董坤祥, 謝宗曉, 甄 杰, 林潤輝

（1. 山東財經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，山東 濟南 250014；2. 中國金融認證中心，北京 100054；3. 重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067；4. 南開大學(xué) 商學(xué)院，天津 300071）

一、引 言

現(xiàn)階段，信息安全已經(jīng)得到了前所未有的重視。隨著2014年2月“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”的成立以及2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》的施行，信息安全在國家層面上得到了前所未有的重視。在組織研究領(lǐng)域和企業(yè)實踐中，信息技術(shù)和信息系統(tǒng)的應(yīng)用對企業(yè)發(fā)展的促進作用已經(jīng)得到證明，信息已經(jīng)成為企業(yè)的關(guān)鍵資產(chǎn)，關(guān)乎企業(yè)的生存和發(fā)展。然而，層出不窮的企業(yè)信息安全事件引起了公眾和社會各界對于信息安全的關(guān)注和擔(dān)憂，企業(yè)如何應(yīng)對信息安全風(fēng)險也成為近幾年管理信息系統(tǒng)領(lǐng)域的研究熱點。

企業(yè)信息安全風(fēng)險主要源自員工的信息安全違規(guī)行為，制度化則是降低企業(yè)信息安全風(fēng)險的有效途徑。2016年國家計算機病毒應(yīng)急處理中心的統(tǒng)計報告顯示，2015年64.22%的被調(diào)查企業(yè)發(fā)生過信息安全事件。企業(yè)信息安全的威脅主要有兩個：一是內(nèi)部員工的違規(guī)行為，多方統(tǒng)計資料表明，70%—80%的信息安全問題源自員工無意的信息安全違規(guī)行為，例如設(shè)置簡單的登錄密碼，隨意點擊含有釣魚鏈接的郵件；二是企業(yè)外部威脅的入侵。主要包括黑客行為、網(wǎng)絡(luò)間諜活動、有組織的犯罪以及網(wǎng)絡(luò)恐怖主義等（趙衍，2013；陳昊等，2016）。事實上，員工的違規(guī)行為已經(jīng)超越外部威脅成為企業(yè)信息安全風(fēng)險的主要來源（D’Arcy等，2009；Bulgurcu等，2010；Boss等，2015），并且由于員工能夠接觸到企業(yè)的重要信息和數(shù)據(jù)，其信息安全違規(guī)行為的危害不容小覷（Hu等，2012）。因此，企業(yè)信息安全管理中一個亟待解決的現(xiàn)實問題是：如何通過制度的合理設(shè)計來規(guī)范和約束包含了硬件、軟件和人員的整個企業(yè)信息系統(tǒng)，以減少信息安全事件的發(fā)生，提高信息安全管理的有效性。

信息安全制度化的開展需要企業(yè)高層管理團隊的推動。企業(yè)信息安全管理是一項復(fù)雜的系統(tǒng)工程，它需要以信息技術(shù)部門為主，涉及多個相關(guān)職能部門，而信息安全制度的實施又與所有員工密切相關(guān)（Hu等，2012）。因此，只有作為對企業(yè)信息安全負有戰(zhàn)略決策的高層管理者才有能力協(xié)調(diào)不同部門之間的關(guān)系，進而決定信息技術(shù)的引進、信息系統(tǒng)的部署以及信息安全制度的實施（武德昆等，2014；Barton等，2016）。由此可見，高層管理支持（簡稱“高管支持”）對企業(yè)信息安全制度的建設(shè)以及信息安全管理有效性的發(fā)揮有重要影響。然而，已有研究對于高管支持如何影響企業(yè)信息安全制度化，制度化過程對企業(yè)信息安全管理有何具體影響的探討還遠遠不夠。

探討由企業(yè)高層管理團隊推動的制度化是否可以提高信息安全管理有效性這一問題具有重要的理論和現(xiàn)實意義。有鑒于此，本研究以國內(nèi)通過信息安全管理體系認證的企業(yè)為調(diào)研對象，探討了高管支持、制度化與信息安全管理有效性之間的關(guān)系，旨在揭示高管支持如何推動了企業(yè)信息安全制度化，以及制度化對信息安全管理有效性有何具體影響，同時分析信息安全意識在此過程中的作用。本研究的理論貢獻主要包括如下三方面：首先，與高管支持在企業(yè)國際化、公司創(chuàng)業(yè)、企業(yè)社會責(zé)任、安全策略遵守方面的研究相比（Carpenter等，2001；李華晶和邢曉東，2007；孫德升，2009；Hu等，2012），高管支持對企業(yè)信息安全制度化的影響一直被忽視。作為對這一研究不足的補充，本研究關(guān)注高管團隊對信息安全管理重要性的認知和對信息安全管理活動的參與如何推動企業(yè)信息安全制度化，這對于理解為什么信息安全主管在企業(yè)高管團隊中發(fā)揮重要作用有重要意義。其次，探討了高管支持是否能夠提高信息安全制度化水平。以往關(guān)于組織制度化的研究多是從外部環(huán)境的制度壓力來展開，而較少涉及企業(yè)內(nèi)部的高管支持。我們從企業(yè)內(nèi)部分析影響信息安全制度化的因素，對于后續(xù)研究如何基于組織社會學(xué)的制度邏輯從企業(yè)內(nèi)部和外部兩方面來分析制度化過程具有借鑒意義。最后，探討了信息安全意識對高管支持和信息安全管理有效性的影響。這對于明晰和構(gòu)建企業(yè)信息安全制度化的內(nèi)部傳導(dǎo)機制具有啟發(fā)性，并拓展了信息安全意識的影響范圍和作用對象（Puhakainen和Siponen，2010），從而豐富了企業(yè)內(nèi)部提高信息安全管理有效性的途徑和方式。

二、理論基礎(chǔ)與研究假設(shè)

（一）制度化

組織分析的新制度主義者強調(diào)“社會適當(dāng)性”的重要性，認為組織所采用的結(jié)構(gòu)形式應(yīng)該是特定制度環(huán)境中不斷尋求其合法性的結(jié)構(gòu)形式。因此，組織的制度化是一個過程，它反映了組織適應(yīng)外部環(huán)境的方式（Scott，2008）。Kostova和Roth（2002）根據(jù)組織制度具有合法性的特點提出了制度化的兩個過程：履行與內(nèi)化，該研究是目前有關(guān)制度化大樣本實證研究的典范，研究結(jié)論具有較好的普適性。

林潤輝等（2016）在企業(yè)信息安全管理情境下對Kostova和Roth（2002）提出的履行和內(nèi)化的制度化過程進行了重新闡述，并采用定量實證研究探討了制度壓力對履行和內(nèi)化的影響。其中，履行是指組織對于自身制度化的外部表達，內(nèi)化是指內(nèi)部制度的真正付諸實施的過程（謝宗曉和林潤輝，2016）。在企業(yè)信息安全實踐中，最常見的關(guān)于制度化的外部表達方式就是設(shè)計滿足外部監(jiān)管要求的內(nèi)部信息安全制度。由此可見，履行的過程更關(guān)注內(nèi)部制度與外部制度和監(jiān)管要求的一致性，內(nèi)化的過程更偏重制度的實施，這種描述實際上與Kostova和Roth（2002）最初對履行和內(nèi)化的定義保持了完全一致，只是將其在信息安全情境中進行了重新描述。因此，本研究沿用了Kostova和Roth（2002）和林潤輝等（2016）提出和完善的履行和內(nèi)化的制度化過程。

（二）高管支持與履行和內(nèi)化

本研究認為信息安全管理情境下的高管支持，是指信息安全領(lǐng)導(dǎo)小組的成員（包括：CEO、信息安全主管、IT經(jīng)理和業(yè)務(wù)經(jīng)理）基于對企業(yè)信息安全管理重要性的認識，為了實現(xiàn)企業(yè)信息安全管理目標，向公司其他成員展現(xiàn)出的參與信息安全管理的態(tài)度和傾向性，以及參與信息安全實踐行為的總和。它體現(xiàn)在信息安全領(lǐng)導(dǎo)小組成員對于信息安全管理的認知支持和行為支持，包括高管信念和高管參與兩個維度（Hu等，2012；白海青和毛基業(yè)，2014；武德昆等，2014）。

在企業(yè)信息安全管理情境下，高管信念包括對企業(yè)信息安全管理重要性的看法、對信息安全管理的愿景規(guī)劃、對信息安全管理成本的基本判斷以及對信息安全管理相關(guān)知識的初步了解（武德昆等，2014）?；谠撔拍?，企業(yè)高管會向其他管理者或人員傳遞信息安全重要性的關(guān)鍵信息，從而有力地推動企業(yè)各相關(guān)部門對于信息安全各類規(guī)范性文件的出臺或發(fā)布，并在企業(yè)員工的日常管理中強調(diào)各類信息安全規(guī)范的落實（Warkentin和Willison，2009）。如此，便可以有效促進企業(yè)信息安全制度的外部表達和內(nèi)部落實，使得信息安全管理有相應(yīng)的制度化規(guī)范可以遵守?；诖?，本研究提出如下假設(shè)：

H1：高管信念越強，制度化的履行水平越高。

企業(yè)中信息安全制度真正付諸實施就是內(nèi)化的過程，也就是說，組織按照正式公布的文件建立信息安全協(xié)調(diào)機構(gòu)的過程屬于內(nèi)化的范疇。企業(yè)的高層管理對于信息安全的重視和推動，能夠構(gòu)建一種信息安全管理的良好氛圍，促使大家按照信息安全制度的要求進行規(guī)范化操作，進而減少企業(yè)內(nèi)部信息安全事件的發(fā)生。可能的情況是，企業(yè)員工遵守信息安全管理策略所帶來的收益可能不明顯，但是一旦員工發(fā)生不遵守信息安全管理策略的不當(dāng)行為所引發(fā)的事件便會給企業(yè)帶來巨大的風(fēng)險和損失。因此，本研究提出如下假設(shè)：

H2：高管信念越強，制度化的內(nèi)化水平越高。

信息安全的制度化對于企業(yè)后續(xù)的一系列信息安全管理活動非常重要（Armstrong和Sambamurthy，1999；Sharma和Yetton，2003；Liang等，2007）。如果信息安全的制度化沒有得到高管團隊的參與和支持，制度化過程中所涉及的安全操作行為往往會被員工視作拖慢日常工作的額外工作負擔(dān)（Hu等，2011）。因此，企業(yè)高層管理者對于信息安全制度化過程的參與和支持對于推動企業(yè)員工落實信息安全制度的各項工作有積極影響。

值得關(guān)注的是，高管參與可以有效協(xié)調(diào)來自不同部門之間的就執(zhí)行信息安全相關(guān)措施所產(chǎn)生的沖突（Smith等，2010）。具體來說，高管參與到信息安全制度文件的制定中，從而實現(xiàn)以信息安全制度為基礎(chǔ)的安全控制與不同部門業(yè)務(wù)流程的緊密結(jié)合（Spears和Barki，2010；謝宗曉等，2013），強化企業(yè)對于信息安全制度化的外部表達；同時，高層管理者參與到企業(yè)內(nèi)部信息安全策略的執(zhí)行之中，會協(xié)調(diào)來自不同部門之間的利益沖突，推動信息安全的制度真正落實到員工的實際工作行為之中。因此，本研究提出如下假設(shè)：

H3：高管參與程度越深，制度化的履行水平越高。

H4：高管參與程度越深，制度化的內(nèi)化水平越高。

（三）信息安全意識與高管支持和信息安全管理有效性

信息安全領(lǐng)域的研究表明，內(nèi)部員工的不當(dāng)行為所導(dǎo)致的信息安全事件已經(jīng)成為了企業(yè)信息安全管理的主要威脅（D’Arcy等，2009；Herath和Rao，2009；Smith等，2010；Crossler和Johnston，2013）。因此，強化和提高內(nèi)部員工的信息安全意識就顯得尤為重要（Rezgui和Marks，2008）。ISF（information security forum）①ISF（https：//www.securityforum.org）發(fā)布在信息安全實踐中應(yīng)用最為廣泛的最佳實踐。將信息安全意識定義為組織內(nèi)所有的員工理解信息安全的重要性，清楚組織所適用的安全級別，知悉并履行個人在日常工作中的安全職責(zé)（武德昆等，2014）。

Dinev和Hu（2007）分析了員工的技術(shù)意識對其信息安全保護行為的影響，結(jié)果表明員工的信息安全技術(shù)意識越高，越有利于其對企業(yè)信息安全的保護。Spears和Barki（2010）在企業(yè)信息安全風(fēng)險管理的情境下，證明了員工參與信息安全活動能夠顯著提高其信息安全意識水平。Puhakainen和Sipone（2010）利用行動研究分析了信息安全意識培訓(xùn)對組織內(nèi)部員工信息安全策略遵守行為的影響。結(jié)果表明，對組織員工的信息安全意識進行培訓(xùn)，可以顯著提高其信息安全政策的遵守行為。謝宗曉等（2013）的研究結(jié)論則驗證了員工信息安全意識對信息安全管理的有效性有顯著正向影響，并在用戶參與和信息安全管理有效性之間的關(guān)系中具有中介作用?；谏鲜龇治觯狙芯刻岢鋈缦录僭O(shè)：

H5：信息安全意識水平越高，企業(yè)信息安全管理越有效。

在實踐中，微軟公司在幫助客戶建立信息安全方案的文獻中也明確提出：建立信息安全意識培訓(xùn)方案的主要目標是通過強化大家認可的、與公司業(yè)務(wù)有關(guān)的安全活動，從而改變?nèi)w員工的行為（武德昆等，2014）。與此相對應(yīng)，Kruger和Kearney（2006）指出企業(yè)內(nèi)部信息安全控制的效果依賴于積極的企業(yè)安全環(huán)境，其中包括每個人都理解并執(zhí)行組織內(nèi)的程序和規(guī)程，具有較高的信息安全意識。顯然，對于高層管理來說，信息安全意識的提高有利于其在企業(yè)內(nèi)部堅定地推廣信息安全意識培訓(xùn)項目、執(zhí)行信息安全管理政策以及建立納入信息安全風(fēng)險管理意識的企業(yè)文化（Rezgui和Marks，2008）。因此，信息安全意識的提高就會激勵高管團隊去積極的傳播和參與到組織信息安全管理的活動中，進而發(fā)揮高管團隊在信息安全管理中的有效作用?；诖耍狙芯刻岢鋈缦录僭O(shè)：

H6：信息安全意識水平越高，高管信念越強。

H7：信息安全意識水平越高，高管參與程度越深。

（四）履行和內(nèi)化與信息安全管理有效性

如前所述，履行是企業(yè)對于自身信息安全制度化的外部表達。在實踐中，最常見的外部表達方式就是設(shè)計滿足監(jiān)管制度要求的內(nèi)部制度。例如，有些行業(yè)監(jiān)管機構(gòu)要求企業(yè)必須有信息安全協(xié)調(diào)機構(gòu)，其外在的表達方式就是公布各種正式或者非正式的相關(guān)文件。根據(jù)林潤輝等（2016）的論述，企業(yè)信息安全制度化過程中的履行主要有三種類型：（1）為了滿足監(jiān)管或客戶的要求；（2）響應(yīng)各種協(xié)會的組織、宣傳或獲取補貼；（3）出于企業(yè)自發(fā)的安全需求。無論是哪種類型的履行都會不同程度地增加企業(yè)的管理規(guī)范性，直接或間接地提高企業(yè)的運維能力，最終會提高信息安全管理的有效性。基于此，本研究提出如下假設(shè)：

H8：制度化的履行水平越高，企業(yè)信息安全管理越有效。

內(nèi)化可以使信息安全管理的流程更加規(guī)范，規(guī)范的操作流程會降低可能的業(yè)務(wù)中斷和企業(yè)遭受信息安全風(fēng)險的可能性。尤其是信息安全管理的諸多研究已經(jīng)表明，內(nèi)部員工的信息安全違規(guī)行為已經(jīng)成為企業(yè)信息安全風(fēng)險的主要來源（Posey等，2014），而有效、規(guī)范的信息系統(tǒng)或信息技術(shù)操作流程，可以顯著提高企業(yè)的信息安全水平（Boss等，2015）。換言之，良好的內(nèi)化過程會使企業(yè)獲得更高的信息安全有效性。因此，本研究提出如下假設(shè)：

H9：制度化的內(nèi)化水平越高，企業(yè)信息安全管理越有效。

綜上所述，本研究提出如下研究模型（見圖1）。與已有研究比較，該模型做出了兩點改進：第一，在企業(yè)信息安全管理情境下，明確了高管支持的兩個維度。進一步分析高管信念和高管參與兩個維度對制度化中履行和內(nèi)化的影響路徑和作用機制；第二，關(guān)注企業(yè)信息安全實踐中信息安全管理有效性的問題。該模型突破了以往研究中重點探討采納行為實際發(fā)生前的影響因素和過程，而是從企業(yè)實踐的管理層面上強調(diào)制度化過程對企業(yè)信息安全管理有效性的影響。

圖1 研究模型

三、研究方法

（一）樣本選取與數(shù)據(jù)收集

本研究采用問卷調(diào)查法進行數(shù)據(jù)收集，調(diào)查問卷分為問卷A和問卷B。其中，問卷A的調(diào)研對象是通過GB/T22080-2008/ISO/IEC27001：2005①GB/T22080-2008/ISO/IEC27001：2005這種標識的意思是GB/T22080-2008等同采用ISO/IEC27001：2005，即信息安全管理體系。《采用國家標準管理管理辦法》中，第十五條 采用國際標準的我國標準的編號表示方法如下：（一）等同采用國際標準的我國標準采用雙標號方法，實例：GB×××××-××××/ISO×××××：××××。（二）修改采用國際標準的我國標準，只使用我國標準編號。資格認證的企業(yè)組織中的相關(guān)管理者，受訪者根據(jù)工作單位中信息安全制度的實施情況和信息技術(shù)、設(shè)備和信息系統(tǒng)的使用情況如實回答問卷中的問題；問卷B的調(diào)研對象是第三方認證機構(gòu)②第三方認證機構(gòu)指的是專門負責(zé)審核GB/T22080-2008/ISO/IEC27001：2005等標準的組織，國內(nèi)有中國信息安全認證中心和中國電子技術(shù)標準化研究院等單位。雖然這次詞匯來自ISO9000等管理體系標準審核，但是由于信息安全行業(yè)的特殊性，能夠獲取該資質(zhì)的國內(nèi)機構(gòu)非常少。的審核員，受訪者根據(jù)對應(yīng)的標準來評價企業(yè)信息安全制度的部署情況以及實施后的績效和效果。問卷A和問卷B均采用5點李克特量表（問卷A中1為很低，5為很高；問卷B中1為很差，5為很好），兩個問卷中的量表均采用正向計分。

由于調(diào)查問卷分為問卷A和問卷B兩部分，所以在數(shù)據(jù)獲取過程中分為兩個步驟：首先，通過電子郵件將問卷A發(fā)送給通過GB/T22080-2008/ISO/IEC27001：2005認證的企業(yè)相關(guān)管理者填寫，共發(fā)送（文檔版）電子問卷200份，回收有效問卷176份，問卷的有效回收率約為88%；其次，將收回的有效問卷交由負責(zé)第三方認證機構(gòu)中審核目標企業(yè)的審核員進行填寫，由于存在部分審核員離職等客觀原因，造成部分問卷無法完成，因此回收到的有效問卷B為148份，問卷的有效回收率約為84%。

（二）變量測量

本研究測量量表的所有題項均以已有研究中被廣泛使用和驗證的題項為范本，并結(jié)合本文的研究情境做出適當(dāng)修改和調(diào)整。具體來說，高管支持包括高管信念和高管參與兩個維度，對上述兩個變量的測量采用Liang等（2007）的量表，均包括5個題項；對信息安全意識的測量根據(jù)Spears和Barki（2010）和D’Arcy等（2008）的量表改編得來，由4個題項構(gòu)成，主要測量管理者對于信息安全必要性的認識；對制度化中履行和內(nèi)化的測量采用Kostova和Roth（2002）、Hsu等（2012）和林潤輝等（2016）的量表，均包括4個題項；對信息安全管理有效性的測量基于謝宗曉等（2013）和Chang和Lin（2007）的量表修改得來，由4個題項構(gòu)成，1項測量機密性，1項測量可用性，1項測量完整性，1項測量企業(yè)信息安全管理的整體狀況。所有變量測量的引用及設(shè)計說明，如表1所示。具體測量題項，請參見表2。

表1 變量及其數(shù)據(jù)來源說明

（三）控制變量

在控制變量方面，由于不同行業(yè)中的信息化發(fā)展水平不一致，進而造成不同企業(yè)對于網(wǎng)絡(luò)依賴程度差異；成立時間和接受認證時間比較長的企業(yè)可能信息安全管理會更加規(guī)范，同時采用其他信息安全認證方式也會對企業(yè)的信息安全管理有一定影響；不同所有制類型的企業(yè)由于涉及關(guān)鍵信息的差異，會有不同的信息安全管理規(guī)范；組織規(guī)模和IT部門的規(guī)模也會對企業(yè)信息資產(chǎn)的規(guī)模有重要影響?；谏鲜龇治?，本研究將行業(yè)類型、所有制類型、組織成立時間、認證時間、有無其他認證、組織規(guī)模以及IT部門的規(guī)模作為控制變量，這與林潤輝等（2016）和Hsu等（2012）等學(xué)者的研究相一致。

四、數(shù)據(jù)分析與結(jié)果討論

大量實證研究已經(jīng)表明PLS-SEM對樣本數(shù)量沒有嚴格限制，即使在樣本數(shù)量有限的情況下仍然表現(xiàn)出良好的模型擬合效果（Reinartz等，2009）。由于本研究中的問卷A和問卷B的內(nèi)容均涉及企業(yè)信息安全制度的實施情況，有可能會觸及企業(yè)的敏感信息，所以導(dǎo)致問卷的回收數(shù)量相對較少，因此本研究采用PLS偏最小二乘法和Smart PLS 3.0進行數(shù)據(jù)分析。

（一）共同方法偏差

共同方法偏差（common method biases，CMV），是指由于同樣的數(shù)據(jù)來源/評分者、同樣的測量環(huán)境和項目語境所造成的預(yù)測變量和效標變量之間人為的共變（周浩和龍立榮，2004）。這一問題在采用問卷調(diào)查法的研究中已經(jīng)引起了學(xué)者們的廣泛關(guān)注，所采用的控制方法主要是程序控制和統(tǒng)計控制兩種。本研究中的數(shù)據(jù)來源構(gòu)成包括問卷A和問卷B，且兩部分問卷由不同類別的調(diào)研對象所完成，因此在程序控制環(huán)節(jié)有效避免了共同方法偏差的產(chǎn)生。而在統(tǒng)計控制方面，采用Harman單因素檢驗的方法進行驗證。分析結(jié)果顯示，所有變量的第一個因子的方差解釋度為31.930%，小于40%的基準值。因此，本研究中所分析的數(shù)據(jù)不存在共同方法偏差的問題。

表2 問卷測量題項

（二）測量模型檢驗

在對量表信度和效度進行檢驗的過程中，主要使用組合信度（CR）和項目載荷來評價量表的信度；主要用潛變量AVE（平均變異萃取量）的平方根是否大于潛變量之間的相關(guān)值來檢驗區(qū)分效度，用AVE來評價量表的聚合效度（Peng和Lai，2012；林潤輝等，2016）。測量量表不同指標的結(jié)果詳見表3和表4。

由表3可知，信息安全意識、高管信念、高管參與、履行、內(nèi)化和信息安全管理有效性的組合信度（CR）分別為0.814、0.873、0.928、0.857、0.911和0.923，均大于0.700的基準值；6個潛變量的AVE分別為0524、0.579、0.721、0.603、0.720和0.749，均大于0.500的基準值；6個潛變量所有項目的因子載荷值均大于0.600，在可以接受的范圍之內(nèi)；6個潛變量中Cronbach’s α的最小值為0.714，均在0.700以上。上述多個指標均說明了研究量表具有較好的信度水平。

表3 測量量表信度和效度評價指標

表4 潛變量均值、方差和AVE的平方根

由表4可知，6個潛變量的AVE的平方根均大于潛變量之間的相關(guān)系數(shù)，表明量表具有較好的效度?；谏鲜龇治鼋Y(jié)果，本研究中的量表具有較高的可靠性和有效性。

本研究還按照Gefen等（2000）和Hu等（2012）等學(xué)者的建議，對交叉載荷做出了比對。結(jié)果顯示（限于篇幅，未報告），項目載荷在設(shè)定的潛變量的數(shù)值要明顯高于其他潛變量的數(shù)值，進一步證明了本研究量表具有良好的聚合效度和區(qū)分效度；對7個控制變量（行業(yè)類型、組織規(guī)模、認證時間、所有制類型、IT部門規(guī)模、組織成立時間和有無其他認證）納入模型進行檢驗時，由于控制變量的數(shù)量較多，而所分析的樣本量相對較少，因此借鑒了Liang等（2007）的分析方法而進行了7次檢驗，每次檢驗分別只涉及一個控制變量，由此可知（限于篇幅，未報告），7個控制變量的系數(shù)均不顯著，即控制變量沒有對模型的有效性產(chǎn)生影響。

（三）研究假設(shè)檢驗

假設(shè)檢驗的結(jié)果如圖2所示。

圖2 假設(shè)檢驗結(jié)果

1. 信息安全意識對高管支持、信息安全管理有效性的影響

假設(shè)檢驗結(jié)果顯示，信息安全意識對信息安全管理有效性有顯著正向影響，因此假設(shè)H5得到驗證（β=0.173，p＜0.05）。該結(jié)果說明信息安全意識的提高，能夠顯著提高信息安全管理的有效性。信息安全意識對高管信念和高管參與均有顯著正向影響，因此假設(shè)H6（β=0.422，p＜0.001）和假設(shè)H7（β=0.587，p＜0.001）得到驗證，這就表明了良好的信息安全意識水平會確保高層管理人員對信息安全管理活動的重視和參與水平。該結(jié)果與Puhakainen和Siponen（2010）的研究結(jié)論基本一致，也為在企業(yè)信息安全實踐中強調(diào)高層管理人員的思想重視和行動參與提供了實證依據(jù)。

2. 高管信念對履行和內(nèi)化的影響

假設(shè)檢驗結(jié)果顯示，高管信念對履行和內(nèi)化均有顯著正向影響，即假設(shè)H1（β=0.449，p＜0.001）和H2（β=0.309，p＜0.05）得到驗證。上述結(jié)果表明，高層管理人員對信息安全活動的重視，能夠促進企業(yè)內(nèi)部信息安全制度的外部表達，即企業(yè)所發(fā)布的信息安全制度文件能夠滿足各項外部監(jiān)管的要求。此外，高層管理人員對信息安全活動的重視，可以發(fā)揮良好的帶動和示范效應(yīng)，減少信息安全制度實施中的阻力，確保各項制度準則的順利實施。

3. 高管參與對履行和內(nèi)化的影響

假設(shè)檢驗結(jié)果顯示，高管參與對履行和內(nèi)化沒有顯著正向影響，假設(shè)H3（β=-0.057，p＞0.05）和H4（β=-0.112，p＞0.05）沒有得到驗證。該結(jié)果說明，高管參與對制度化沒有顯著促進作用，這與我們的預(yù)期假設(shè)出現(xiàn)了偏差，這可能是由于高層管理人員在信息安全活動中表現(xiàn)出的積極行為，與企業(yè)員工在日常工作中對制度的執(zhí)行出現(xiàn)了偏差。換句話講，高層管理人員沒有辦法接觸和理解一般企業(yè)員工所感知到的信息系統(tǒng)的脆弱性和信息策略遵守行為給他們工作所帶來的壓力（Posey等，2014）。因此，只有高層管理人員和企業(yè)員工的信息安全行為完全一致時，才能有效發(fā)揮高管支持的正向引導(dǎo)和示范作用。

4. 履行和內(nèi)化對信息安全管理有效性的影響

假設(shè)檢驗結(jié)果顯示，假設(shè)H8得到驗證（β=0.400，p＜0.001），即履行對信息安全管理有效性有顯著正向影響。出乎意料的是，內(nèi)化對信息安全管理有效性沒有顯著正向影響，假設(shè)H9沒有得到驗證（β=0.083，p＞0.05）。假設(shè)H8和H9所呈現(xiàn)的結(jié)論值得與林潤輝等（2016）的研究發(fā)現(xiàn)進行對比。在本文中，因變量為涵蓋機密性、完整性和可用性的信息安全管理有效性，而林潤輝等（2016）的因變量為范疇更為廣泛的信息安全績效，包括競爭優(yōu)勢、經(jīng)濟效益和運維效率。對比兩項研究中履行和內(nèi)化對因變量的不同影響，可以在后續(xù)研究中深化研究制度化中履行和內(nèi)化對信息安全管理有效性的影響過程，分析假設(shè)H9沒有得到驗證的深層原因。

表5列出本研究中所有假設(shè)的路徑系數(shù)、T值和假設(shè)檢驗的結(jié)果。

表5 假設(shè)檢驗結(jié)果

五、研究結(jié)論與展望

（一）研究結(jié)論

本研究在企業(yè)信息安全管理情境下，探討了高管支持、制度化和信息安全管理有效性之間的關(guān)系。以國內(nèi)通過信息安全管理體系認證的企業(yè)為調(diào)研對象，收集了148份有效問卷，采用結(jié)構(gòu)方程模型對研究模型進行統(tǒng)計分析和實證檢驗，得出以下三點結(jié)論：信息安全意識的提高不僅能促進高管團隊對信息安全的支持，而且還可以提高信息安全管理的有效性；高管團隊對信息安全重要性的認知水平越高，越有利于企業(yè)信息安全制度化中履行和內(nèi)化相關(guān)管理活動的開展；企業(yè)內(nèi)部信息安全制度的落實水平越高，越有利于信息安全管理有效性的發(fā)揮。

以下對研究結(jié)論做進一步討論。首先，信息安全意識能夠提高高管支持的水平，提高企業(yè)信息安全管理的有效性。信息安全意識是對信息安全管理相關(guān)知識的認知，它可能來自于生活或工作的經(jīng)驗（如遭受過黑客攻擊，接受過違反信息安全策略的處罰），也可能來自于外部環(huán)境的影響（如接受過信息安全培訓(xùn)）。在企業(yè)信息安全管理中，信息安全意識會不斷糾正高層管理團隊對信息安全活動的認知，以減少企業(yè)信息資源可能遭受的各種內(nèi)外威脅。此外，信息安全意識遵循知識→勸說→決策的影響傳遞路徑（Bulgurcu等，2010），因此信息安全意識的提高會影響高層管理團隊對信息安全的態(tài)度，最終促進他們參與到信息安全管理活動中去。同樣，良好的信息安全意識會積極影響企業(yè)員工日常的工作行為（如遵守信息安全管理策略），這也能夠有效降低員工違規(guī)所引發(fā)的信息安全風(fēng)險，提高信息安全管理的有效性。

其次，高管信念對履行和內(nèi)化的正向影響深化了我們對高管團隊與信息安全制度化之間關(guān)系的認識。一方面，企業(yè)的生存和發(fā)展需要遵循既定的社會標準和法律制度，進而獲得其合法性。高層管理團隊對于信息安全管理的認可以及對信息安全管理重要性的認知，可以推動企業(yè)對自身制度化的外部表達，實現(xiàn)制度化履行階段的同時滿足其外部合法性的要求；另一方面，企業(yè)高層管理團隊對信息安全管理活動重要性的認知可以減少制度化內(nèi)化階段中的阻力，加速各項信息安全措施的實施和部署，保證內(nèi)化階段的順利完成。

最后，履行對企業(yè)信息安全管理有效性的正向影響拓展了我們對信息安全制度化效用的理解。該結(jié)論所隱含的內(nèi)在邏輯是，企業(yè)對自身信息安全制度的外部表達的準確性影響了信息安全管理活動的效果。企業(yè)設(shè)計滿足外部監(jiān)管要求的信息安全制度，這就意味著該制度所涵蓋的價值體系在企業(yè)內(nèi)部是正當(dāng)且合理的。在這樣的內(nèi)部制度環(huán)境下，無論是企業(yè)的內(nèi)部員工，還是高層管理人員追求信息安全管理的策略和方法均會得到普遍認可。因此，在高層管理團隊的示范和帶動效應(yīng)，以及員工的信息安全遵從同伴效應(yīng)共同作用下，企業(yè)可以有效減少各類信息安全風(fēng)險，提高信息安全管理的有效性。

（二）管理啟示

本研究對企業(yè)如何推動信息安全管理有四個方面的啟示。第一，加強企業(yè)員工和高層管理團隊的信息安全教育，尤其是要培養(yǎng)和提升企業(yè)所有人員的信息安全意識。例如，在企業(yè)信息安全管理中構(gòu)建完善的信息安全意識培訓(xùn)程序，幫助員工掌握合理的信息系統(tǒng)操作規(guī)范和應(yīng)對信息安全風(fēng)險的基本技巧。與此同時，如果企業(yè)的高層管理團隊中沒有信息安全主管或相對應(yīng)的職位，應(yīng)該針對此類高層管理團隊開展定期的信息安全知識分享和教育活動，以保證高層管理團隊成員具有良好的信息安全意識。第二，企業(yè)高層管理團隊要足夠重視信息安全制度化過程。高層管理團隊對企業(yè)信息安全制度建設(shè)過程的關(guān)注和參與，能夠有效促進企業(yè)在制度和流程上對信息安全進行合理設(shè)計，對包含了信息系統(tǒng)、信息技術(shù)、硬件、軟件和員工的企業(yè)信息資源系統(tǒng)進行規(guī)范和約束，減少信息安全風(fēng)險的發(fā)生。第三，企業(yè)的信息安全制度化需要有準確的外部表達，在獲得合法性的同時確保信息安全管理的有效性。在企業(yè)公布的信息安全相關(guān)文件中要確保所有條款滿足外部監(jiān)管的要求。同時，所公布的組織正式文件要涉及企業(yè)信息資源的機密性、完整性和可用性，最大限度提高信息安全管理的有效性。第四，企業(yè)信息安全的獲得不能僅僅依靠技術(shù)支持或系統(tǒng)升級，還需要在管理層面上采取合理的制度管理和控制。例如，注重對所有員工的信息安全意識培訓(xùn)，以日常工作為標準構(gòu)建不同安全級別的員工系統(tǒng)登錄權(quán)限，強化員工的信息安全策略遵守行為。也就是說，有效的信息安全管理手段均應(yīng)該納入信息安全制度相關(guān)文件，以保證企業(yè)信息安全管理活動的可行性和有效性。

（三）研究局限與未來展望

本研究還存在一定的局限性。首先，將高管支持劃分為高管信念和高管參與兩個維度，但是企業(yè)信息安全管理情境下高管支持的維度可能更為復(fù)雜。例如，企業(yè)高管團隊中信息安全經(jīng)理對于信息安全知識的分享，同樣能夠推動信息安全實踐的開展。然而，在當(dāng)前企業(yè)實踐中，信息安全管理還沒有得到足夠的重視，這種信息安全知識的分享和傳播機制還沒有充分展開。隨著企業(yè)信息安全管理實踐的深入，后續(xù)研究應(yīng)該從更多維度對高管支持進行結(jié)構(gòu)化分析，這有助于發(fā)揮高管支持在信息安全管理中的積極作用。其次，沒有考慮組織外部環(huán)境因素對企業(yè)信息安全制度化的影響。新制度主義學(xué)者強調(diào)制度的社會適當(dāng)性，因此未來研究需要考慮外部制度壓力等因素對企業(yè)信息安全制度化的影響過程，以豐富本文僅從內(nèi)部管理視角探討制度化影響因素的研究。最后，假設(shè)檢驗的結(jié)果顯示高管參與對履行和內(nèi)化的影響不顯著，這與最初的研究假設(shè)出現(xiàn)了偏差。未來研究中需要深入探討高管參與對履行和內(nèi)化影響不顯著的深層原因，這對于如何通過高管支持來持續(xù)推進企業(yè)信息安全的制度化可能會更有參考價值。

主要參考文獻

[1]白海青, 毛基業(yè). 高層管理支持信息系統(tǒng)的概念及維度研究[J]. 管理評論，2009, （10）： 61-69.

[2]白海青, 毛基業(yè). CEO支持信息化的動因： 激發(fā)條件與促進機制[J]. 南開管理評論，2014, （6）： 114-125.

[3]李禮, 張延林, 張夢華. 高管支持行為細分——企業(yè)IT應(yīng)用中信任作用的實證檢驗[J]. 管理科學(xué)，2010, （4）： 68-76.

[4]林潤輝, 謝宗曉, 王興起, 等. 制度壓力、信息安全合法化與組織績效——基于中國企業(yè)的實證研究[J]. 管理世界，2016,（2）： 112-127.

[5]孫德升. 高管團隊與企業(yè)社會責(zé)任： 高階理論的視角[J]. 科學(xué)學(xué)與科學(xué)技術(shù)管理，2009, （4）： 188-193.

[6]謝宗曉. 信息安全管理體系實施指南[M]. 北京： 中國標準出版社, 2012.

[7]謝宗曉, 林潤輝, 王興起. 用戶參與對信息安全管理有效性的影響——多重中介方法[J]. 管理科學(xué)，2013, （3）： 65-76.

[8]謝宗曉, 林潤輝. 信息安全制度化3I模型[J]. 中國標準導(dǎo)報，2016, （6）： 30-33.

[9]張建君, 李宏偉. 私營企業(yè)的企業(yè)家背景、多元化戰(zhàn)略與企業(yè)業(yè)績[J]. 南開管理評論，2007, （5）： 12-25.

[10]周浩, 龍立榮. 共同方法偏差的統(tǒng)計檢驗與控制方法[J]. 心理科學(xué)進展，2004, （6）： 942-950.

[11]Barton K A, Tejay G, Lane M, et al. Information system security commitment： A study of external influences on senior management[J]. Computers & Security，2016, 59： 9-25.

[12]Boss S R, Galletta D F, Lowry P B, et al. What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors[J]. MIS Quarterly，2015, 39（4）： 837-864.

[13]Bulgurcu B, Cavusoglu H, Benbasat I. Information security policy compliance： An empirical study of rationality-based beliefs and information security awareness[J]. MIS Quarterly，2010, 34（3）： 523-548.

[14]Carpenter M A, Fredrickson J W. Top management teams, global strategic posture, and the moderating role of uncertainty[J].Academy of Management Journal，2001, 44（3）： 533-545.

[15]Chang S E, Lin C S. Exploring organizational culture for information security management[J]. Industrial Management & Data Systems，2007, 107（3）： 438-458.

[16]Crossler R E, Johnston A C, Lowry P B, et al. Future directions for behavioral information security research[J]. Computers &Security，2013, 32： 90-101.

[17]D’Arcy J, Hovav A, Galletta D. User awareness of security countermeasures and its impact on information systems misuse： A deterrence approach[J]. Information Systems Research，2009, 20（1）： 79-98.

[18]Herath T, Rao H R. Encouraging information security behaviors in organizations： Role of penalties, pressures and perceived effectiveness[J]. Decision Support Systems，2009, 47（2）： 154-165.

[19]Hu Q, Dinev T, Hart P, et al. Managing employee compliance with information security policies： The critical role of top management and organizational culture[J]. Decision Science，2012, 43（4）： 615-660.

[20]Hsu C, Lee J N, Straub D W. Institutional influences on information systems security innovations[J]. Information Systems Research，2012, 23（2）： 918-939.

[21]Kostova T, Roth K. Adoption of an organizational practice by subsidiaries of multinational corporations： Institutional and relational effects[J]. Academy of Management Journal，2002, 45（1）： 215-233.

[22]Kruger H A, Kearney W D. A prototype for assessing information security awareness[J]. Computers & Security，2006, 25（4）：289-296.

[23]Liang H G, Saraf N, Hu Q, et al. Assimilation of enterprise systems： The effect of institutional pressures and the mediating role of top management[J]. MIS Quarterly，2007, 31（1）： 59-87.

[24]Peng D X, Lai F J. Using partial least squares in operations management research： A practical guideline and summary of past research[J]. Journal of Operations Management，2012, 30（6）： 467-480.

[25]Posey C, Roberts T L, Lowry P B, et al. Bridging the divide： A qualitative comparison of information security thought patterns between information security professionals and ordinary organizational insiders[J]. Information & Management，2014, 51（5）：551-567.

[26]Puhakainen P, Siponen M. Improving employees’compliance through information systems security training： An action research study[J]. MIS Quarterly，2010, 34（4）： 757-778.

[27]Reinartz W, Haenlein M, Henseler J. An empirical comparison of the efficacy of covariance-based and variance-based SEM[J]. International Journal of Research in Marketing，2009, 26（4）： 332-344.

[28]Rezgui Y, Marks A. Information security awareness in higher education： An exploratory study[J]. Computers & Security，2008, 27（7-8）： 241-253.

[29]Scott W R. Institutions and organizations： Ideas and interests[M]. 3rd ed. Los Angeles： Sage Publications, 2008.

[30]Sharma R, Yetton P. The contingent effects of management support and task interdependence on successful information systems implementation[J]. MIS Quarterly，2003, 27（4）： 533-556.

[31]Smith S, Winchester D, Bunker D, et al. Circuits of power： A study of mandated compliance to an information systems security “De Jure” standard in a government organization[J]. MIS Quarterly，2010, 34（3）： 463-486.

[32]Spears J L, Barki H. User participation in information systems security risk management[J]. MIS Quarterly，2010, 34（3）： 503-522.

[33]Tyler T R, Blader S L. Can businesses effectively regulate employee conduct? The antecedents of rule following in work settings[J]. Academy of Management Journal，2005, 48（6）： 1143-1158.

[34]Tyler T R, Callahan P E, Frost J. Armed, and dangerous（?）： Motivating rule adherence among agents of social control[J]. Law& Society Review，2007, 41（2）： 457-492.

[35]Warkentin M, Willison R. Behavioral and policy issues in information systems security： The insider threat[J]. European Journal of Information Systems，2009, 18（2）： 101-105.