， ，

(1.重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067； 2.中國(guó)金融認(rèn)證中心 信息安全服務(wù)部，北京 100054； 3.山東財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，山東 濟(jì)南 250014)

1 引言

隨著信息技術(shù)的快速發(fā)展，企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的提升愈發(fā)依賴信息技術(shù)和信息系統(tǒng)的支持，信息已然成為企業(yè)的關(guān)鍵資產(chǎn)。然而，頻發(fā)的信息安全事件，卻時(shí)常將企業(yè)置于各種風(fēng)險(xiǎn)之中，信息安全也日漸成為企業(yè)高度關(guān)注的管理問(wèn)題[1]。傳統(tǒng)信息安全管理強(qiáng)調(diào)在技術(shù)層面進(jìn)行升級(jí)和改造來(lái)保護(hù)企業(yè)免受外部威脅[2]。而不少研究和調(diào)查報(bào)告卻顯示：70%～80%的企業(yè)信息安全風(fēng)險(xiǎn)由員工的違規(guī)行為引發(fā)。因此，員工的信息安全違規(guī)已經(jīng)超越外部威脅成為企業(yè)信息安全風(fēng)險(xiǎn)的主要來(lái)源[3]。

事實(shí)上，看似細(xì)微的員工信息安全違規(guī)往往會(huì)對(duì)企業(yè)信息安全造成巨大威脅，這是因?yàn)樵傧冗M(jìn)的信息技術(shù)/系統(tǒng)，如果沒(méi)有規(guī)范的操作作為保障，其安全性也會(huì)大打折扣[4]。一般來(lái)說(shuō)，制定科學(xué)合理的信息安全管理制度并嚴(yán)格執(zhí)行是企業(yè)信息安全的重要保證，但是企業(yè)如果不能有效減少員工的信息安全違規(guī)行為，也就不能有效阻斷頻發(fā)的信息安全事件，降低潛在的信息安全風(fēng)險(xiǎn)[5,6]。

近年來(lái)，應(yīng)用社會(huì)心理學(xué)、犯罪學(xué)和組織行為學(xué)的相關(guān)理論，探討員工信息安全違規(guī)行為已經(jīng)成為國(guó)外信息安全研究的熱點(diǎn)，涉及的主要問(wèn)題包括：企業(yè)如何確保員工遵守信息安全管理策略、企業(yè)如何激發(fā)員工的信息安全保護(hù)行為等。盡管?chē)@上述問(wèn)題的研究取得了一定成果，但是已有研究仍然存在以下局限：(1)研究結(jié)論不統(tǒng)一。例如，Ifinedo[7]研究發(fā)現(xiàn)，感知威脅嚴(yán)重性對(duì)員工信息安全遵從行為有正向影響，而Vance等[8]認(rèn)為感知威脅嚴(yán)重性對(duì)員工信息安全遵從行為有負(fù)向影響。(2)精英偏見(jiàn)。已有研究主要基于信息安全專家和高層管理團(tuán)隊(duì)的思維模式，進(jìn)而導(dǎo)致研究結(jié)論往往出現(xiàn)精英偏見(jiàn)[1]，即研究結(jié)論符合高層管理人員對(duì)員工信息安全行為的看法，但是缺乏一般員工的視角[9]。(3)對(duì)員工信息安全違規(guī)行為內(nèi)在影響因素的探討亟待加強(qiáng)。已有文獻(xiàn)較多分析企業(yè)如何通過(guò)嚴(yán)厲的懲罰措施來(lái)威懾員工，以迫使員工遵守信息安全管理策略[5,10]，但較少涉及員工信息安全違規(guī)的個(gè)體內(nèi)在影響機(jī)制。目前，僅有Siponen和Vance[10]運(yùn)用中和技術(shù)理論分析了員工會(huì)用6種中和技術(shù)來(lái)說(shuō)服自己執(zhí)行信息安全違規(guī)行為；D’Arcy等[6]從信息安全壓力視角分析員工為何產(chǎn)生信息安全違規(guī)意愿。然而，上述兩項(xiàng)研究均沒(méi)有涉及員工內(nèi)在信息安全意識(shí)的影響，因此也就無(wú)法解釋現(xiàn)階段眾多企業(yè)紛紛開(kāi)展員工信息安全意識(shí)培訓(xùn)的原因。

基于上述分析，本研究探討員工信息安全違規(guī)行為(包括不遵守信息安全管理策略的所有信息技術(shù)和信息系統(tǒng)的操作行為)的影響機(jī)制，其創(chuàng)新之處體現(xiàn)在兩方面：第一，在Siponen和Vance[10]及Siponen等[11]研究基礎(chǔ)上(上述兩項(xiàng)研究的關(guān)系路徑為：中和技術(shù)→違規(guī)意愿)，基于道德推脫理論拓展了員工信息安全違規(guī)意愿的影響路徑和作用過(guò)程(中和技術(shù)→道德推脫→違規(guī)意愿)，這對(duì)于充分認(rèn)識(shí)和理解員工的信息安全違規(guī)行為有重要作用。第二，在D’Arcy等[12]，Puhakainen和Siponen[13]，Dinev和Hu[14]的研究基礎(chǔ)上，增加了信息安全意識(shí)對(duì)道德推脫與信息安全違規(guī)意愿關(guān)系調(diào)節(jié)作用的驗(yàn)證，這有利于拓展行為信息安全管理的理論視角。

2 理論基礎(chǔ)與研究假設(shè)

本研究的理論基礎(chǔ)是中和技術(shù)理論和道德推脫理論。其中中和技術(shù)理論主要分析員工信息安全違規(guī)意愿的內(nèi)在影響因素；道德推脫理論主要解釋員工如何說(shuō)服內(nèi)在自我調(diào)控系統(tǒng)進(jìn)而允許違規(guī)的發(fā)生。即前者側(cè)重分析信息安全違規(guī)的內(nèi)在影響因素，后者側(cè)重闡明內(nèi)在影響因素的作用過(guò)程。

2.1 中和技術(shù)理論

中和技術(shù)理論是在研究青少年犯罪問(wèn)題時(shí)被提出來(lái)的，該理論從違法者視角解讀自我辯解的過(guò)程，這有助于揭示違法行為形成的內(nèi)在動(dòng)機(jī)和影響因素[14]。中和技術(shù)理論的本質(zhì)在于違法者的自我辯護(hù)和否認(rèn)犯罪，它提出了5種中和技術(shù)：否認(rèn)責(zé)任、否認(rèn)傷害、否認(rèn)受害者、高度效忠和反擊譴責(zé)者。在后續(xù)研究中，否認(rèn)必要性又被加入其中，最終形成了該理論常用的6種中和技術(shù)。隨著學(xué)者們對(duì)企業(yè)員工負(fù)面行為的持續(xù)關(guān)注，中和技術(shù)理論逐漸在管理信息系統(tǒng)領(lǐng)域的研究中得到應(yīng)用。例如，Siponen和Vance[10]最早將中和技術(shù)理論應(yīng)用于信息安全管理研究中，并證明上述6種中和技術(shù)可以解釋員工違規(guī)的原因；Siponen等[11]應(yīng)用中和技術(shù)理論探討了企業(yè)員工為什么會(huì)使用盜版軟件問(wèn)題，并再次驗(yàn)證了中和技術(shù)理論的解釋能力；吳娜等[15]應(yīng)用中和技術(shù)理論分析了泄露他人隱私意向的影響要素，同樣驗(yàn)證了中和技術(shù)理論的解釋能力。

2.2 道德推脫理論

道德推脫是指?jìng)€(gè)體會(huì)產(chǎn)生一種特定的認(rèn)知傾向，包括重新定義自己的不道德行為以使其傷害顯得更小，并最大限度地減少自己在某項(xiàng)不道德行為后果中的責(zé)任[16]。因此，道德推脫理論往往用于闡述為什么人們?cè)诿髦e(cuò)誤的情況下，仍然會(huì)做出某些錯(cuò)誤行為。道德推脫理論還認(rèn)為，當(dāng)個(gè)人在道德上采取推脫的態(tài)度時(shí)，他/她就切斷了既定行為與其有害后果之間的關(guān)系[17]。組織領(lǐng)域的相關(guān)研究證明，道德推脫為分析員工的消極工作/違規(guī)/不道德行為提供了一種新的理論視角[6,18]。當(dāng)某種違規(guī)行為產(chǎn)生于組織時(shí)，員工往往會(huì)將違規(guī)行為所造成的傷害進(jìn)行去人性化的認(rèn)知和解讀，從而使得自身擺脫因違反自身道德標(biāo)準(zhǔn)而產(chǎn)生的內(nèi)疚和自責(zé)情緒，心安理得地做出不道德行為[19]。

2.3 研究假設(shè)

2.3.1 否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿

本研究在員工信息安全違規(guī)的分析中只采納了否認(rèn)責(zé)任和否認(rèn)傷害兩個(gè)變量，并未采用其它中和技術(shù)(否認(rèn)受害者、高度效忠、反擊譴責(zé)者和否認(rèn)必要性)，這是因?yàn)椋憾鄶?shù)員工的信息安全違規(guī)行為，并非惡意侵害他人或損害別人的利益(排除否認(rèn)受害者)；也不是源于對(duì)其它企業(yè)忠誠(chéng)的訴求(排除高度效忠)或?qū)δ承┳l責(zé)者的報(bào)復(fù)(排除反擊譴責(zé)者)；更不是除了做出信息安全違規(guī)行為之外，已經(jīng)沒(méi)有其它更好選擇(排除否認(rèn)必要性)[10]。

否認(rèn)責(zé)任是指違規(guī)者認(rèn)為無(wú)需為自己的不當(dāng)行為負(fù)責(zé)，而將責(zé)任轉(zhuǎn)移至其它方面，以此來(lái)抑制內(nèi)在自我道德調(diào)節(jié)系統(tǒng)的作用[10]。例如，在企業(yè)信息安全管理中，員工在違規(guī)復(fù)制機(jī)密文件時(shí)往往辯稱對(duì)企業(yè)的信息安全政策不了解，以此作為否認(rèn)責(zé)任的借口；計(jì)算機(jī)編程人員經(jīng)常將其錯(cuò)誤歸咎于電腦故障，使電腦成為其否認(rèn)責(zé)任的替罪羊；在泄露他人隱私時(shí)，泄露者往往以不知曉相關(guān)隱私保護(hù)制度為其行為辯解?；诖?，本研究提出如下假設(shè)：

H1a否認(rèn)責(zé)任對(duì)員工信息安全違規(guī)意愿有顯著正向影響。

否認(rèn)傷害是指通過(guò)極小化違規(guī)行為造成的傷害使得違規(guī)行為看起來(lái)具有一定的合理性[14]。這一中和技術(shù)將關(guān)注的焦點(diǎn)置于違規(guī)行為造成的傷害，違規(guī)者認(rèn)為違規(guī)行為并未造成任何傷害(如身體傷害、精神傷害)，所以即使其行為不合法也可以得到原諒。否認(rèn)傷害實(shí)際上通過(guò)將個(gè)人違規(guī)行為與其所導(dǎo)致的后果相分離，以此弱化自我譴責(zé)過(guò)程，進(jìn)而完成違規(guī)行為[20]。例如，不少員工認(rèn)為沒(méi)有按照信息安全管理策略來(lái)操作信息系統(tǒng)是小事，因?yàn)檫@沒(méi)有對(duì)企業(yè)造成實(shí)質(zhì)性的傷害，應(yīng)該得到諒解?；诖?，本研究提出如下假設(shè)：

H1b否認(rèn)傷害對(duì)員工信息安全違規(guī)意愿有顯著正向影響。

2.3.2 道德推脫的中介作用

員工的信息安全違規(guī)顯然違反了企業(yè)信息安全的管理策略，背離了職業(yè)道德準(zhǔn)則。在這種情況下，員工對(duì)規(guī)章制度的畏懼心理和對(duì)違規(guī)懲罰的恐懼心理，以及內(nèi)心道德價(jià)值觀的自我驅(qū)使均沒(méi)有促使其遵守企業(yè)的信息安全管理策略。這就說(shuō)明，一方面，道德推脫使得員工的信息安全違規(guī)行為與外部懲罰之間失去聯(lián)系，此時(shí)的自我內(nèi)在道德調(diào)控系統(tǒng)已經(jīng)失效，員工可以擺脫違規(guī)行為造成的內(nèi)疚和自責(zé)；另一方面，當(dāng)員工的信息安全違規(guī)不是一個(gè)偶發(fā)事件時(shí)，即信息安全違規(guī)時(shí)常發(fā)生于企業(yè)和團(tuán)隊(duì)內(nèi)部，此時(shí)員工往往會(huì)進(jìn)行責(zé)任分散以推脫應(yīng)當(dāng)承擔(dān)的責(zé)任[21]。整體而言，員工的道德推脫通過(guò)道德辯護(hù)、責(zé)備歸因、責(zé)任轉(zhuǎn)移和責(zé)任分散等相互關(guān)聯(lián)的機(jī)制產(chǎn)生了作用[18]，這就助推了員工不同類型信息安全違規(guī)行為的發(fā)生。基于此，本研究提出如下假設(shè)：

H2a道德推脫在否認(rèn)責(zé)任與員工信息安全違規(guī)意愿之間起中介作用。

H2b道德推脫在否認(rèn)傷害與員工信息安全違規(guī)意愿之間起中介作用。

2.3.3 信息安全意識(shí)的調(diào)節(jié)作用

由員工違規(guī)所導(dǎo)致的信息安全事件已經(jīng)成為企業(yè)信息安全管理的主要威脅[22]，這也是國(guó)內(nèi)外眾多企業(yè)開(kāi)展信息安全意識(shí)培訓(xùn)的原因所在。ISF(information security forum)將信息安全意識(shí)定義為組織員工理解信息安全的重要性，清楚組織所適用的安全級(jí)別，知悉并履行個(gè)人在日常工作中的安全職責(zé)[23]。

道德推脫能夠切斷員工信息安全違規(guī)行為與其內(nèi)在道德標(biāo)準(zhǔn)的關(guān)聯(lián)，使得員工不會(huì)由于信息安全違規(guī)而感到自責(zé)和內(nèi)疚。一旦員工具有強(qiáng)烈的信息安全意識(shí)，這就意味著，員工理解并熟知日常工作中的信息安全管理策略，并對(duì)自身的工作職責(zé)有著清楚認(rèn)知。此時(shí)，員工的道德推脫過(guò)程將會(huì)受到信息安全意識(shí)的“干擾”不能順利完成，道德推脫與信息安全違規(guī)意愿之間的關(guān)系就會(huì)受到抑制。員工信息安全意識(shí)越高，越有利于企業(yè)信息資源的保護(hù)[11]?；诖?，本研究提出如下假設(shè)：

H3信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫與員工信息安全違規(guī)意愿之間的關(guān)系。

2.3.4 被調(diào)節(jié)的中介作用

假設(shè)H1a～假設(shè)H2b闡述了道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用，假設(shè)H3闡述了信息安全意識(shí)對(duì)道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)作用。本研究認(rèn)為信息安全意識(shí)可能負(fù)向調(diào)節(jié)道德推脫的中介作用。首先，員工的高信息安全意識(shí)為否認(rèn)責(zé)任和否認(rèn)傷害的產(chǎn)生提供了某種抑制條件，員工從而有更小的可能性將否認(rèn)責(zé)任和否認(rèn)傷害轉(zhuǎn)化為道德推脫。其次，信息安全意識(shí)水平越高越有利于員工遵守信息安全管理策略[24,25]，這就降低了道德推脫轉(zhuǎn)化為違規(guī)意愿的可能性，同時(shí)道德推脫所起到的中介作用也就降低了?；诖耍狙芯刻岢鋈缦录僭O(shè)：

H4a信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫在否認(rèn)責(zé)任與信息安全違規(guī)意愿之間的中介作用。

H4b信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫在否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用。

浙江省大中型水庫(kù)費(fèi)用開(kāi)支中運(yùn)行費(fèi)用比例最高，達(dá)到59.32%，其次為管理費(fèi)用，占28.69%，最低為維修費(fèi)用，占11.99%。

綜上所述，本研究提出如下研究框架(圖1)。

圖1 研究框架

3 研究設(shè)計(jì)

3.1 研究樣本與數(shù)據(jù)收集

本研究采用調(diào)查問(wèn)卷的方式進(jìn)行數(shù)據(jù)收集，調(diào)查對(duì)象是國(guó)內(nèi)通過(guò)信息安全管理體系認(rèn)證(GB/T 22080-2008/ISO/IEC 27001:2005)企業(yè)的員工。問(wèn)卷調(diào)查過(guò)程依托專業(yè)的調(diào)研平臺(tái)，采用在線問(wèn)卷的形式進(jìn)行，調(diào)查的起止時(shí)間為2017年3月1日～ 3月31日。問(wèn)卷采用7點(diǎn)李克特量表形式，1表示非常不同意，7表示非常同意。

本次調(diào)研過(guò)程共回收問(wèn)卷356份，剔除38份無(wú)效問(wèn)卷后，最終得到318份有效問(wèn)卷。在318個(gè)有效被試者中，60.1%為男性員工，39.9%為女性員工；25～30歲占42.8%，31～40歲占48.7%，41歲及以上占8.5%；學(xué)歷主要以本科與研究生為主，分別占58.8%與37.1%；所屬行業(yè)分別為軟件相關(guān)38.7%，金融相關(guān)37.7%，通信相關(guān)20.8%與電力相關(guān)7.9%；工作類型分別為市場(chǎng)營(yíng)銷(xiāo)相關(guān)17.0%，技術(shù)研發(fā)相關(guān)41.5%，客戶管理相關(guān)18.5%與系統(tǒng)管理相關(guān)23.0%。

3.2 研究工具

對(duì)否認(rèn)責(zé)任和否認(rèn)傷害兩個(gè)變量的測(cè)量改編自Siponen和Vance[10],Siponen等[11]的量表，均包含4個(gè)題項(xiàng)；對(duì)道德推脫的測(cè)量改編自Bandura[17]，Moore等[19]和Detert等[26]的量表，包含3個(gè)題項(xiàng)，涉及道德辯護(hù)、責(zé)任轉(zhuǎn)移和忽視結(jié)果三個(gè)維度；對(duì)信息安全意識(shí)的測(cè)量改編自D’Arcy等[12]，Spears和Barki[24]的量表，包含3個(gè)題項(xiàng)；對(duì)員工信息安全違規(guī)意愿的測(cè)量采用Cheng等[5]，Siponen和Vance[10]的量表，包含3個(gè)題項(xiàng)。此外，將員工的性別、年齡、教育程度、所屬行業(yè)與工作類型作為控制變量，以排除其對(duì)數(shù)據(jù)分析結(jié)果的影響。

4 實(shí)證結(jié)果及分析

4.1 共同方法偏差

在基于問(wèn)卷調(diào)查的實(shí)證研究中，如果觀測(cè)變量由相同的被試者填答容易導(dǎo)致共同方法偏差的問(wèn)題。為了排除共同方法偏差的影響，本研究在統(tǒng)計(jì)控制環(huán)節(jié)采用Harman單因素檢驗(yàn)的方法進(jìn)行檢驗(yàn)。檢驗(yàn)結(jié)果表明，第一個(gè)因子的方差解釋度為38.818%<40%。這說(shuō)明研究數(shù)據(jù)不存在顯著的共同方法偏差問(wèn)題，可以進(jìn)行后續(xù)的數(shù)據(jù)分析工作。

4.2 信度與效度檢驗(yàn)

本研究在對(duì)量表信度和效度檢驗(yàn)過(guò)程中，主要采用組合信度和項(xiàng)目載荷來(lái)評(píng)價(jià)量表的信度；用潛變量AVE(平均變異萃取量)的平方根是否大于潛變量之間的相關(guān)值來(lái)檢驗(yàn)區(qū)分效度，用AVE來(lái)評(píng)價(jià)量表的聚合效度。結(jié)果表明，否認(rèn)責(zé)任、否認(rèn)傷害、道德推脫、信息安全意識(shí)和信息安全違規(guī)意愿的組合信度分別為0.948、0.945、0.882、0.860和0.909，均大于0.700的基準(zhǔn)值；另外，5個(gè)潛變量的Cronbach’sα分別為0.926、0.923、0.802、0.758和0.849，均大于0.700的基準(zhǔn)值。上述兩個(gè)指標(biāo)說(shuō)明問(wèn)卷的測(cè)量量表具有較好的信度。同時(shí)，5個(gè)潛變量的AVE分別為0.820、0.812、0.714、0.672和0.769，均大于0.500的基準(zhǔn)值；5個(gè)潛變量的AVE的平方根均大于潛變量之間的相關(guān)系數(shù)，這表明量表具有較好的聚合效度和區(qū)分效度。此外，本研究還對(duì)量表的交叉因子載荷進(jìn)行了檢驗(yàn)，結(jié)果同樣表明研究量表具有較好的聚合效度和區(qū)分效度。

4.3 描述性統(tǒng)計(jì)分析

本研究的描述性統(tǒng)計(jì)結(jié)果表明，否認(rèn)責(zé)任和道德推脫顯著正相關(guān)(r=0.59，p<0.01)；否認(rèn)傷害和道德推脫顯著正相關(guān)(r=0.63，p<0.01)；道德推脫與信息安全違規(guī)意愿顯著正相關(guān)(r=0.56，p<0.01)；信息安全意識(shí)與信息安全違規(guī)意愿顯著負(fù)相關(guān)(r=-0.69，p<0.01)；否認(rèn)責(zé)任與信息安全違規(guī)意愿顯著正相關(guān)(r=0.72，p<0.01)；否認(rèn)傷害與信息安全違規(guī)意愿顯著正相關(guān)(r=0.71，p<0.01)。上述分析結(jié)果為驗(yàn)證研究假設(shè)提供了依據(jù)。

4.4 假設(shè)檢驗(yàn)

本研究運(yùn)用層次回歸方法來(lái)對(duì)研究假設(shè)進(jìn)行檢驗(yàn)，回歸結(jié)果詳見(jiàn)表1。

對(duì)假設(shè)H1a(否認(rèn)責(zé)任與違規(guī)意愿之間的直接效應(yīng))和H1b(否認(rèn)傷害與違規(guī)意愿之間的直接效應(yīng))的檢驗(yàn)，首先以信息安全違規(guī)意愿為因變量，所有控制變量為自變量進(jìn)行回歸分析(見(jiàn)模型4)。結(jié)果表明，所有控制變量的回歸系數(shù)均不顯著，說(shuō)明控制變量沒(méi)有對(duì)模型的有效性產(chǎn)生影響。其次，模型5在模型4的基礎(chǔ)上增加了否認(rèn)責(zé)任作為自變量進(jìn)行回歸分析。結(jié)果顯示，否認(rèn)責(zé)任對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.65，p<0.001)，假設(shè)H1a得到驗(yàn)證；同理，模型6在模型4的基礎(chǔ)上增加了否認(rèn)傷害作為自變量。結(jié)果顯示，否認(rèn)傷害對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.71，p<0.001)，假設(shè)H1b得到驗(yàn)證。

表1 回歸分析結(jié)果

注：*p<0.05，**p<0.01，***p<0.001。下同。

對(duì)假設(shè)H2a和H2b(道德推脫的中介效應(yīng))的檢驗(yàn)，首先以道德推脫為因變量，以所有控制變量為自變量進(jìn)行回歸分析(見(jiàn)模型1)。結(jié)果顯示，所有控制變量均沒(méi)有對(duì)模型的有效性產(chǎn)生影響。其次，以道德推脫為因變量，在模型1的基礎(chǔ)上增加否認(rèn)責(zé)任作為自變量進(jìn)行回歸分析(見(jiàn)模型2)。結(jié)果顯示，否認(rèn)責(zé)任對(duì)道德推脫有顯著正向影響(β=0.44，p<0.001)。同理，模型3在模型1的基礎(chǔ)上增加了否認(rèn)傷害作為自變量。結(jié)果顯示，否認(rèn)傷害對(duì)道德推脫有顯著正向影響(β=0.52，p<0.001)。最后，以信息安全違規(guī)意愿為因變量，以否認(rèn)責(zé)任和道德推脫為自變量進(jìn)行回歸分析(模型7)，以否認(rèn)傷害和道德推脫為自變量進(jìn)行回歸分析(模型8)。結(jié)果顯示，否認(rèn)責(zé)任對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.55，p<0.001)，道德推脫對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.24，p<0.01)；否認(rèn)傷害對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.60，p<0.001)，道德推脫對(duì)信息安全違規(guī)意愿有顯著正向影響(β=0.21，p<0.01)。對(duì)比發(fā)現(xiàn)，否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的回歸系數(shù)值均變小(0.55<0.65；0.60<0.71)，因此假設(shè)H2a和H2b均得到驗(yàn)證。

對(duì)假設(shè)H3(信息安全意識(shí)的調(diào)節(jié)效應(yīng))的檢驗(yàn)，以信息安全違規(guī)意愿為因變量，以所有控制變量、否認(rèn)責(zé)任、否認(rèn)傷害、道德推脫、道德推脫與信息安全意識(shí)的交互項(xiàng)為自變量進(jìn)行回歸分析(模型9)。結(jié)果顯示，道德推脫與信息安全意識(shí)交互項(xiàng)對(duì)信息安全違規(guī)意愿有顯著負(fù)向影響(β=-0.35，p<0.01)。這就說(shuō)明信息安全意識(shí)對(duì)道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)效應(yīng)得到驗(yàn)證，支持假設(shè)H3。為了更加直觀地理解信息安全意識(shí)在道德推脫與信息安全違規(guī)意愿之間起到的調(diào)節(jié)作用，本研究對(duì)高信息安全意識(shí)和低信息安全意識(shí)水平下道德推脫對(duì)信息安全違規(guī)意愿影響的差異進(jìn)行分析(見(jiàn)圖2)。由此可見(jiàn)，在員工高信息安全意識(shí)情況下，道德推脫對(duì)員工信息安全違規(guī)意愿的影響較小；在員工低信息安全意識(shí)情況下，道德推脫對(duì)員工信息安全違規(guī)意愿的影響較大。

圖2 信息安全意識(shí)的調(diào)節(jié)作用

對(duì)假設(shè)H4a和H4b的檢驗(yàn)，采用SPSS 22.0軟件的PPROCESS插件BOOTSTRAP程序?qū)Ρ徽{(diào)節(jié)的中介效應(yīng)進(jìn)行檢驗(yàn)(見(jiàn)表2)。結(jié)果表明，當(dāng)員工信息安全意識(shí)水平較高時(shí)(+1SD)，否認(rèn)責(zé)任和否認(rèn)傷害通過(guò)道德推脫作用于信息安全違規(guī)意愿的間接效應(yīng)均較為顯著(β=-0.15，p<0.01；β=-0.21，p<0.01)；當(dāng)員工信息安全意識(shí)水平較低時(shí)(-1SD)，否認(rèn)責(zé)任和否認(rèn)傷害通過(guò)道德推脫作用于信息安全違規(guī)意愿的間接效應(yīng)均未達(dá)到顯著性水平(β=-0.03，p>0.05；β=-0.07，p>0.05)。這些結(jié)果說(shuō)明，信息安全意識(shí)越高，道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用越弱，假設(shè)H4a和H4b得到驗(yàn)證，存在被調(diào)節(jié)的中介效應(yīng)。

表2 被調(diào)節(jié)的中介效應(yīng)分析

5 結(jié)論與討論

5.1 研究結(jié)論

本研究基于中和技術(shù)理論和道德推脫理論探討了員工信息安全違規(guī)意愿的影響機(jī)制。研究結(jié)果表明：(1)否認(rèn)責(zé)任和否認(rèn)傷害均對(duì)信息安全違規(guī)意愿有顯著正向影響。(2)道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿的關(guān)系中均起中介作用。(3)信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫與信息安全違規(guī)意愿之間的關(guān)系。也就是說(shuō)，員工信息安全意識(shí)的提高可以有效抑制道德推脫與信息安全違規(guī)意愿之間的正向關(guān)系。(4)信息安全意識(shí)降低了道德推脫的中介作用，存在被調(diào)節(jié)的中介效應(yīng)。

5.2 理論貢獻(xiàn)與管理啟示

本研究的理論貢獻(xiàn)包括：(1)驗(yàn)證了道德推脫的中介作用，深化了已有研究對(duì)于信息安全違規(guī)意愿的認(rèn)識(shí)。在企業(yè)信息安全管理情境下，已有基于中和技術(shù)的員工違規(guī)行為研究，直接分析中和技術(shù)→信息安全違規(guī)的影響過(guò)程，沒(méi)有將員工內(nèi)在自我道德調(diào)節(jié)系統(tǒng)的失效機(jī)制考慮進(jìn)去。相比較而言，本研究在分析員工信息安全違規(guī)中，考慮了中和技術(shù)→道德推脫→信息安全違規(guī)意愿的影響路徑，更加詳細(xì)地展現(xiàn)了員工信息安全違規(guī)意愿的內(nèi)在影響過(guò)程和作用路徑。(2)明確了信息安全意識(shí)對(duì)道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)效應(yīng)。已有研究沒(méi)有考慮信息安全意識(shí)的作用，因此也就沒(méi)有辦法解讀為什么眾多企業(yè)紛紛開(kāi)展員工的信息安全意識(shí)培訓(xùn)。因此，在研究框架中增加對(duì)信息安全意識(shí)的分析，有助于從理論上深化對(duì)員工信息安全違規(guī)行為的理解和認(rèn)識(shí)。

上述研究結(jié)論具有重要的管理啟示：(1)企業(yè)加強(qiáng)員工信息安全意識(shí)培訓(xùn)的同時(shí)，還需要強(qiáng)化員工的職業(yè)道德教育。企業(yè)需要持續(xù)強(qiáng)調(diào)信息安全管理對(duì)于企業(yè)生存和發(fā)展的重要性，還需要突出強(qiáng)調(diào)遵守信息安全管理策略是員工職業(yè)道德的重要構(gòu)成。相對(duì)應(yīng)，員工才會(huì)在自我內(nèi)在道德調(diào)節(jié)系統(tǒng)中深化遵守信息安全管理策略的必要性和重要性，減少信息安全違規(guī)發(fā)生的可能性。(2)員工信息安全意識(shí)的培養(yǎng)和強(qiáng)化需要滲透到企業(yè)信息安全管理的方方面面，并且貫穿到員工的日常工作之中。也就是說(shuō)，企業(yè)需要幫助員工明確和知曉個(gè)人在工作中所承擔(dān)的信息安全職責(zé)，這有利于員工去預(yù)判和衡量信息安全違規(guī)所造成的嚴(yán)重后果，進(jìn)而對(duì)于阻斷員工違規(guī)行為的中和技術(shù)有重要促進(jìn)作用，這同樣可以有效減少員工信息安全違規(guī)的發(fā)生。

5.3 研究局限與未來(lái)展望

本研究仍然存在不足和需要完善之處：(1)為了保證測(cè)量量表的信度和效度，對(duì)研究模型中變量的測(cè)量均采用已有研究中被廣泛使用和多次驗(yàn)證的題項(xiàng)。未來(lái)研究應(yīng)該設(shè)計(jì)和開(kāi)發(fā)更加符合中國(guó)企業(yè)信息安全管理情境的研究量表，以使研究結(jié)論更加符合中國(guó)企業(yè)信息安全管理的實(shí)踐。(2)問(wèn)卷調(diào)查對(duì)象均是國(guó)內(nèi)通過(guò)信息安全管理體系認(rèn)證企業(yè)的內(nèi)部員工，這就在一定程度上限定了樣本所屬行業(yè)(對(duì)信息安全管理要求較高行業(yè)中的企業(yè)，往往注重信息安全管理體系的認(rèn)證)，導(dǎo)致研究樣本覆蓋的行業(yè)不夠廣泛，后續(xù)的研究應(yīng)該擴(kuò)大樣本量，以使研究結(jié)論更加具有代表性。

[1] Posey C, Roberts T L, Lowry P B, et al.. Bridge thedivide: a qualitative comparison security thought patterns between information security professionals and ordinary organizational insiders[J]. Information & Management, 2014, 51(5): 551-567.

[2] Burton-Jones A, McLean E, Monod E. Theoretical perspectives in IS research: from variance and process to conceptual latitude and conceptual fit[J]. European Journal of Information Systems, 2015, 24(6): 664- 679.

[3] Johnston A C, Warkentin M, Siponen M. An enhanced fear appeal rhetorical framework: leveraging threats to the human asset through sanction rhetoric[J]. MIS Quarterly, 2015, 39(1): 113-134.

[4] Lee C, Lee C G, Kim S. Understanding information security stress: focusing on the type of information security compliance activity[J]. Computers & Security, 2016, 59: 60-70.

[5] Cheng L, Li Y, Li W, et al.. Understanding the violation of IS security policy in organizations: an integrated model based on social control and deterrence theory[J]. Computers & Security, 2013, 39(2): 447- 459.

[6] D’Arcy J, Herath T, Shoss M K. Understanding employee response to stressful information security requirement: a coping perspective[J]. Journal of Management Information Systems, 2014, 31(2): 285-318.

[7] Ifinedo P. Understanding information systems security policy compliance: an integration of the theory of planned behavior and the protection motivation theory[J]. Computers & Security, 2012, 31(1): 83-95.

[8] Vance A, Siponen M, Pahnila S. Motivating IS security compliance: insights from habit and protection motivation theory[J]. Information & Management, 2012, 49(3- 4): 190-198.

[9] 甄杰,謝宗曉,李康宏,等.組織內(nèi)部員工的信息安全保護(hù)行為——基于PMT和FA整合視角的多案例研究[J].管理案例研究與評(píng)論,2017,10(2):114-130.

[10] Siponen M. Vance A. Neutralization: new insights into the problem of employee information systems security policy violations[J]. MIS Quarterly, 2010, 34(3): 487-502.

[11] Siponen M, Vance A, Willison R. New insights into the problem of software piracy: the effects of neutralization, shame, and moral beliefs[J]. Information & Management, 2012, 49(7- 8): 334-341.

[12] D’Arcy J, Hovav A, Galletta D. User awareness of security countermeasures and its impact on information systems misuse: a deterrence approach[J]. Information Systems Research, 2009, 20(1): 79- 88.

[13] Puhakainen P, Siponen M. Improving employees’ compliance through information systems security training: an action research study[J]. MIS Quarterly, 2010, 34(4): 757-778.

[14] Dinev T, Hu Q. The centrality of awareness in the formation of user behavioral intention toward protective information technologies[J]. Journal of the Association for Information Systems, 2007, 8(7): 386- 408.

[15] 吳娜,李文立,呂欣,等.泄露他人隱私行為意向的影響要素研究[J].科研管理,2015,36(11):139-147.

[16] Bandura A. Selective moral disengagement in the exercise of moral agency[J]. Journal of Moral Education, 2002, 31(2): 101-119.

[17] Bandura A. Moral disengagement in the perpetuation of inhumanities[J]. Personality and Social Psychology Review, 1999, 3(3): 193-209.

[18] 張艷清,王曉暉,王海波.組織情境下的不道德行為現(xiàn)象:來(lái)自道德推脫理論的解釋[J].心理科學(xué)進(jìn)展,2016,24(7):1107-1117.

[19] Moore C, Detert J R, Trevino L K, et al.. Why employees do bad things: moral disengagement and unethical organizational behavior[J]. Personnel Psychology, 2012, 65(1): 1- 48.

[20] Hystad S W, Mearns K, Eid J. Moral disengagement as a mechanism between perceptions of organizational injustice and deviant work behaviours[J]. Safety Science, 2014, 68(10): 138-145.

[21] Barsky A. Investigating the effects of moral disengagement and participation on unethical work behavior[J]. Journal of Business Ethics, 2011, 104(1): 59-75.

[22] Crossler R E, Johnston A C, Lowry P B, et al.. Future directions for behavioral information security research[J]. Computers & Security, 2013, 32(1): 90-101.

[23] 武德昆,官海濱,王興起,等.高管支持對(duì)信息安全管理有效性的影響研究:信息安全意識(shí)的中介效應(yīng)[J].中國(guó)海洋大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2014,(2):44-50.

[24] Spears J L, Barki H. User participation in IS security management[J]. MIS Quarterly, 2010, 34(3): 503-522.

[25] 謝宗曉,林潤(rùn)輝,王興起.用戶參與對(duì)信息安全管理有效性的影響——多重中介方法[J].管理科學(xué),2013,26(3):65-76.

[26] Detert J R, Trevino L K, Sweitzer V L. Moral disengagement in ethical decision making: a study of antecedents and outcomes[J]. Journal of Applied Psychology, 2008, 93(2): 374-391.