甄 杰，謝宗曉，董坤祥

1 重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067

2 中國金融認(rèn)證中心 信息安全服務(wù)部，北京 100054

3 山東財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，濟(jì)南 250014

引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，企業(yè)的正常運(yùn)轉(zhuǎn)和市場(chǎng)競(jìng)爭(zhēng)力的提升愈發(fā)依賴于信息技術(shù)和信息系統(tǒng)的支持，信息已然成為企業(yè)的關(guān)鍵資產(chǎn)和重要資源。然而，頻發(fā)的信息安全事件卻時(shí)常將企業(yè)置于各種風(fēng)險(xiǎn)和威脅之中，信息安全也日漸成為企業(yè)高度關(guān)注的管理問題[1]。企業(yè)的信息安全風(fēng)險(xiǎn)由外部威脅(如黑客入侵、網(wǎng)絡(luò)間諜活動(dòng))和內(nèi)部威脅構(gòu)成。其中，70%～80%的信息安全風(fēng)險(xiǎn)是由員工有意或無意的違規(guī)行為引發(fā)的[2]。因此，員工的信息安全違規(guī)行為已經(jīng)超越外部威脅成為企業(yè)信息安全管理中需要重點(diǎn)解決的問題[3]。

事實(shí)上，員工的信息安全違規(guī)行為往往會(huì)對(duì)企業(yè)的信息安全管理造成巨大威脅[4]，這是因?yàn)樵傧冗M(jìn)的信息技術(shù)和管理信息系統(tǒng)，如果沒有規(guī)范操作作為基本保障，其安全性也會(huì)大大折扣[5]。也就是說，即使企業(yè)采納了先進(jìn)的信息技術(shù)或部署了完備的管理信息系統(tǒng)，員工如果沒有遵守信息安全管理制度(如重要數(shù)據(jù)備份、安全的操作規(guī)程等)，也很容易引發(fā)嚴(yán)重的信息安全風(fēng)險(xiǎn)或事件。一般來說，制定科學(xué)合理的信息安全管理制度[6]并嚴(yán)格的執(zhí)行是企業(yè)信息安全的重要保證[7]，但是企業(yè)如果不能有效減少員工的信息安全違規(guī)行為，也就不能有效阻斷頻發(fā)的信息安全事件[8]。因此，探討員工信息安全違規(guī)的關(guān)鍵影響因素和作用機(jī)制，對(duì)于企業(yè)預(yù)防和管理員工的信息安全違規(guī)行為具有重要的理論和現(xiàn)實(shí)意義。

1相關(guān)研究評(píng)述

近年來，借鑒犯罪學(xué)、社會(huì)心理學(xué)、健康學(xué)和組織行為學(xué)等領(lǐng)域的相關(guān)理論探討員工的信息安全行為是國內(nèi)外行為信息安全研究的熱點(diǎn)[9]，涉及的主要研究問題包括：①企業(yè)如何確保員工遵守其內(nèi)部的信息安全管理策略[10]；②企業(yè)如何激發(fā)員工的信息安全保護(hù)行為；③企業(yè)如何設(shè)計(jì)相應(yīng)的懲罰措施，以形成對(duì)員工信息安全違規(guī)行為的有效威懾[11]；④員工產(chǎn)生信息安全違規(guī)行為的原因。盡管圍繞上述問題的探討取得一定研究成果，但是已有研究存在以下3個(gè)局限。

(1)研究結(jié)論不統(tǒng)一。IFINEDO[12]研究發(fā)現(xiàn)，感知威脅嚴(yán)重性對(duì)員工的信息安全遵守行為有正向影響。相反地，VANCE et al.[13]則證明，感知威脅嚴(yán)重性對(duì)員工的信息安全遵守行為有負(fù)向影響。這一研究結(jié)論的矛盾，在很大程度上是由于兩項(xiàng)研究使用同一理論中的變量測(cè)量維度不一致造成的。由此可見，行為信息安全管理領(lǐng)域內(nèi)的相關(guān)研究還存在較大的改進(jìn)空間。

(2)精英偏見。已有研究主要基于信息安全專家和高層管理團(tuán)隊(duì)的思維模式，從而導(dǎo)致研究結(jié)論往往出現(xiàn)精英偏見[1]。換句話說，信息安全專家和高層管理人員代表了企業(yè)的高層管理，即使他們能夠提供員工信息安全行為的有益見解，但是他們幾乎接觸或意識(shí)不到一般組織員工感知到的管理信息系統(tǒng)的脆弱性和信息安全管理帶給他們的困惑[14]。因此，相關(guān)研究也就無法對(duì)員工的信息安全保護(hù)及信息安全違規(guī)行為做出全面、充分的解讀和分析。

(3)系統(tǒng)分析員工信息安全違規(guī)影響因素和作用過程的研究比較匱乏[15]。已有研究較多探討企業(yè)如何通過嚴(yán)厲的懲罰措施來威懾員工[16]，進(jìn)而減少信息安全違規(guī)行為的發(fā)生，但是較少涉及對(duì)員工信息安全違規(guī)(行為)意愿的影響機(jī)制的分析，如內(nèi)在動(dòng)機(jī)、影響因素和作用過程[17]。只有SIPONEN et al.[18]運(yùn)用中和技術(shù)理論分析員工信息安全違規(guī)意愿的形成過程，即員工用否認(rèn)責(zé)任、否認(rèn)傷害等6種中和技巧來說服自己，以做出信息安全違規(guī)行為；D′ARCY et al.[7]從員工遵守信息安全管理策略會(huì)產(chǎn)生“額外”工作負(fù)荷的角度，解讀員工的道德推脫對(duì)信息安全違規(guī)行為的影響。然而，上述研究有兩個(gè)明顯的局限性：①忽視了信息安全意識(shí)的作用。也就是說，上述兩項(xiàng)研究沒有結(jié)合企業(yè)信息安全管理的實(shí)踐，沒有探討員工信息安全意識(shí)的影響和作用，因此也就沒有辦法解答為什么越來越多的國內(nèi)外企業(yè)非常重視開展或推動(dòng)員工的信息安全意識(shí)培訓(xùn)；②在行為信息安全的管理研究中，沒有充分考慮“人”的正向能動(dòng)可能性。換句話講，員工態(tài)度和行為的轉(zhuǎn)變(如執(zhí)行一個(gè)“壞”的工作行為)需要經(jīng)歷態(tài)度和行為的轉(zhuǎn)變過程，這個(gè)轉(zhuǎn)變過程需要有合理和充分的理論分析和解讀。只有這樣，才能拓展行為信息安全相關(guān)理論的解釋范疇。

信息安全違規(guī)行為包括不遵守信息安全管理制度的所有信息資源、技術(shù)、系統(tǒng)的不規(guī)范使用行為?；谏鲜龇治觯狙芯繉?duì)員工信息安全違規(guī)行為的影響機(jī)制展開分析，基于應(yīng)對(duì)理論和道德推脫理論構(gòu)建信息安全壓力、道德推脫、信息安全意識(shí)和信息安全違規(guī)意愿之間的關(guān)系模型，采用問卷調(diào)查方法對(duì)研究模型進(jìn)行驗(yàn)證，以期能夠?yàn)槠髽I(yè)有效減少和控制員工的信息安全違規(guī)行為提供有針對(duì)性的對(duì)策和建議。

2理論基礎(chǔ)和研究假設(shè)

本研究的理論基礎(chǔ)是應(yīng)對(duì)理論和道德推脫理論，應(yīng)對(duì)理論主要用來分析員工道德推脫的前因，道德推脫理論主要用來解釋員工如何說服自身的內(nèi)在道德調(diào)控系統(tǒng)以允許信息安全違規(guī)行為的發(fā)生。

2.1應(yīng)對(duì)理論

應(yīng)對(duì)理論詳細(xì)描述了個(gè)體心理壓力的認(rèn)知和行為過程，因此該理論為員工信息安全壓力的產(chǎn)生，即員工為遵守信息安全管理制度所產(chǎn)生的壓力提供了一個(gè)合適的理論分析框架[7]。具體來說，應(yīng)對(duì)理論主要分析個(gè)體面對(duì)壓力時(shí)經(jīng)歷的應(yīng)對(duì)過程和采取的應(yīng)對(duì)策略，以及這些策略為何產(chǎn)生、有何作用[19]。該理論指出，應(yīng)對(duì)過程首先要進(jìn)行壓力評(píng)估，主要包括首要評(píng)估和次要評(píng)估兩個(gè)相關(guān)聯(lián)的評(píng)估環(huán)節(jié)。在首要評(píng)估環(huán)節(jié)，個(gè)體會(huì)評(píng)價(jià)所面臨事件的關(guān)聯(lián)性，并判斷事件是否會(huì)帶來壓力；在次要評(píng)估環(huán)節(jié)，個(gè)體會(huì)判斷對(duì)該壓力事件的駕馭能力。經(jīng)過上述兩個(gè)評(píng)估環(huán)節(jié)，個(gè)體會(huì)形成對(duì)該事件的應(yīng)對(duì)策略[20]。與此相對(duì)應(yīng)，本研究關(guān)注的信息安全壓力是員工經(jīng)過首要評(píng)估和次要評(píng)估產(chǎn)生的結(jié)果，它是指為了滿足企業(yè)信息安全管理要求，需要消耗員工認(rèn)知資源和能力所引發(fā)的一種心理壓力。與具有挑戰(zhàn)屬性的工作壓力不同，信息安全壓力往往由員工為了履行工作職責(zé)而使用信息技術(shù)或操作信息系統(tǒng)的工作負(fù)荷過載、復(fù)雜性和不確定性所造成[5]。因此，員工的信息安全壓力更多的是一種具有阻斷屬性的工作壓力。

在評(píng)估結(jié)果的具體應(yīng)對(duì)策略上存在多種不同的反應(yīng)分類，但是應(yīng)用最多的應(yīng)對(duì)策略分類是問題聚焦和情緒聚焦。問題聚焦的應(yīng)對(duì)策略包括直接努力或改變所面臨的壓力環(huán)境。在特定的工作環(huán)境下，基于問題聚焦的努力消除障礙的同時(shí)，可以增加人們的工作知識(shí)和技能。情緒聚焦的應(yīng)對(duì)策略包括改變思考或體驗(yàn)壓力的方式，如轉(zhuǎn)移注意力和逃離特定的壓力情景[21]。也就是說，情緒聚焦的應(yīng)對(duì)策略無法改變客觀存在的壓力環(huán)境[22]，而問題聚焦的應(yīng)對(duì)策略可以改變特定的壓力環(huán)境[23]?；谏鲜龇治觯畔⑾到y(tǒng)領(lǐng)域的學(xué)者已經(jīng)采用該理論來分析相關(guān)問題[24]。已有研究已經(jīng)識(shí)別了幾種不同的應(yīng)對(duì)策略，包括精神放松技巧、修改工作任務(wù)以及創(chuàng)造或適應(yīng)技術(shù)。同時(shí)，還有研究表明，當(dāng)評(píng)估結(jié)果威脅到個(gè)人發(fā)展或工作推進(jìn)時(shí)，如果員工判斷他們對(duì)于這些壓力情景的控制非常有限，則他們傾向于采用情緒聚焦的應(yīng)對(duì)策略[25]。

2.2道德推脫理論

BANDURA[26]在社會(huì)認(rèn)知理論的框架下提出了道德推脫的概念，用于解讀個(gè)人的不道德行為。道德推脫是指?jìng)€(gè)體會(huì)產(chǎn)生一種特定的認(rèn)知傾向，包括重新定義自己的不道德行為以使其傷害顯得更小[27]，并最大限度地減少自己在某項(xiàng)不道德行為后果中的責(zé)任[28]。因此，道德推脫理論往往用于解釋為什么人們?cè)诿髦e(cuò)誤的情況下，仍然會(huì)做出某些錯(cuò)誤行為[29]。該理論認(rèn)為，當(dāng)個(gè)人在道德上采取推脫時(shí)，他就切斷了該行為與其有害后果間的關(guān)系[30]。

組織領(lǐng)域的相關(guān)研究已經(jīng)證明，道德推脫為分析員工的消極工作、違規(guī)、不道德行為提供了一種全新視角[31]。當(dāng)某種違規(guī)行為產(chǎn)生于組織時(shí)，員工往往會(huì)將違規(guī)行為造成的傷害進(jìn)行去人性化的認(rèn)知和解讀，從而使人們擺脫了因違反自身道德標(biāo)準(zhǔn)而產(chǎn)生的內(nèi)疚和自責(zé)情緒，心安理得地做出不道德行為[32]?；谏鲜龇治?，本研究采用道德推脫理論分析員工在做出信息安全違規(guī)行為時(shí)的自我認(rèn)知調(diào)整和自我說服心理過程。

2.3研究假設(shè)

2.3.1信息安全壓力對(duì)違規(guī)意愿的直接效應(yīng)

在企業(yè)的信息安全管理中，當(dāng)員工嚴(yán)格按照信息安全管理制度執(zhí)行日常工作任務(wù)時(shí)，有些員工會(huì)感知到信息安全壓力，即遵守信息安全管理制度的工作任務(wù)負(fù)荷過重、管理要求復(fù)雜難懂、安全要求不夠具體明確，該過程是應(yīng)對(duì)理論的首先評(píng)估過程[5]。已有研究表明，員工往往會(huì)將負(fù)面情緒(如時(shí)間的浪費(fèi)、精力的耗費(fèi)和挫折)歸因于為了滿足崗位信息安全需求而付出的“額外”努力[7]。與此同時(shí)，員工也會(huì)感知到他們對(duì)于企業(yè)的信息安全管理制度的執(zhí)行要求沒有任何的控制權(quán)或話語權(quán)，該過程是應(yīng)對(duì)理論的次要評(píng)估過程。也就是說，耗費(fèi)員工時(shí)間和精力的信息安全操作步驟增加了員工的工作負(fù)擔(dān)，為員工帶來了信息安全壓力，員工自覺執(zhí)行信息安全管理制度的可能性就會(huì)下降[33]。尤其是在企業(yè)的信息安全管理制度比較復(fù)雜的情況下，員工只有兩種選擇：第一，花費(fèi)大量的時(shí)間和精力充分地理解復(fù)雜的管理程序和繁瑣的技術(shù)要求，這樣做可能會(huì)在一定程度上降低日常工作的進(jìn)度；第二，不遵守企業(yè)的信息安全管理制度，冒著一定風(fēng)險(xiǎn)采取信息安全違規(guī)行為，而不會(huì)對(duì)工作進(jìn)度產(chǎn)生太大影響。因此，本研究提出假設(shè)。

H1信息安全壓力對(duì)員工的信息安全違規(guī)意愿有正向影響。

2.3.2道德推脫的中介作用

信息安全壓力會(huì)引發(fā)員工的信息安全違規(guī)行為[3]，然而信息安全壓力對(duì)違規(guī)(行為)意愿的具體作用機(jī)制還有待于更加深入的探討。頻發(fā)的員工信息安全違規(guī)行為顯然違反了企業(yè)信息安全管理制度，背離了職業(yè)道德準(zhǔn)則。員工對(duì)規(guī)章制度的畏懼心理和對(duì)違規(guī)懲罰的恐懼心理，以及內(nèi)心道德準(zhǔn)則的自我驅(qū)使都沒有促使其遵守企業(yè)的信息安全管理制度[9]。這就說明，一方面，道德推脫使員工的信息安全違規(guī)行為與外部懲罰之間失去聯(lián)系，此時(shí)的自我道德調(diào)控過程已經(jīng)失效[34]，員工可以擺脫違規(guī)行為造成的內(nèi)疚和自責(zé)；另一方面，當(dāng)員工的信息安全違規(guī)不是一個(gè)偶發(fā)事件時(shí)，即信息安全違規(guī)時(shí)常發(fā)生于企業(yè)和團(tuán)隊(duì)的內(nèi)部，此時(shí)員工往往會(huì)進(jìn)行責(zé)任分散，以推脫應(yīng)當(dāng)承擔(dān)的責(zé)任[34]。

整體而言，信息安全壓力的存在意味著員工遵守信息安全管理制度有一定難度，當(dāng)員工沒有辦法理解其重要性時(shí)，信息安全管理制度對(duì)于企業(yè)生存和發(fā)展的重要性就會(huì)大打折扣[7]。一般來說，信息安全壓力會(huì)對(duì)員工的正常工作表現(xiàn)產(chǎn)生影響[7]。例如，員工遵守企業(yè)信息安全管理制度花費(fèi)的時(shí)間，導(dǎo)致其不能及時(shí)完成工作任務(wù)或通過加班來完成工作任務(wù)。然而，一旦面臨工作任務(wù)重或工作周期短的情況，通過拖延或加班沒有辦法完成既定工作。此時(shí)，這種累積的信息安全壓力將會(huì)觸發(fā)員工的負(fù)面行為反應(yīng)[5]。事實(shí)上，員工受到的工作規(guī)范約束、接受的崗前培訓(xùn)和職業(yè)培訓(xùn)，以及內(nèi)心具備的職業(yè)道德又不允許員工輕易做出信息安全違規(guī)行為。此時(shí)，信息安全違規(guī)行為的發(fā)生需要員工完成道德推脫的過程。進(jìn)一步，員工的道德推脫通過道德辯護(hù)、責(zé)備歸因、責(zé)任轉(zhuǎn)移和責(zé)任分散等相互關(guān)聯(lián)的機(jī)制產(chǎn)生作用[31]，這就助推了員工不同類型信息安全違規(guī)行為的發(fā)生。綜上，員工的信息安全壓力通過道德推脫的過程機(jī)制最終影響信息安全違規(guī)意愿。因此，本研究提出假設(shè)。

H2道德推脫在信息安全壓力與員工信息安全違規(guī)意愿之間起中介作用，即信息安全壓力通過道德推脫間接正向影響員工信息安全違規(guī)意愿。

2.3.3信息安全意識(shí)對(duì)信息安全壓力與道德推脫的調(diào)節(jié)作用

信息安全領(lǐng)域的研究表明，員工違規(guī)行為導(dǎo)致的信息安全事件已經(jīng)成為企業(yè)信息安全管理的主要威脅[35]，提高員工的信息安全意識(shí)尤為重要[36]，這也是國內(nèi)外眾多企業(yè)開展信息安全意識(shí)培訓(xùn)的原因[37]。信息安全論壇(Information security forum，ISF)將信息安全意識(shí)定義為組織所有員工理解信息安全的重要性，清楚組織所適用的安全級(jí)別[38]，知悉并履行個(gè)人在日常工作中的安全職責(zé)[39]。

如前所述，員工的信息安全壓力水平越高，越能夠促使其進(jìn)行道德推脫。但信息安全壓力的產(chǎn)生也存在緩解條件和抑制因素，即信息安全意識(shí)[40]。員工高水平的信息安全意識(shí)有助于抑制信息安全壓力的產(chǎn)生，從而進(jìn)一步阻礙道德推脫。DINEV et al.[41]證明員工的信息安全意識(shí)越高，越有利于企業(yè)信息資源的保護(hù)；PUHAKAINEN et al.[42]證明信息安全意識(shí)培訓(xùn)可以顯著提高員工的信息安全意識(shí)，提高員工遵守信息安全管理制度的能力，這也在某種程度上減輕了員工的信息安全壓力；謝宗曉等[43]驗(yàn)證了員工信息安全意識(shí)對(duì)信息安全管理制度有效性的積極影響。由此可見，員工的信息安全意識(shí)越強(qiáng)，越能夠阻礙信息安全壓力的產(chǎn)生，進(jìn)而減少道德推脫過程的進(jìn)行。因此，本研究提出假設(shè)。

H3信息安全意識(shí)負(fù)向調(diào)節(jié)信息安全壓力與道德推脫之間的關(guān)系，即員工的信息安全意識(shí)水平越高，信息安全壓力對(duì)道德推脫的影響越弱。

2.3.4信息安全意識(shí)對(duì)道德推脫與員工信息安全違規(guī)意愿的調(diào)節(jié)作用

道德推脫與員工信息安全違規(guī)意愿密切相關(guān)，然而不同員工在信息安全違規(guī)方面的表現(xiàn)卻存在很大差異[7]。由前述分析可知，道德推脫能夠切斷員工信息安全違規(guī)行為與其內(nèi)在道德標(biāo)準(zhǔn)的關(guān)聯(lián)，使員工不會(huì)因?yàn)樾畔踩`規(guī)而感到自責(zé)和內(nèi)疚[44]。在企業(yè)信息安全管理中，如果員工具有強(qiáng)烈的信息安全意識(shí)，這就意味著員工理解并熟知日常工作中的信息安全管理制度，并對(duì)自身的工作職責(zé)有著清楚的認(rèn)知[45]。此時(shí)，員工的道德推脫過程將會(huì)受到信息安全意識(shí)的“干擾”，不能順利完成，道德推脫與信息安全違規(guī)意愿之間的關(guān)系就會(huì)受到抑制。因此，本研究提出假設(shè)。

H4信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫與信息安全違規(guī)意愿之間的關(guān)系，即員工的信息安全意識(shí)水平越高，道德推脫對(duì)信息安全違規(guī)意愿的影響越弱。

2.3.5被調(diào)節(jié)的中介作用

在前述分析中，一方面，基于應(yīng)對(duì)理論和道德推脫理論的分析發(fā)現(xiàn)，員工的信息安全壓力通過道德推脫的中介機(jī)制影響信息安全違規(guī)意愿；另一方面，基于信息安全意識(shí)的相關(guān)研究可知，高水平的信息安全意識(shí)可以抑制信息安全壓力與道德推脫、道德推脫與信息安全違規(guī)意愿之間的關(guān)系。綜合這兩方面的論述，信息安全意識(shí)可能會(huì)對(duì)信息安全壓力-道德推脫-信息安全違規(guī)意愿的整個(gè)中介機(jī)制起調(diào)節(jié)作用，換句話講，可能存在被調(diào)節(jié)的中介效應(yīng)。

員工的高信息安全意識(shí)水平為信息安全壓力的產(chǎn)生提供了某種抑制條件，員工由此有更小的可能性將信息安全壓力轉(zhuǎn)化為道德推脫的過程；而員工道德推脫水平的降低，也降低了員工的信息安全違規(guī)意愿。反之，員工的信息安全意識(shí)水平較低時(shí)，便會(huì)有較高的信息安全壓力感知，這就增加了員工道德推脫的可能性，進(jìn)而導(dǎo)致較高水平的員工信息安全違規(guī)意愿。例如，微軟公司在幫助客戶建立信息安全方案時(shí)指出，建立信息安全意識(shí)培訓(xùn)方案的主要目標(biāo)是通過強(qiáng)化大家認(rèn)可的、與公司業(yè)務(wù)有關(guān)的安全活動(dòng)，即降低產(chǎn)生信息安全壓力的可能，從而改變?nèi)w員工的行為[39]。企業(yè)信息安全控制的效果依賴于員工的信息安全意識(shí)[35]，信息安全意識(shí)的提高有利于員工執(zhí)行信息安全管理制度以及建立重視信息安全管理的組織文化[46]。上述研究都在一定程度上驗(yàn)證了信息安全壓力與員工信息安全違規(guī)意愿之間存在被調(diào)節(jié)的中介效應(yīng)。因此，本研究提出假設(shè)。

H5信息安全意識(shí)負(fù)向調(diào)節(jié)信息安全壓力通過道德推脫影響員工信息安全違規(guī)意愿的中介效應(yīng)，即員工信息安全意識(shí)越強(qiáng)，信息安全壓力通過道德推脫影響員工信息安全違規(guī)意愿的中介效應(yīng)越弱。

綜上所述，提出研究模型，見圖1。與已有相關(guān)研究[5,7]相比，本研究模型有兩點(diǎn)創(chuàng)新：①在企業(yè)信息安全管理情景下，基于應(yīng)對(duì)理論的兩個(gè)評(píng)估環(huán)節(jié)，明確了員工信息安全違規(guī)的主要影響因素是信息安全壓力，進(jìn)而構(gòu)建信息安全壓力-道德推脫-信息安全違規(guī)意愿這一影響路徑；②識(shí)別了信息安全意識(shí)的調(diào)節(jié)效應(yīng)。這就意味著，明確了信息安全管理情景下道德推脫理論和應(yīng)對(duì)理論的限制條件和適用范圍，這對(duì)于既定框架下深入理解員工的信息安全違規(guī)行為有重要作用。上述兩點(diǎn)創(chuàng)新對(duì)于明確企業(yè)信息安全管理中員工的重要性，從而更好地從行為信息安全的視角解決企業(yè)信息安全管理中“人”的問題有重要意義。

圖1研究模型Figure 1Research Model

3研究方法

3.1樣本選取和數(shù)據(jù)收集

本研究采用問卷調(diào)查的方法進(jìn)行數(shù)據(jù)收集，問卷調(diào)研對(duì)象是中國通過信息安全管理體系認(rèn)證(GB/T 22080-2008/ISO/IEC 27001:2005)的企業(yè)的內(nèi)部員工，說明被訪者的工作單位正在實(shí)施信息安全管理制度，調(diào)研對(duì)象的工作環(huán)境符合本研究的情景要求。問卷調(diào)研過程依托專業(yè)的調(diào)研平臺(tái)，采用在線填寫問卷的形式，調(diào)研時(shí)間為2017年3月1日至2017年3月31日。問卷采用Likert 7點(diǎn)評(píng)分法，1為非常不同意，7為非常同意。

為了保證所填寫問卷的有效性，對(duì)問卷的收集進(jìn)行必要的控制。例如，每個(gè)IP地址只能對(duì)應(yīng)一份有效問卷進(jìn)入數(shù)據(jù)的分析過程；填寫不完整的問卷不能提交等。在此基礎(chǔ)上，對(duì)回收的356份問卷進(jìn)行篩選，剔除惡意回答、前后不一致等的38份無效問卷后，最終得到有效問卷318份，問卷的有效回收率為89.326%。被訪者的描述性統(tǒng)計(jì)結(jié)果見表1。

表1樣本描述性統(tǒng)計(jì)結(jié)果Table 1Results for Descriptive Statistics of the Samples

3.2變量及其測(cè)量

為了保證測(cè)量工具的信度和效度，本研究盡量采用已有研究中被廣泛使用和驗(yàn)證的研究量表，并結(jié)合企業(yè)信息安全管理這一特定情景進(jìn)行調(diào)整。對(duì)信息安全壓力的測(cè)量，根據(jù)D′ARCY et al.[7]和LEE et al.[5]的量表修改得到，包括3個(gè)題項(xiàng)，涉及工作負(fù)荷量、復(fù)雜性和不確定性3個(gè)維度；對(duì)道德推脫的測(cè)量，根據(jù)BANDURA[28]、MOORE et al.[32]和DETERT et al.[47]的量表改編，概括為3個(gè)題項(xiàng)，涉及道德辯護(hù)、責(zé)任轉(zhuǎn)移和忽視結(jié)果3個(gè)維度；對(duì)信息安全意識(shí)的測(cè)量，根據(jù)SPEARS et al.[48]和D′ARCY et al.[49]的量表改編，包括3個(gè)題項(xiàng)；對(duì)員工信息安全違規(guī)意愿的測(cè)量題項(xiàng)來自于SIPONEN et al.[18]和CHENG et al.[6]的量表，采用密碼管理、工作站注銷和用移動(dòng)設(shè)備拷貝數(shù)據(jù)3種情景模擬的方式，考察員工的違規(guī)意愿。

在控制變量方面，由于不同行業(yè)的信息化發(fā)展水平以及信息系統(tǒng)的采納程度不同，進(jìn)而造成不同行業(yè)中企業(yè)對(duì)于員工信息安全知識(shí)需求的不同。組織員工從事工作的類型會(huì)對(duì)其信息安全行為有影響，如市場(chǎng)營銷和數(shù)據(jù)管理兩種工作類型對(duì)于員工信息安全行為的要求完全不同。教育程度會(huì)對(duì)員工的認(rèn)知和學(xué)習(xí)領(lǐng)悟能力有一定影響。一般來說，員工的年齡越大，工作經(jīng)驗(yàn)也就越豐富，對(duì)于信息安全行為會(huì)有影響?；谏鲜龇治觯狙芯繉⑵髽I(yè)員工所屬行業(yè)、工作類型、教育程度、年齡和性別作為控制變量。

本研究問卷量表的測(cè)量題項(xiàng)見表2。

4實(shí)證結(jié)果和分析

4.1共同方法偏差

基于問卷調(diào)查的實(shí)證研究中，如果觀測(cè)變量由相同的被試者填答容易導(dǎo)致共同方法偏差問題。為了排除共同方法偏差的影響，本研究在統(tǒng)計(jì)控制環(huán)節(jié)采用Harman單因素檢驗(yàn)的方法進(jìn)行檢驗(yàn)[50]。檢驗(yàn)結(jié)果表明，第1個(gè)因子的方差解釋度為38.933%，小于40%，說明研究數(shù)據(jù)不存在共同方法偏差問題，可以進(jìn)行后續(xù)的數(shù)據(jù)分析工作。

4.2信度和效度檢驗(yàn)

本研究對(duì)量表的信度和效度進(jìn)行檢驗(yàn)，主要采用組合信度(CR)和項(xiàng)目載荷評(píng)價(jià)量表的信度；通過驗(yàn)證性因子分析，檢驗(yàn)測(cè)量量表的結(jié)構(gòu)效度，用潛變量平均變異萃取量(AVE)的平方根是否大于潛變量之間的相關(guān)值檢驗(yàn)區(qū)分效度，用AVE評(píng)價(jià)量表的聚合效度。測(cè)量量表的不同指標(biāo)見表2和表3。

由表2可知，信息安全壓力、道德推脫、信息安全意識(shí)和信息安全違規(guī)意愿的組合信度分別為0.931、0.882、0.860和0.909，4個(gè)潛變量的Cronbach′sα值分別為0.889、0.802、0.758和0.849，均大于0.700的基準(zhǔn)值。上述兩個(gè)指標(biāo)說明測(cè)量量表具有較好的信度。由表2可知，4個(gè)潛變量的AVE分別為0.818、0.714、0.672和0.769，均大于0.500的基準(zhǔn)值；每個(gè)潛變量所包含測(cè)量題項(xiàng)的因子載荷均在0.700的基準(zhǔn)值之上，表明量表具有較好的結(jié)構(gòu)效度。對(duì)交叉載荷進(jìn)行檢驗(yàn)的結(jié)果見表3，因子載荷在所屬潛變量一列的值要明顯高于其他潛變量的值，表明本研究測(cè)量模型具有較高的聚合效度和區(qū)分效度。

表2量表的信度和效度Table 2Reliability and Validity of Scales

表3交叉載荷檢驗(yàn)結(jié)果Table 3Test Results for Cross Loading

4.3描述性統(tǒng)計(jì)

信息安全壓力、道德推脫、信息安全意識(shí)和信息安全違規(guī)意愿4個(gè)潛變量的平均值、標(biāo)準(zhǔn)差和相關(guān)系數(shù)見表4。由表4可知，信息安全壓力與道德推脫顯著正相關(guān)，r=0.747，p<0.010；道德推脫與信息安全違規(guī)意愿顯著正相關(guān)，r=0.542，p<0.010；信息安全壓力與信息安全違規(guī)意愿顯著正相關(guān)，r=0.645，p<0.010；道德推脫與信息安全意識(shí)顯著負(fù)相關(guān)，r=-0.722，p<0.010；信息安全意識(shí)與信息安全違規(guī)意愿顯著負(fù)相關(guān)，r=-0.712，p<0.010。這些相關(guān)性與理論預(yù)期的關(guān)系相一致，為驗(yàn)證研究假設(shè)提供了初步證據(jù)。

表4均值、標(biāo)準(zhǔn)差和相關(guān)系數(shù)Table 4Mean, Standard Deviation and Correlation Coefficients

注：**為p<0.010，下同。

表5回歸分析結(jié)果Table 5Results of Regression Analysis

注：*為p<0.050，***為p<0.001，下同。

4.4研究假設(shè)檢驗(yàn)

本研究進(jìn)行逐步線性回歸，考慮到需要進(jìn)行調(diào)節(jié)效應(yīng)檢驗(yàn)，在進(jìn)行回歸分析之前對(duì)控制變量以外的所有變量進(jìn)行中心化處理，具體回歸分析結(jié)果見表5。表5中，模型1以道德推脫為因變量，以控制變量為自變量；模型2在模型1的基礎(chǔ)上，增加信息安全壓力為自變量，用來檢驗(yàn)信息安全壓力與道德推脫之間的關(guān)系；模型3在模型2的基礎(chǔ)上，增加信息安全意識(shí)以及信息安全壓力與信息安全意識(shí)的交互項(xiàng)為自變量，檢驗(yàn)信息安全意識(shí)對(duì)信息安全壓力與道德推脫之間關(guān)系的調(diào)節(jié)作用。模型4以信息安全違規(guī)意愿為因變量，以控制變量為自變量，模型5在模型4的基礎(chǔ)上，增加信息安全壓力為自變量，模型6在模型5的基礎(chǔ)上增加道德推脫為自變量，模型4、模型5和模型6用來檢驗(yàn)道德推脫的中介效應(yīng)。模型7以信息安全違規(guī)意愿為因變量，自變量包括控制變量、信息安全壓力、道德推脫、信息安全意識(shí)以及信息安全壓力與信息安全意識(shí)的交互項(xiàng)、道德推脫與信息安全意識(shí)的交互項(xiàng)，檢驗(yàn)信息安全意識(shí)的調(diào)節(jié)作用。同時(shí)，模型3和模型7也是檢驗(yàn)被調(diào)節(jié)的中介效應(yīng)的重要步驟。

(1)檢驗(yàn)H1。模型5的回歸結(jié)果表明，信息安全壓力與信息安全違規(guī)意愿顯著正相關(guān)，β=0.518，p<0.001，ΔR2=0.216，大于0，表示模型的解釋力增強(qiáng)。因此，H1得到驗(yàn)證。

(2)檢驗(yàn)H2。信息安全壓力與信息安全違規(guī)意愿顯著正相關(guān)，模型2的回歸結(jié)果表明，信息安全壓力與道德推脫顯著正相關(guān)，β=0.589，p<0.001。以信息安全違規(guī)意愿為因變量、以信息安全壓力和道德推脫為自變量進(jìn)行回歸分析，模型6的回歸結(jié)果表明，信息安全壓力與信息安全違規(guī)意愿顯著正相關(guān)，β=0.434，p<0.001；道德推脫與信息安全違規(guī)意愿顯著正相關(guān)，β=0.178，p<0.050。對(duì)比模型5與模型6的回歸結(jié)果可知，信息安全壓力回歸系數(shù)由0.518降至0.434，說明信息安全壓力對(duì)信息安全違規(guī)意愿的影響通過道德推脫的部分中介機(jī)制產(chǎn)生作用，H2得到驗(yàn)證。

(3)檢驗(yàn)H3和H4。模型3的回歸結(jié)果表明，信息安全壓力與信息安全意識(shí)的交互項(xiàng)系數(shù)為-0.516，p<0.001，說明信息安全意識(shí)對(duì)信息安全壓力與道德推脫之間關(guān)系有負(fù)向調(diào)節(jié)作用，H3得到驗(yàn)證；模型7的回歸結(jié)果表明，道德推脫與信息安全意識(shí)的交互項(xiàng)系數(shù)為-0.422，p<0.010，說明信息安全意識(shí)對(duì)道德推脫與信息安全違規(guī)意愿之間關(guān)系有負(fù)向調(diào)節(jié)作用，H4得到驗(yàn)證。為了更加準(zhǔn)確判斷調(diào)節(jié)效應(yīng)的顯著性，以平均數(shù)加減標(biāo)準(zhǔn)差為標(biāo)準(zhǔn)，將信息安全意識(shí)劃分為高、低兩個(gè)水平，然后進(jìn)行簡單斜率分析，結(jié)果見圖2。由圖2可知，在高信息安全意識(shí)水平下，信息安全壓力與道德推脫以及道德推脫與信息安全違規(guī)意愿的關(guān)聯(lián)性均較強(qiáng)，簡單斜率分別為0.764(p<0.010)和0.568(p<0.010)；在低信息安全意識(shí)水平下，信息安全壓力與道德推脫以及道德推脫與信息安全違規(guī)意愿的關(guān)聯(lián)性較弱，簡單斜率分別為0.143(p>0.050)和0.087(p>0.050)。因此，H3和H4進(jìn)一步得到驗(yàn)證。

(4)檢驗(yàn)H5。本研究采用EDWARDS et al.[51]提出的被調(diào)節(jié)的路徑分析方法檢驗(yàn)H5(即被調(diào)節(jié)的中介效應(yīng))，采用Spss的Process插件Bootstrap程序進(jìn)行檢驗(yàn)[52]，設(shè)定Bootstrap的次數(shù)為5 000次，置信區(qū)間為95%[53]，運(yùn)算出不同信息安全意識(shí)水平下路徑系數(shù)、標(biāo)準(zhǔn)誤差和中介效應(yīng)的置區(qū)間，結(jié)果見表6。

由表6可知，在低信息安全意識(shí)水平下，間接效應(yīng)在95%水平上的置信區(qū)間包含0，即信息安全壓力通過道德推脫影響信息安全違規(guī)意愿的作用不顯著，β=-0.071，p>0.050；在高信息安全意識(shí)水平下，間接效應(yīng)在95%水平上的置信區(qū)間不包含0，系數(shù)為-0.237，p<0.010，即信息安全壓力通過道德推脫影響信息安全違規(guī)意愿的作用顯著。也就是說，隨著信息安全意識(shí)水平的提升，道德推脫的中介作用逐漸顯著，H5得到驗(yàn)證。

圖2信息安全意識(shí)的調(diào)節(jié)作用Figure 2Moderating Effect of Information Security Awareness

表6被調(diào)節(jié)的中介效應(yīng)檢驗(yàn)結(jié)果Table 6Test Results for Moderating Mediation Effects

5結(jié)論

本研究以應(yīng)對(duì)理論和道德推脫理論為基礎(chǔ)，以中國通過信息安全管理體系認(rèn)證企業(yè)(ISO/IEC 27001)的員工 為對(duì)象，采用問卷調(diào)查方法，對(duì)信息安全壓力與員工信息安全違規(guī)意愿之間的作用機(jī)制進(jìn)行研究，研究結(jié)果如下。

(1)信息安全壓力對(duì)員工信息安全違規(guī)意愿有顯著正向影響，并且道德推脫在信息安全壓力與信息安全違規(guī)意愿之間起中介作用。員工信息安全壓力越大，其信息安全違規(guī)的意愿越強(qiáng)烈。這與D′ARCY et al.[7]和LEE et al.[5]在組織管理情景下得出的信息安全壓力與反生產(chǎn)行為/不道德組織行為關(guān)系的研究結(jié)論一致。企業(yè)內(nèi)部諸多信息安全的要求造成了員工遵守信息安全管理制度的壓力，這會(huì)加大員工信息安全違規(guī)的可能性。在此過程中，道德推脫過程切斷了違規(guī)行為與負(fù)面后果(如愧疚和自責(zé))之間的關(guān)系，加大了發(fā)生信息安全違規(guī)行為的可能性。

(2)信息安全意識(shí)對(duì)信息安全壓力與道德推脫、道德推脫與信息安全違規(guī)意愿之間的關(guān)系有負(fù)向調(diào)節(jié)作用。說明員工的信息安全意識(shí)越高，信息安全壓力對(duì)道德推脫的影響越弱，道德推脫與信息安全違規(guī)意愿之間的關(guān)系越弱。背后所隱含的內(nèi)在邏輯是，員工對(duì)信息安全管理的重要性越熟悉，越知悉個(gè)人在日常工作中的信息安全職責(zé)，就越容易創(chuàng)造信息安全違規(guī)的屏蔽條件。這與D′ARCY et al.[49]和BULGURCU et al.[40]的研究結(jié)論一致，即員工信息安全意識(shí)越高，組織內(nèi)部越不容易產(chǎn)生信息安全的違規(guī)行為。

(3)信息安全意識(shí)負(fù)向調(diào)節(jié)道德推脫在信息安全壓力與信息安全違規(guī)意愿之間的中介作用，即員工信息安全意識(shí)越高，上述中介作用越弱，反之越強(qiáng)。也就是說，信息安全意識(shí)負(fù)向調(diào)節(jié)從信息安全壓力到信息安全違規(guī)意愿的整個(gè)間接效應(yīng)，即存在被調(diào)節(jié)的中介效應(yīng)，而且這一被調(diào)節(jié)的中介效應(yīng)通過信息安全壓力與道德推脫和道德推脫與信息安全違規(guī)意愿之間關(guān)系的調(diào)節(jié)作用實(shí)現(xiàn)。這就意味著，信息安全壓力可以通過道德推脫影響信息安全違規(guī)意愿，對(duì)于高信息安全意識(shí)的員工來說，這一影響過程和作用機(jī)制將會(huì)受到抑制。

本研究證實(shí)了信息安全壓力除對(duì)信息安全違規(guī)意愿有直接的顯著正向影響外，還通過道德推脫的中介機(jī)制間接影響違規(guī)意愿，信息安全意識(shí)對(duì)上述中介作用有完全的負(fù)向調(diào)節(jié)效應(yīng)。在管理實(shí)踐中，企業(yè)可以通過合理減輕員工的信息安全壓力、提高員工的信息安全意識(shí)等手段減少員工信息安全違規(guī)行為的發(fā)生。

(1)減輕員工的信息安全壓力。企業(yè)要求在工作中采用新的技術(shù)或系統(tǒng)，以及遵守既定的企業(yè)管理制度，往往會(huì)增加員工的心理壓力[54]。在信息安全管理中，員工遵守信息安全管理制度，就會(huì)在原有工作的基礎(chǔ)上增加工作負(fù)荷、復(fù)雜性和不確定性。因此，員工自覺執(zhí)行信息安全管理制度的可能性就會(huì)下降?；诖?，企業(yè)需要降低信息安全管理制度的復(fù)雜性，使員工不需要花費(fèi)大量時(shí)間和精力完成系統(tǒng)的操作，從而加快工作進(jìn)度。此外，企業(yè)的信息安全管理部門需要與員工有足夠的溝通和反饋，以及時(shí)解決員工在信息安全管理中遇到的問題，減少工作中不清晰和不明確的地方。

(2)提高員工的信息安全意識(shí)。企業(yè)要明確信息資產(chǎn)和資源與企業(yè)的人力、物力和財(cái)力等同樣重要，甚至在既定情況下企業(yè)信息資產(chǎn)的安全直接關(guān)乎企業(yè)的生存和發(fā)展，這樣的理念應(yīng)滲透并落實(shí)到員工的日常工作中。尤其是，需要以反面案例提醒員工信息安全違規(guī)行為的嚴(yán)重后果，如泄露企業(yè)客戶的信息對(duì)客戶造成的嚴(yán)重打擊、沒有及時(shí)修補(bǔ)企業(yè)系統(tǒng)漏洞引發(fā)的各種安全事故等。企業(yè)需要幫助員工明確和知曉信息安全違規(guī)行為造成的嚴(yán)重后果和傷害，這對(duì)于阻斷員工違規(guī)行為的中和技術(shù)有重要作用，同樣可以有效減少信息安全違規(guī)行為的發(fā)生。

(3)加強(qiáng)員工的職業(yè)道德培訓(xùn)。企業(yè)應(yīng)開展或改善員工的信息安全意識(shí)培訓(xùn)，除了強(qiáng)調(diào)信息安全管理對(duì)于保護(hù)企業(yè)信息資產(chǎn)的重要性之外，還要突出強(qiáng)調(diào)遵守信息安全管理制度是員工職業(yè)道德素養(yǎng)的組成部分。與此相對(duì)應(yīng)，員工才會(huì)在自我內(nèi)在道德調(diào)節(jié)系統(tǒng)中深化遵守信息安全管理制度的必要性和重要性，有效抑制其信息安全違規(guī)行為的發(fā)生。同時(shí)，企業(yè)需要明確，員工信息安全意識(shí)的培養(yǎng)和提高不是一件一蹴而就的事情，需要在信息安全管理的方方面面有所體現(xiàn)，并且滲透到員工的日常工作中。只有這樣，才能發(fā)揮信息安全意識(shí)的重要作用。

本研究仍存在不足和需要完善的地方。①為了保證量表的信度和效度，對(duì)研究模型中變量的測(cè)量均采用已有研究中被廣泛使用和多次驗(yàn)證的題項(xiàng)。未來研究應(yīng)該設(shè)計(jì)和開發(fā)更加符合中國企業(yè)信息安全管理情景的研究量表，以使研究結(jié)論更符合中國企業(yè)信息安全管理的實(shí)踐。②問卷調(diào)查的對(duì)象均是中國通過信息安全管理體系認(rèn)證的企業(yè)的內(nèi)部員工，這在一定程度上限定了樣本所屬行業(yè)，而對(duì)信息安全管理要求較高行業(yè)的企業(yè)，往往注重信息安全管理體系的認(rèn)證，導(dǎo)致研究樣本覆蓋的行業(yè)不夠廣泛，后續(xù)的研究應(yīng)擴(kuò)大樣本量，以使研究結(jié)論更加具有代表性。