或缺的作用。

本文以信息安全管理體系（Information Security Management System，ISMS，以下同）為背景，研究高管支持在信息安全管理中的作用。ISO／IEC27000標(biāo)準(zhǔn)族中對ISMS給出了專門的定義，按照該定義滿足條件的標(biāo)準(zhǔn)有很多。［2］在實際應(yīng)用中，由于我國企業(yè)在信息安全管理體系的選擇上也是以ISO／IEC27000標(biāo)準(zhǔn)族為主，因此一般認(rèn)為ISMS與ISO／IEC27000標(biāo)準(zhǔn)族是同義的。據(jù)統(tǒng)計，截至2012年12月，共有1169家中國企業(yè)通過信息安全認(rèn)證?；诶碚摵蛯嵺`上的考量，本研究中也沿用這個慣例，并從通過驗證的1169家企業(yè)中選取300家作為樣本進行實證研究。

二、高管支持及相關(guān)文獻綜述和研究假設(shè)

（一）高管支持的涵義

高管支持在信息系統(tǒng)中的研究比較早，這些研究涵蓋了不同類型的信息系統(tǒng)，跨越了信息系統(tǒng)開發(fā)、采納、實施各階段，并發(fā)現(xiàn)了高管支持對信息系統(tǒng)的正面作用。［3］盡管相關(guān)的研究眾多，但學(xué)界對高管支持的定義并不統(tǒng)一。綜合已有高管支持的定義，可以將高管支持定義分為四類：（1）要素觀。研究者通過描述其包含的要素界定高管支持，Jarvenpaa．S．L，Ives．B提出高管支持包括高層參與（Executives participation）和高層心理投入（executives involvement）兩個要素。［4］（2）績效觀。高管支持即高管對信息系統(tǒng)正向影響組織績效的程度。（3）支持觀。即高管支持能夠為信息系統(tǒng)提供資源支持和良好的制度環(huán)境，Guimaraes．T．Igbaria．M定義高管支持為“高層管理鼓勵和分配資源”。［5］（4）管理觀。認(rèn)為高管支持確保信息系統(tǒng)和業(yè)務(wù)流程結(jié)合，并改變管理以迎合信息系統(tǒng)的特色。定義的多樣性也導(dǎo)致對高管支持的行為主體即高管本身組成的不確定性，有研究者認(rèn)為高管指CEO和業(yè)務(wù)經(jīng)理；［6］也有指CEO和IT經(jīng)理，［7］還有研究者認(rèn)為信息系統(tǒng)中的高管包含CEO、CIO、COO，以及其他高層業(yè)務(wù)領(lǐng)導(dǎo)。［8］

根據(jù)2017年1~6月的問卷調(diào)查結(jié)果顯示,獻血者在獻血前、獻血中、獻血后對于采血護理的滿意程度分別為99.00%、99.28%以及97.84%。而根據(jù)2016年7~12月的問卷調(diào)查結(jié)果,獻血者在獻血前、獻血中、獻血后對于采血護理的滿意程度分別為98.79%、99.24%以及98.46%。我站在實施采血護理風(fēng)險評估和控制后,獻血者對于采血護理的整體滿意有了顯著的提升,見于表1

最近的研究者從高管支持主體的角度出發(fā)，結(jié)合高管支持在信息系統(tǒng)中的作用，認(rèn)為信息系統(tǒng)情境下的高管是指那些專門針對信息系統(tǒng)事務(wù)相關(guān)的高管，是組織 中 高 管 的 子 集。［2，9－10］與 信 息 系 統(tǒng) 情 境下類似，在信息安全管理情境下，本研究中定義的高管是指為保證信息安全的相關(guān)活動負有戰(zhàn)略決策及活動導(dǎo)向責(zé)任的群體。企業(yè)信息安全管理體系貫徹實施中將領(lǐng)導(dǎo)責(zé)任明確為“信息安全領(lǐng)導(dǎo)小組”的責(zé)任，即不但包括公司負責(zé)人、分管信息安全的公司副職，還包括公司所有的業(yè)務(wù)主管領(lǐng)導(dǎo)，尤其是財務(wù)、人力資源等部門的主要負責(zé)人。因此，本研究將高管支持描述為：信息安全領(lǐng)導(dǎo)小組成員基于對信息安全重要性的認(rèn)識，向公司其他成員展現(xiàn)出的對信息安全的態(tài)度和傾向性以及參與信息安全實踐行為的總和。進一步細分，高管支持體現(xiàn)在兩個層面，即認(rèn)知支持和行為支持。［2，11］

Liang H．Saraf et al的 研 究 使 用 高 管 信 念（TMB）和高管參與（TMP），并提出外部環(huán)境首先影響高管的信念結(jié)構(gòu)，其次高管信念結(jié)構(gòu)引導(dǎo)高管的行為。［12］本研究界定的高管支持體現(xiàn)在兩個方面，即包括高管信念和高管參與。在信息安全管理背景下，高管信念指高管團隊對信息安全管理活動潛能的主觀心理狀態(tài)，例如高管團隊對信息安全的理解程度以及信息安全對組織重要性的認(rèn)識；高管參與指推動信息安全管理活動融入公司日常行為的所有行動，基于已有文獻提出如下假設(shè)：

H1：在信息安全管理活動中，高管信念對高管參與有著顯著的正向影響。

（二）信息安全意識

在心理學(xué)上，意識是個體以其感官系統(tǒng)，對外來刺激的一種主觀的解釋與反應(yīng)，它受個體及以往經(jīng)驗與社會普遍標(biāo)準(zhǔn)的影響。個體在面對相同的外來刺激會產(chǎn)生不同的個體反應(yīng)，信息安全風(fēng)險也不例外。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）最早認(rèn)識到信息安全意識的重要性，認(rèn)為信息安全意識是使個體對威脅與脆弱性感到敏感，并能夠識別出所需保護的資料、信息與處理的過程。經(jīng)合組織（OECD）在《信息系統(tǒng)與網(wǎng)絡(luò)安全準(zhǔn)則》修訂本中提到員工的意識并賦予以下的涵義：信息安全意識即所有的信息系統(tǒng)的參與者均應(yīng)意識到信息系統(tǒng)與網(wǎng)絡(luò)安全的必要性。NIST對信息安全意識做了更為具體的定義：它使得個體明白信息安全的重要性，并據(jù)此做出回應(yīng)，其目的是要求在日常工作時集中關(guān)注信息安全，且必須包含組織內(nèi)的所有使用者。ISF將信息安全意識定義為組織內(nèi)所有的員工理解信息安全的重要性，清楚組織所適用的安全級別，知悉并履行個人的安全職責(zé)。［13］GB／T22080－2008／ISO／IEC27001：2005在正文中（5．2．2，pp．9）和附錄 A中（A．8．2．2，pp．16）分別提出了建立信息安全意識規(guī)程的要求。其他常見的信息安全管理標(biāo)準(zhǔn)也有相同的條文，例如，GB／T22239－2008中的“安全意識教育和培訓(xùn)”。

個體行為習(xí)慣的徹底改變需要做到知行合一，即認(rèn)知和行為的統(tǒng)一，信息安全意識的提升能夠改變員工不良的行為習(xí)慣，從而降低信息安全事故發(fā)生率，提升組織的績效，例如可以提高公司的利潤率、股票收益率等。在最近的研究中，Spears J．L．＆Barki H驗證了用戶參與對信息安全意識在信息安全風(fēng)險管理中的作用。［14］Puhakainen．P．＆ M．Siponen通過行動研究（Action Research）探討了信息安全培訓(xùn)培訓(xùn)規(guī)程對員工信息安全意識直至員工安全策略遵守（Policy Compliance）的正向影響作用。［15］Karjalainen．M．＆M．Siponen不但進行了實證研究，而且用元理論（Meta-Theory）試圖找出信息安全意識培訓(xùn)的本質(zhì)。［16］這些研究一個隱含的前提都是信息安全意識對信息安全管理有效性有促進作用。

此外，微軟公司在幫助客戶建立信息安全方案的公開文檔中也明確提出：建立信息安全意識培訓(xùn)方案的主要目標(biāo)是：通過強化大家認(rèn)可的、與公司業(yè)務(wù)有關(guān)的安全活動，從而改變?nèi)w員工的行為。Kruger．H．A ＆ Kearney．W．D指出安全控制的應(yīng)用效果依賴于積極的安全環(huán)境，其中包括每個人都理解并執(zhí)行組織內(nèi)的程序和規(guī)程，具有較高的信息安全意識。［17］Bulgurcu．B，Cavusoglu．H ＆ Benbasat．I探討了員工信息安全意識對信息安全策略遵守的正向影響，［18］謝宗曉等的研究結(jié)論則驗證了員工信息安全意識對信息安全管理有效性有顯著正向影響，并在用戶參與和信息安全管理有效性之間的關(guān)系中具有中介作用。

基于以上認(rèn)識與文獻研究，提出下列假設(shè)：

H6：在信息安全的情境下，員工信息安全意識對信息安全管理有效性有顯著正向影響。

（三）高管支持對信息安全管理的影響

Teo．T．S．H，Ang．J．S．K研究發(fā)現(xiàn)，“不能獲得高管支持”是許多組織在信息系統(tǒng)規(guī)劃、開發(fā)及使用上難以實施的重要原因，研究者通常認(rèn)為高管支持的不足是信息系統(tǒng)成功的最大障礙。信息安全管理也不例外。［19］在信息系統(tǒng)的實施過程中，高管支持能夠幫助清除組織中不同利益群體的阻力；提供實施全過程中必須的資源，激發(fā)員工使用信息系統(tǒng)的積極性。信息安全管理的實施需要促使員工遵守公司規(guī)章制度，改變員工的操作習(xí)慣，保證安全控制的實施，增加信息安全風(fēng)險保護軟件的使用。

高管支持問卷修改采用Liang．H et al的研究成果，問卷共6個題目，采用李克特5點量表，分為從非常同意到非常不同意共五級。［12］信息安全意識問卷修改自Spears．J．L．，Barki．H的信息安全意識問卷，該問卷包括個人安全意識與對信息資產(chǎn)保護的責(zé)任感兩個方面。［14］信息安全管理有效性測量量表采用謝宗曉等和Chang S．E．，Lin Chin-shien的問卷。［20，23－24］該量表共有13項，其中有5項測量保密性，5項測量完整性，3項測量可用性。問卷已經(jīng)被證實有著較好的內(nèi)容效度和結(jié)構(gòu)效度。［23］

在信息安全情境下，高管信念包括對企業(yè)信息安全管理重要性的看法，信息安全方面的遠景規(guī)劃，對信息安全管理成本的基本判斷以及信息安全管理相關(guān)知識的初步了解?；谛拍?，企業(yè)高管會向其他管理者傳遞信息安全重要性的強有力信息，然后將這種信息傳遞到公司員工當(dāng)中，從而影響公司員工的信息安全意識，最終影響信息安全管理的有效性?；谝陨戏治鎏岢鲆韵录僭O(shè)：

研究發(fā)現(xiàn)，高管支持對信息安全管理的有效性有著非常顯著的正向作用。本研究中高管信念支持成為影響信息安全管理有效性的邏輯起點，它既能直接影響信息安全管理有效性，又能通過影響高管參與支持和員工信息安全意識影響信息安全管理有效性。

b.進行受力(方向和大小)分析。一般我們先分析場力(重力，洛倫茲力，電場力)，再來研究分析彈力，最后是查看是否有摩擦力和其他力并找到其方向。

H7：在信息安全情境下，高管信念通過信息安全意識對信息安全管理有效性產(chǎn)生顯著的正向作用。

H4：在信息安全情境下，高管信念對信息安全管理有效性有著顯著的正向作用。

評價假設(shè)的路徑分析模型圖與搜集的數(shù)據(jù)是否相互適配，即研究的假設(shè)是否符合實際數(shù)據(jù)的現(xiàn)況的指 標(biāo) 稱 之 為 擬 合 度 指 標(biāo) （Goodness-of-fit indices）。［27］有關(guān)模型擬合度的評價有許多不同的主張，溫忠麟提出以絕對指標(biāo)、相對指標(biāo)，以及調(diào)整指標(biāo)評價整體模型的擬合情況。［28］評價模型的具體的統(tǒng)計檢驗量以及擬合的臨界值與本研究的理論模型的統(tǒng)計檢驗值如表2所示。

辦好中國的事情，關(guān)鍵在黨。近年來，云南電網(wǎng)全面推動黨的建設(shè)重點任務(wù)落實落地，各級黨組織全面承接抓落實，奮力拼搏見成效，但是黨的建設(shè)工作仍然存在“不全面”“不到位”“不平衡”“不扎實”的問題，部分干部、黨員的身份意識淡化，黨的建設(shè)與生產(chǎn)經(jīng)營管理工作融合不夠等問題，有待進一步解決。2018年，云南電網(wǎng)堅持把黨的政治建設(shè)擺在首位，始終繃緊政治這根弦，自覺用習(xí)近平新時代中國特色社會主義思想武裝頭腦、指導(dǎo)實踐、推動工作，深入踐行推進高質(zhì)量發(fā)展的“七個一”工作要求，經(jīng)過近一年的實踐，組織人事工作成果顯著，黨的建設(shè)工作質(zhì)量得到顯著提高。

H3：在信息安全情境下，高管參與對員工的信息安全意識有著顯著的正向影響。

數(shù)據(jù)分析顯示研究樣本中各變量的信度、效度均達到可接受的水平，表明問卷所收集整理的各變量的數(shù)據(jù)具備進一步分析的基礎(chǔ)。從圖1可以看出本研究模型為復(fù)式多重中介模型［25］，模型中既有鏈?zhǔn)街薪槟Ｐ?，即高管信念通過高管參與和信息安全意識兩個連續(xù)中介變量影響信息安全管理的有效性；又有并行多重中介模型，即高管信念和高管參與分別通過和信息安全意識影響信息安全管理的有效性。方杰、張敏強、邱皓政認(rèn)為，中介模型的分析宜采用偏差校正的百分位法（Bootstrapping）直接對中介效應(yīng)進行顯著性檢驗來判斷中介效應(yīng)的有無，且Bootstrapping不需要樣本正態(tài)性、獨立性與大樣本的基本假設(shè)，也可以估計任何統(tǒng)計量的標(biāo)準(zhǔn)誤差，檢驗中介效應(yīng)更為有效。［26］因此本研究運用結(jié)構(gòu)方程模型（SEM）來分析這些變量間的相互影響關(guān)系。統(tǒng)計分析工具使用 AMOS16．0，且采用其Bootstrapping功能。

H8：在信息安全情境下，高管參與通過信息安全意識對信息安全管理有效性產(chǎn)生顯著正向影響。

三、模型建構(gòu)、變量測量及數(shù)據(jù)處理

（一）研究模型的確定

根據(jù)前文所提出的H1－H9的假設(shè)，我們構(gòu)建了高管支持影響信息安全有效性的多重中介模型，模型包括高管參與、高管信念、信息安全意識和信息安全管理有效性四個潛變量。各變量之間的關(guān)系如圖1所示。

Johnson等(1998)在Rose(1992)的基礎(chǔ)上又進一步擴展了對DCT不同形式的研究。他們在情景描述后進行了三種處理：提供肯定答復(fù)、提供否定答復(fù)、不提供答復(fù)。研究結(jié)果呈現(xiàn)出一個更為復(fù)雜的局面：有無答復(fù)以及答復(fù)是肯定還是否定對被試的回答有不同程度的影響，其中對抱怨的影響最小，對道歉的影響最大，對請求的影響居中。該研究得出結(jié)論：運用不同形式DCT得到的結(jié)果可能不具備可比性，它們可能體現(xiàn)了被試對于是否有答復(fù)以及答復(fù)的不同性質(zhì)的敏感程度(Johnson,1998:172)。

圖1 高管支持影響信息安全有效性的多重中介模型

（二）研究變量與測量

因此，從某種程度上講，信息安全管理的實施會增加員工的負擔(dān)，相比于信息系統(tǒng)的實施，信息安全管理的實施更有可能遇到組織內(nèi)部各部門，各相關(guān)利益群體的抵制，因此也更需要高管的支持和協(xié)調(diào)。［20］（P135）［21］（P187）另外，為保證信息安全系統(tǒng)的實施，信息安全管理組織架構(gòu)要求采用決策、實施和監(jiān)督的三權(quán)分離原則。例如《商業(yè)銀行信息科技風(fēng)險管理指引》要求商業(yè)銀行在決策層設(shè)立首席信息官，形成信息科技部門、風(fēng)險管理部門、審計部門三權(quán)分立的制衡格局，公司治理結(jié)構(gòu)中的風(fēng)險管理委員會和審計委員會處于組織高層，顯然協(xié)調(diào)三者之間的關(guān)系也需要公司高管團隊的支持。［22］（P108）

（三）樣本選擇與數(shù)據(jù)處理

本研究的樣本是從國內(nèi)通過信息安全認(rèn)證的1169家公司（截至2012年12月）隨機發(fā)放問卷300份，并以郵寄的方式回收問卷。共收回問卷246份，剔除問題填寫不完整的問卷31份，最終納入數(shù)據(jù)分析的問卷共215份，問卷的有效率87%。問卷包括男性131人，占60．9%；女性84人，占39．1%。其中：具有博士學(xué)歷者10人，占4．7%；碩士學(xué)歷44人，占20．5%；本科學(xué)歷137人，占63．7%；本科以下學(xué)歷24人，占11．2%。在安全部門工作的有48人，占22．3%；IT部門的有104人，占48．4%；業(yè)務(wù)部門的人員有45人，占20．9%；其他部門的有18人，占8．4%；公司高管有11人，占5．1%；中層管理的有58人，占27．0%；基層管理的有96人，占44．7%；普通員工有50人，占23．3%。

（四）問卷數(shù)據(jù)有效性分析

根據(jù)回收問卷進行了數(shù)據(jù)整理分析，使用SPSS18．0對4個變量的信度和效度進行檢驗。高管信念、高管參與、信息安全意識及信息安全管理有效性4個潛變量的信度（Cronbach‘sσ）分別為0．760、0．728、0．865、0．899，信度較高，在可接受范圍內(nèi)。在問卷的效度方面，Mithas，Ramasubbu等認(rèn)為貼近實踐，且經(jīng)過長期的實踐檢驗，加上有權(quán)威來源的測量（例如國際標(biāo)準(zhǔn)）能夠保證測量的內(nèi)容效度；［24］結(jié)構(gòu)效度方面采用潛變量之間的相關(guān)系數(shù)來評價，如果相關(guān)系數(shù)顯著，說明理論模型成立，結(jié)構(gòu)效度較好，SPSS18．0分析結(jié)果（見表1）表明四個潛變量之間相關(guān)系數(shù)顯著，結(jié)構(gòu)效度良好。

傳統(tǒng)的汽車金融行業(yè)業(yè)務(wù)主要集中于新車市場，二手車市場上汽車交易活動中涉及到的貸款較少，互聯(lián)網(wǎng)汽車金融行業(yè)可以彌補這一行業(yè)的空缺，比如說瓜子二手車、優(yōu)信二手車等專做二手車交易的互聯(lián)網(wǎng)汽車金融企業(yè)等都開展了相應(yīng)的二手車貸款服務(wù)。同時要利用互聯(lián)網(wǎng)金融本身所具有的成本低、業(yè)務(wù)開展靈活等特點，根據(jù)客戶需求量身打造最適合客戶的汽車金融產(chǎn)品。

表1 4個潛變量的信度、均值、標(biāo)準(zhǔn)差及相關(guān)系數(shù)檢驗

四、實證結(jié)果分析

H5：在信息安全情境下，高管參與對信息安全管理有效性有著顯著的正向影響。

（一）整體理論模型的檢驗

在信息安全的環(huán)境下，高管參與支持包括高層管理參與到信息安全制度文件的制定中，從自身角度出發(fā)，會更關(guān)注組織使命，從而使以信息安全方針為基礎(chǔ)的安全控制與業(yè)務(wù)流程更加緊密的結(jié)合；高層管理者參與到組織的內(nèi)部審核活動中，會提高安全控制的實施績效；高層管理為信息安全提供更多的資源，為員工提供更多的信息安全技能和信息安全意識培訓(xùn)，都能夠提高員工的信息安全意識，進而對信息安全管理的有效性產(chǎn)生影響?；谝陨戏治?，我們提出如下假設(shè)：

表2 整體理論模型擬合指數(shù)評價指標(biāo)檢驗情況

從表2可知，作為評價模型擬合程度有非常重要作用的χ2值的顯著性水平?jīng)]有達到一般意義上的要求（即p＞0．05）。溫忠麟等指出χ2會隨樣本量的增大而不斷增大，容易導(dǎo)致任何模型都會被拒絕，數(shù)據(jù)模擬χ2準(zhǔn)則比較研究發(fā)現(xiàn)隨著樣本量的增加而減少，在樣本量為200時，顯著性水平為0．001，本研究中的樣本量為215，p＝0．02，高于顯著性水平0．001，符合其驗證標(biāo)準(zhǔn)。［28］其他的指標(biāo)中除了RMR值接近顯著性水平之外，其他的擬合統(tǒng)計檢驗值都超過了臨界值的水平，因此本研究提出的理論模型是合適的，可以用來檢驗提出的假設(shè)。

1.3.3 氣道阻力 采用德國耶格肺功能檢測儀，通過阻斷法，測定治療組、對照組治療前后氣道阻力值，連續(xù)測定6次取平均值。

（二）研究假設(shè)的檢驗

理論模型的路徑系數(shù)與假設(shè)檢驗結(jié)果如表3所示，數(shù)據(jù)分析結(jié)果表明，研究提出的假設(shè)均得到支持。其中高管信念支持對高管參與支持有著顯著的正向作用（β1＝0．752，p＜0．001）；高管信念支持對信息安全意識有著顯著的正向作用（β2＝0．552，p＜0．05）；高管參與支持對信息安全意識有著顯著的正向作用（β3＝0．725，p＜0．001）；高管信念支持對ISMS有效性有著顯著的正向作用（β4＝0．302，p＜0．05）；高管參與支持對ISMS有效性有著顯著的正向作用（β5＝0．521，p＜0．05）；信息安全意識對ISMS有效性有著顯著的正向作用（β6＝0．309，p＜0．001）；高管信念和高管支持分別通過信息安全意識顯著的影響著信息安全意識（β7＝0．731，p＜0．01；β8＝0．224，p＜0．05），信息安全意識的中介作用明顯。另外，高管信念通過高管參與支持和信息安全意識（β9＝0．545，p＜0．05）影響信息安全有效性，高管參與和員工信息安全意識起到了聯(lián)合中介作用。

表3 理論模型的路徑系數(shù)與假設(shè)檢驗

五、研究結(jié)論與討論

（一）研究結(jié)論

H2：在信息安全情境下，高管信念對員工的信息安全意識有著顯著的正向作用。

作為高管支持行為的兩個維度，首先，高管信念對高管參與行為有著顯著的正向作用。這與在信息系統(tǒng)中的研究結(jié)果較為一致。高管通過對信息安全外部環(huán)境的認(rèn)知會形成自己獨特的“信念結(jié)構(gòu)”，這種信念結(jié)構(gòu)會投射到高管的日常管理行為中，所以高管對于信息安全管理相關(guān)知識的理解、信息安全管理對于組織的價值和對組織遭受安全風(fēng)險的認(rèn)知程度都會影響高管參與信息安全管理的行為。高管信念對信息安全意識有著顯著的正向作用，基于信念，高管通過與下屬的知識共享，最終會將自己的信息安全的理念傳遞給組織的員工，向每一個員工傳遞出信息安全的重要性信號以及對信息安全的支持態(tài)度，進而提高員工的信息安全意識。

在信息安全情境下，這種信念會反映到組織的愿景中，為組織設(shè)定未來的發(fā)展目標(biāo)和方向，甚至貫穿于組織文化中，從而達到激勵員工并提高士氣，對推動信息安全管理的技術(shù)和措施的采納，吸收和融合發(fā)揮直接的作用，最終提高組織信息安全管理的有效性。反之，如果高管團隊缺乏對信息安全的理解，就無法評估信息安全的應(yīng)用價值，最終會導(dǎo)致阻礙必要信息安全管理技術(shù)的引進和相關(guān)管理制度的建立。

某承包商通過招投標(biāo)方式承包了某高校教學(xué)樓工程，工程結(jié)構(gòu)類型為框架-剪力墻結(jié)構(gòu)，基礎(chǔ)為鋼筋混凝土肋梁式筏板，建筑規(guī)模為地上9層，地下1層，建筑高度37.8 m，總建筑面積13 830 m2，合同工期為2012年2月25日至2012年11月15日，合同價為2 462.7萬元。

其次，高管參與包括了操作層面和非操作層面的參與，作為下屬會敏銳地感覺到高管對信息安全管理以及自己工作的一種態(tài)度或傾向性，從而提高員工的信息安全意識。高管參與信息安全更多地強調(diào)高管對于信息安全相關(guān)活動支持的行為或行動，貫穿于信息安全的規(guī)劃、實施和檢查的全過程中。高管必須提供物質(zhì)資源和管理資源的支持以保障活動的順利開展，最終影響信息安全的有效性。毫無疑問，高管對組織業(yè)務(wù)的了解最為全面，高管參與到信息安全管理的流程中，能夠協(xié)助相關(guān)人員制定與公司業(yè)務(wù)最為匹配的信息安全管理規(guī)劃，協(xié)調(diào)組織各個部門的利益關(guān)系推動信息安全管理的實施，以及調(diào)配相應(yīng)的資源為信息安全管理的檢查和持續(xù)改進提供保證，最終促進信息安全管理有效性的提升。

RCS仿真模型如圖3所示，圖3(a)為空客A320型飛機模型，圖3(b)為F-15C型戰(zhàn)斗機模型。以目標(biāo)到接收機的雷達視線方位角為90°、俯仰角為125°為例，4種極化方式的靜態(tài)RCS數(shù)據(jù)分別如圖4、圖5所示，其中，圖4為目標(biāo)是空客A320型飛機的RCS結(jié)果，圖5為F-15C型戰(zhàn)斗機的RCS結(jié)果。

最后，信息安全意識對信息安全有效性有著顯著的正向作用，這與已有的信息安全標(biāo)準(zhǔn)中的要求較為一致。提高員工信息安全意識是各種信息安全管理體系標(biāo)準(zhǔn)中的共同要求，雖然在標(biāo)準(zhǔn)中提到的是“適當(dāng)?shù)囊庾R培訓(xùn)和組織方針及程序的定期更新培訓(xùn)”，但培訓(xùn)的最終目的，無非就是從實質(zhì)上提高企業(yè)全體工作人員的信息安全意識。信息安全意識是一種戒備和警覺的心理狀態(tài)，這種心理狀態(tài)以員工的外顯行為表現(xiàn)出來，較高的信息安全意識會表現(xiàn)出嚴(yán)謹(jǐn)?shù)墓ぷ髁?xí)慣，從而影響信息安全管理的有效性。

第一，企業(yè)之間的相互依賴與信任是合作關(guān)系得以有效維持的關(guān)鍵，信任機制被更多的學(xué)者認(rèn)定為是最有效的機會主義防范機制。在制度規(guī)則約束的前提下，必須建立互信關(guān)系，提升信任水平可從加強自身管理、及時與合作方溝通交流、信守承諾、培養(yǎng)良好的聲譽等途經(jīng)實現(xiàn)。

（二）理論貢獻與管理啟示

雖然高管支持在信息系統(tǒng)管理中的研究比較豐富，但目前少有研究者關(guān)注高管支持對信息安全管理有效性的影響。信息系統(tǒng)是為了支持決策和組織控制而收集、處理、存貯、分配信息的一組相互關(guān)聯(lián)的軟件和硬件的組合，更多地受到技術(shù)因素的影響。而信息安全管理既包括信息系統(tǒng)使用的安全防護，還包括其他信息的安全保護，除了技術(shù)因素之外，管理制度的實施更為重要。本研究采用實證的方法，探討了高管支持影響信息安全管理有效性的路徑，在理論上拓展了高管支持影響的理論研究范圍，為高管支持在知識管理中的深入探索提供了一個新的視角。

本研究的實證結(jié)果也為組織實施信息安全管理也提供了決策依據(jù)。

MOOCs推進了傳統(tǒng)教學(xué)與信息技術(shù)深度融合的改革步伐，傳統(tǒng)的教學(xué)規(guī)范不再適合新型課程的發(fā)展。為了使當(dāng)前高校教與學(xué)狀況得到改善，使學(xué)生的學(xué)習(xí)興趣得到激發(fā)，使教師的教學(xué)能力得到提高，同時推動信息技術(shù)與教學(xué)的交融，在高校傳統(tǒng)教與學(xué)中，應(yīng)積極借助MOOCs，這將對高校教與學(xué)產(chǎn)生積極的深遠影響。

首先，高管信念是發(fā)動信息安全管理的源動力，因此高管須首先認(rèn)識到信息安全管理對組織的重要意義，例如高管團隊需要意識到信息安全管理對業(yè)務(wù)連續(xù)性的保障作用，對企業(yè)形象維護和提升的重要作用，對企業(yè)績效提升的促進作用。高管信念轉(zhuǎn)變的關(guān)鍵是制度法規(guī)的壓力以及同行業(yè)務(wù)聯(lián)系單位的影響，因此信息安全制度法規(guī)的建立和貫徹實施及與同行業(yè)務(wù)聯(lián)系單位的密切溝通是轉(zhuǎn)變高管信念的主要途徑。

幾年前，中央電視臺邀請中美兩國即將進入大學(xué)的高中生錄制一檔節(jié)目，國內(nèi)12名學(xué)生是即將被清華、北大錄取的優(yōu)秀學(xué)生，美國的12名學(xué)生是總統(tǒng)獎的獲得者。節(jié)目組要求大家制訂對非洲貧困兒童的援助計劃，中國學(xué)生首先闡述，他們從歷史入手到詠嘆茶馬古道，然后伴奏彈唱，對主題一筆帶過。美國學(xué)生從教育、飲水、醫(yī)療等細小的實際問題入手，做什么，怎么準(zhǔn)備，預(yù)算到幾元幾分，整個計劃拿來就可以實施。報刊評論說，“當(dāng)中國孩子該立足實際解決問題的時候，他們在吟詩弄賦，在實際問題的外圍不著邊地輕輕飄浮”。

其次，可以動員高管參與到信息安全管理中去，發(fā)揮其象征性職能作用。例如高管列席組織層面相關(guān)委員會的活動，出席一些具有里程碑意義的匯報會議，聽取關(guān)鍵性匯報，明確闡釋組織信息安全管理的目標(biāo)和方向，建立橫向信息化項目成功的目標(biāo)和標(biāo)準(zhǔn)，在信息安全管理資源分配方面投入更多精力，確保信息化投入足夠到位等。

最后，信息安全管理是包括技術(shù)、流程、組織及人員的三維立體金字塔結(jié)構(gòu)，忽視任何一方面都會影響信息安全管理的有效性。無論多么先進的技術(shù)，嚴(yán)謹(jǐn)?shù)牧鞒淘O(shè)計最終實施的主體一定是組織員工，因此企業(yè)須關(guān)注員工信息安全意識的提升，定期組織信息安全意識培訓(xùn)，組織信息安全經(jīng)驗交流會，制定公平合理的信息安全管理獎懲條例，加強信息安全職能部門與其他部門的溝通，將信息安全意識培訓(xùn)納入公司常規(guī)培訓(xùn)，進而保證信息安全管理措施能夠落實到企業(yè)的每一個員工和崗位。

［1］謝宗曉，林潤輝，王興起．用戶參與對信息安全管理有效性的影響——多重中介方法［J］．管理科學(xué)，2013，26（3）：65-76．

［2］Jo Heasuk，Kim Seungjoo，Won Dongho．A study on comparative analysis of the information security management system［C］，ICCSA2010，Partⅳ，2010：510-519．

［3］白海青，毛基業(yè)．高層管理支持信息系統(tǒng)的概念及維度研究［J］．管理評論，2009，（10）：61-69．

［4］Jarvenpaa S L，Ives B．Executive involvement and participation in the management of information technology［J］．MIS quarterly．1991，15（2）：205-227．

［5］Guimaraes，T．，Igbaria，M．Client Server System Success：Exploring the Human Side［J］．Decision Sciences．1997，28（4）：851-876．

［6］Lederer，A．L．，Mendelow，A．L．Convincing Top Management of the Strategic Potential of Information Systems［J］．MIS Quarterly，1988，12（4）：525-534．

［7］Doll，W．J．Avenues for Top Management Involvement in Successful MIS Development［J］．MIS Quarterly．1985，9（1）：17-35．

［8］Ragu-Nathan B S，Apigian C H，Ragu-Nathan T S，et al．A path analytic study of the effect of top management support for information systems performance［J］．Omega．2004，32（6）：459-471．

［9］Jackson，S．E．Consequence of Group Composition for the Interpersonal Dynamics of Strategic Issue Processing［J］．Advances in Strategic Management．1992，8：345-382．

［10］Hambrick D．C．Upper Echelons Theory：An Update［J］．The Academy of Management Journal．2007，32（2）：334-343．

［11］賀立軍，王云峰，趙釗．企業(yè)高管支持及其對信息化績效的影響研究［J］．河北工業(yè)大學(xué)學(xué)報，2010，39（01）：84-87．

［12］Liang H，Saraf N，Hu Q，et al．Assimilation of enterprise systems：The effect of institutional pressures and the mediating role of top management［J］．Mis Quarterly．2007，31（1）：59-87．

［13］ISF（Information Security Forum），The standard of good practice for information security，Version4．0［S］．2003．

［14］Spears J．L．，Barki H．User participation in IS security management［J］．MIS Quarterly．2010，34（3）：503-522．

［15］Puhakainen．P．a(chǎn)nd M．Siponen．Improving employees＇compliance through information systems security training：an action research study［J］．MIS Quarterly，2010．34（4）：757-778．

［16］Karjalainen．M．a(chǎn)nd M．Siponen．Toward a New Meta-Theory for Designing Information Systems（IS）Security Training Approaches［J］．Journal of the Association for Information Systems，2011．12（8）：518-555．

［17］Kruger．H．A，Kearney W．D．A prototype for assessing information security awareness［J］．computers ＆security．2006，25（4）：289-296．

［18］Bulgurcu B，Cavusoglu H，Benbasat ．I．Information security policy compliance：An empirical study of rationality-based beliefs and information security awareness［J］．MIS Quarterly，2010，34（3）：523-548．

［19］Teo．TSH，Ang J．S．K．An examination of major IS planning problems［J］．International Journal of Information Management．2001，21（6）：457-470．

［20］謝宗曉．信息安全管理體系實施指南 ［M］．北京：中國標(biāo)準(zhǔn)出版社，2012．

［21］謝宗曉．信息安全管理體系實施案例 ［M］．北京：中國標(biāo)準(zhǔn)出版社，2012．

［22］中國銀行業(yè)監(jiān)督管理委員會．商業(yè)銀行信息科技風(fēng)險管理指引［R］．北京：中國金融出版社，2009．

［23］Chang．S．E．，Lin Chin-shien．Exploring organizational culture for information security management［J］．Industrial Management ＆ Data Systems．2007．10（3）：438-458．

［24］Mithas．S，Ramasubbu．N，Sambamurthy V．How information management capability influences firm performance［J］．Mis Quarterly．2011，35（1）：237-256．

［25］柳士順，凌文輇．多重中介模型及其應(yīng)用［J］．心理科學(xué)，2009，（02）：433-435．

［26］方杰，張敏強，邱皓政．中介效應(yīng)的檢驗方法和效果量測量：回顧與展望［J］．心理發(fā)展與教育，2012，（01）：105-111．

［27］吳明隆．結(jié)構(gòu)方程模型：AMOS的操作與應(yīng)用［M］．重慶：重慶大學(xué)出版社，2010．

［28］溫忠麟，侯杰泰，馬什赫伯特．結(jié)構(gòu)方程模型檢驗：擬合指數(shù)與卡方準(zhǔn)則［J］．心理學(xué)報，2004，36（2）：186-194．