王一楠

摘要：近年來信息安全問題事件越來越多，人們往往把問題解決的關(guān)注點僅放在技術(shù)層面上，人為因素常被忽視。實際上，人類行為意識及其相關(guān)因素對信息安全也起到至關(guān)重要的作用，因為人為制造風(fēng)險和預(yù)防安全漏洞方面都扮演著重要角色。該文試圖從信息安全意識、組織文化、安全文化等方面闡述與信息安全相關(guān)的人為影響因素，以引起研究者和行業(yè)從業(yè)者的重視與思考。

關(guān)鍵詞：信息安全意識;組織文化;安全文化

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）21-0058-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

近年來隨著越來越多的組織機(jī)構(gòu)成為網(wǎng)絡(luò)安全攻擊者的捕獲目標(biāo)，信息安全事件的數(shù)量正與日俱增。網(wǎng)絡(luò)風(fēng)險成為組織領(lǐng)導(dǎo)者或管理者最普遍關(guān)心的問題。一般來說，提到信息安全，我們通常只關(guān)注于技術(shù)層面的解決方案和降低風(fēng)險的措施。然而，現(xiàn)在人們越來越認(rèn)識到只依靠技術(shù)解決方案并不能充分緩解安全漏洞的發(fā)生概率，反而有時人們對技術(shù)的過度依賴導(dǎo)致了信息安全風(fēng)險的產(chǎn)生，而風(fēng)險又往往引發(fā)信息安全事件，因此人的作用至關(guān)重要，人是信息安全中的薄弱環(huán)節(jié)。

為了解決信息安全問題，認(rèn)識并改變?nèi)藗兊陌踩庾R、安全行為變得越來越重要，我們必須了解信息安全意識等人為原因。而人類行為、意識在很大程度上是由文化決定的，它時時影響人們在社會環(huán)境和工作中的相互作用。因此，當(dāng)試圖分析、塑造、改變?nèi)藗兊男畔踩庾R時，考慮其所在的群體、社會環(huán)境和組織體系的組織文化、安全文化尤為重要，只有這樣才能充分達(dá)到提高信息安全的目的。

1 信息安全意識

信息安全意識是指組織成員對組織信息安全政策、規(guī)章和指導(dǎo)方針重要性的理解程度以及對其中相關(guān)規(guī)定的遵守、執(zhí)行狀態(tài)。了解信息安全意識及其影響因素對于降低信息安全風(fēng)險是非常重要的。知識一態(tài)度一行為（KAB）模型認(rèn)為，員工對安全行為的認(rèn)知程度越高，其維護(hù)安全狀態(tài)的態(tài)度越端正，從而自發(fā)改善其信息安全行為[1]。

目前，基于人類方向的信息安全研究主要探索與信息安全行為相關(guān)或可能對信息安全產(chǎn)生影響的特定人類特征上。有研究表明，信息安全意識在一定程度上可以通過年齡、性別、心理彈性、工作壓力、教育程度和一些個性特征來預(yù)測。例如，研究發(fā)現(xiàn)信息安全意識與年齡呈正相關(guān)，年齡越大，信息安全意識越強(qiáng)。此外，女性、性格較隨和、責(zé)任心較強(qiáng)、表現(xiàn)出較強(qiáng)適應(yīng)力和較低工作壓力、受教育程度更高的人以及不善于冒險的人在信息安全意識上的得分更高，也就是信息安全意識更強(qiáng)翻。

2 組織文化

對于組織文化的概念界定，不同的學(xué)者采用不同的提法，最被廣泛接受的定義是Schein的組織文化理論。Schein認(rèn)為文化由以下三個相互作用的層次組成。一是人工產(chǎn)物層次，它是組織文化中最表面、最淺顯的層次，主要指在組織中可觀察到的行為和感受到的現(xiàn)象，包括組織結(jié)構(gòu)和組織過程等;二是價值觀層次，主要反映在組織的戰(zhàn)略、目標(biāo)、質(zhì)量意識、指導(dǎo)哲學(xué)等當(dāng)中。當(dāng)組織價值觀得到絕大多數(shù)成員認(rèn)同時，它們就會變成信念、規(guī)則，并最終進(jìn)入無意識狀態(tài);三是基本假定層次，包含潛意識的、默認(rèn)的一些信仰、思想、知覺、感覺等，這是該組織文化模型中最核心的因素，是組織行為模式的終極根源[3]。

Schein的組織文化模型是理解組織文化的關(guān)鍵，許多理論都是建立在此模型的基礎(chǔ)上，比如有人將文化分為參與、一致性、適應(yīng)性、任務(wù)四個方面，每個方面有三個嵌套的子尺度，這四個主要方面及其子尺度相互作用，以測定組織是面向內(nèi)部還是外部、偏向穩(wěn)定性還是靈活性。對組織文化的研究和測量是具有重要意義的，因為它對個體和群體行為以及與其他組織行為（如工作滿意度、工作績效）的關(guān)系都具有一定影響。

3 安全文化

理解組織文化是認(rèn)識和定義安全文化的基礎(chǔ)，因為組織內(nèi)的安全穩(wěn)定狀態(tài)是在其組織文化的影響下一步一步確立鞏固的。當(dāng)個人理解、內(nèi)化并遵守信息安全標(biāo)準(zhǔn)和學(xué)習(xí)典范時，信息就得到了最好的保護(hù)。當(dāng)前關(guān)于安全文化的研究主要是理論性的，以組織文化文獻(xiàn)為基礎(chǔ)，借鑒了心理學(xué)、經(jīng)濟(jì)學(xué)、行為科學(xué)和管理學(xué)等多個學(xué)科，研究主要集中在概念模型和框架上[4]，其中最為廣泛接受的分別是van Niekerk等人和Da Veiga等人在Schein組織文化理論基礎(chǔ)上進(jìn)行的改動。前者增加了知識層的概念，以更好地反映安全文化，后者把關(guān)注點放在信息安全、行為和文化之間的相互作用上，貫穿個人、群體和組織層面。

雖然還有很多觀點，但是學(xué)者們一致認(rèn)為安全文化就是人們用來與組織系統(tǒng)進(jìn)行互動、執(zhí)行安全相關(guān)的程序、日常任務(wù)和活動時所持的各種態(tài)度、信念、學(xué)識和價值觀，它是通過內(nèi)部和外部環(huán)境的共同作用形成的。內(nèi)部環(huán)境包括領(lǐng)導(dǎo)和組織結(jié)構(gòu)等因素，外部環(huán)境包括從經(jīng)濟(jì)氣候到行業(yè)技術(shù)強(qiáng)度等諸多因素。安全文化的強(qiáng)大力量在于當(dāng)組織成員意識到安全風(fēng)險時，他們會擔(dān)負(fù)起責(zé)任并執(zhí)行預(yù)防措施來提高信息系統(tǒng)和網(wǎng)絡(luò)的安全性。安全文化的主要目標(biāo)就是通過創(chuàng)建一個鼓勵和支持員工維護(hù)安全的工作環(huán)境來保護(hù)信息資產(chǎn)。

4 信息安全意識和組織文化、安全文化的關(guān)系

雖然少有研究專門探討信息安全意識、組織文化、安全文化之間的關(guān)系，但是有些組織文化組成成分確實與安全文化和信息安全意識相關(guān)。有研究發(fā)現(xiàn)領(lǐng)導(dǎo)力支持對信息安全管理和創(chuàng)建強(qiáng)有力的安全文化具有較大影響，這些研究強(qiáng)調(diào)了領(lǐng)導(dǎo)者通過戰(zhàn)略管理和規(guī)劃、溝通和透明的決策過程鼓勵積極安全行為產(chǎn)生的重要性。還有研究者提出組織的安全使命與積極向上的安全文化導(dǎo)向密切相關(guān)。例如，強(qiáng)調(diào)安全文化需求的使命任務(wù)更有可能激發(fā)出反映積極安全文化的行為;讓組織成員參與安全管理決策使其產(chǎn)生自我歸屬感，可以達(dá)到改善安全行為和強(qiáng)大組織文化的目的;以人為本的組織更有可能對成員的信息安全意識產(chǎn)生積極導(dǎo)向，而僅僅關(guān)注任務(wù)的組織會在功利行為和信息安全行為之間產(chǎn)生矛盾利益沖突[5]。

另外，有探索性定量研究發(fā)現(xiàn)信息安全意識與安全文化之間存在正相關(guān)關(guān)系，如果一個組織具有良好的安全文化氛圍，那么其成員更有可能具備遵守信息安全政策和執(zhí)行安全規(guī)程所要求的知識、態(tài)度和行為，以維持組織良好的信息安全狀態(tài)。

5 結(jié)語

當(dāng)我們需要解決信息安全問題或提高安全維護(hù)能力時，除了技術(shù)層面的改進(jìn)以外，信息安全意識、組織文化、安全文化及其關(guān)系等相關(guān)主觀影響因素也是需要重點考慮的方面，這對于降低信息安全風(fēng)險是非常必要的。本文通過綜述此類理論研究為指導(dǎo)后續(xù)研究提供一定參考，以期相關(guān)行業(yè)實踐者能夠有效利用理論建議，提高信息安全處置能力，預(yù)防安全事件發(fā)生。

參考文獻(xiàn)：

[1] Parsons K，Calic D，Pattinson M，et al.The human aspects ofinformation security questionnaire （HAIS-Q）： two further vali-dation studies [J]. Computers and Security， 2017，66：40-51.

[2] McCormac A，Calic D，Parsons K，et al.The effect of resil-ience and job stress on information security awareness[Jl.lnfor-mation and Computer Security，2018，26（3）：277-289.

[3] Schein E，Schein P.Organizational Culture and Leadership[Ml. 5th Edition. New Jersey： John Wiley and Sons， 2016：1-384.

[4] Nasir A，Arshah RA，Hamid M R，et al-An analysis on the di-mensions of information security culture concept：a review[J].Journal of Information Security and Applications， 2019， 44：12-22.

[5] ConnoU L，Lang M，Gathegi J，et al.Organisational culture， pro-cedural countermeasures， and employee security behaviour：aqualitative study[J]. Information and Computer Security， 2017，25（2）：118-136.

【通聯(lián)編輯：代影】