高管支持、制度化與信息安全管理有效性

董坤祥, 謝宗曉, 甄 杰, 林潤(rùn)輝

（1. 山東財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，山東 濟(jì)南 250014；2. 中國(guó)金融認(rèn)證中心，北京 100054；3. 重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067；4. 南開大學(xué) 商學(xué)院，天津 300071）

一、引 言

現(xiàn)階段，信息安全已經(jīng)得到了前所未有的重視。隨著2014年2月“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”的成立以及2017年6月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的施行，信息安全在國(guó)家層面上得到了前所未有的重視。在組織研究領(lǐng)域和企業(yè)實(shí)踐中，信息技術(shù)和信息系統(tǒng)的應(yīng)用對(duì)企業(yè)發(fā)展的促進(jìn)作用已經(jīng)得到證明，信息已經(jīng)成為企業(yè)的關(guān)鍵資產(chǎn)，關(guān)乎企業(yè)的生存和發(fā)展。然而，層出不窮的企業(yè)信息安全事件引起了公眾和社會(huì)各界對(duì)于信息安全的關(guān)注和擔(dān)憂，企業(yè)如何應(yīng)對(duì)信息安全風(fēng)險(xiǎn)也成為近幾年管理信息系統(tǒng)領(lǐng)域的研究熱點(diǎn)。

企業(yè)信息安全風(fēng)險(xiǎn)主要源自員工的信息安全違規(guī)行為，制度化則是降低企業(yè)信息安全風(fēng)險(xiǎn)的有效途徑。2016年國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的統(tǒng)計(jì)報(bào)告顯示，2015年64.22%的被調(diào)查企業(yè)發(fā)生過(guò)信息安全事件。企業(yè)信息安全的威脅主要有兩個(gè)：一是內(nèi)部員工的違規(guī)行為，多方統(tǒng)計(jì)資料表明，70%—80%的信息安全問(wèn)題源自員工無(wú)意的信息安全違規(guī)行為，例如設(shè)置簡(jiǎn)單的登錄密碼，隨意點(diǎn)擊含有釣魚鏈接的郵件；二是企業(yè)外部威脅的入侵。主要包括黑客行為、網(wǎng)絡(luò)間諜活動(dòng)、有組織的犯罪以及網(wǎng)絡(luò)恐怖主義等（趙衍，2013；陳昊等，2016）。事實(shí)上，員工的違規(guī)行為已經(jīng)超越外部威脅成為企業(yè)信息安全風(fēng)險(xiǎn)的主要來(lái)源（D’Arcy等，2009；Bulgurcu等，2010；Boss等，2015），并且由于員工能夠接觸到企業(yè)的重要信息和數(shù)據(jù)，其信息安全違規(guī)行為的危害不容小覷（Hu等，2012）。因此，企業(yè)信息安全管理中一個(gè)亟待解決的現(xiàn)實(shí)問(wèn)題是：如何通過(guò)制度的合理設(shè)計(jì)來(lái)規(guī)范和約束包含了硬件、軟件和人員的整個(gè)企業(yè)信息系統(tǒng)，以減少信息安全事件的發(fā)生，提高信息安全管理的有效性。

信息安全制度化的開展需要企業(yè)高層管理團(tuán)隊(duì)的推動(dòng)。企業(yè)信息安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，它需要以信息技術(shù)部門為主，涉及多個(gè)相關(guān)職能部門，而信息安全制度的實(shí)施又與所有員工密切相關(guān)（Hu等，2012）。因此，只有作為對(duì)企業(yè)信息安全負(fù)有戰(zhàn)略決策的高層管理者才有能力協(xié)調(diào)不同部門之間的關(guān)系，進(jìn)而決定信息技術(shù)的引進(jìn)、信息系統(tǒng)的部署以及信息安全制度的實(shí)施（武德昆等，2014；Barton等，2016）。由此可見，高層管理支持（簡(jiǎn)稱“高管支持”）對(duì)企業(yè)信息安全制度的建設(shè)以及信息安全管理有效性的發(fā)揮有重要影響。然而，已有研究對(duì)于高管支持如何影響企業(yè)信息安全制度化，制度化過(guò)程對(duì)企業(yè)信息安全管理有何具體影響的探討還遠(yuǎn)遠(yuǎn)不夠。

探討由企業(yè)高層管理團(tuán)隊(duì)推動(dòng)的制度化是否可以提高信息安全管理有效性這一問(wèn)題具有重要的理論和現(xiàn)實(shí)意義。有鑒于此，本研究以國(guó)內(nèi)通過(guò)信息安全管理體系認(rèn)證的企業(yè)為調(diào)研對(duì)象，探討了高管支持、制度化與信息安全管理有效性之間的關(guān)系，旨在揭示高管支持如何推動(dòng)了企業(yè)信息安全制度化，以及制度化對(duì)信息安全管理有效性有何具體影響，同時(shí)分析信息安全意識(shí)在此過(guò)程中的作用。本研究的理論貢獻(xiàn)主要包括如下三方面：首先，與高管支持在企業(yè)國(guó)際化、公司創(chuàng)業(yè)、企業(yè)社會(huì)責(zé)任、安全策略遵守方面的研究相比（Carpenter等，2001；李華晶和邢曉東，2007；孫德升，2009；Hu等，2012），高管支持對(duì)企業(yè)信息安全制度化的影響一直被忽視。作為對(duì)這一研究不足的補(bǔ)充，本研究關(guān)注高管團(tuán)隊(duì)對(duì)信息安全管理重要性的認(rèn)知和對(duì)信息安全管理活動(dòng)的參與如何推動(dòng)企業(yè)信息安全制度化，這對(duì)于理解為什么信息安全主管在企業(yè)高管團(tuán)隊(duì)中發(fā)揮重要作用有重要意義。其次，探討了高管支持是否能夠提高信息安全制度化水平。以往關(guān)于組織制度化的研究多是從外部環(huán)境的制度壓力來(lái)展開，而較少涉及企業(yè)內(nèi)部的高管支持。我們從企業(yè)內(nèi)部分析影響信息安全制度化的因素，對(duì)于后續(xù)研究如何基于組織社會(huì)學(xué)的制度邏輯從企業(yè)內(nèi)部和外部?jī)煞矫鎭?lái)分析制度化過(guò)程具有借鑒意義。最后，探討了信息安全意識(shí)對(duì)高管支持和信息安全管理有效性的影響。這對(duì)于明晰和構(gòu)建企業(yè)信息安全制度化的內(nèi)部傳導(dǎo)機(jī)制具有啟發(fā)性，并拓展了信息安全意識(shí)的影響范圍和作用對(duì)象（Puhakainen和Siponen，2010），從而豐富了企業(yè)內(nèi)部提高信息安全管理有效性的途徑和方式。

二、理論基礎(chǔ)與研究假設(shè)

（一）制度化

組織分析的新制度主義者強(qiáng)調(diào)“社會(huì)適當(dāng)性”的重要性，認(rèn)為組織所采用的結(jié)構(gòu)形式應(yīng)該是特定制度環(huán)境中不斷尋求其合法性的結(jié)構(gòu)形式。因此，組織的制度化是一個(gè)過(guò)程，它反映了組織適應(yīng)外部環(huán)境的方式（Scott，2008）。Kostova和Roth（2002）根據(jù)組織制度具有合法性的特點(diǎn)提出了制度化的兩個(gè)過(guò)程：履行與內(nèi)化，該研究是目前有關(guān)制度化大樣本實(shí)證研究的典范，研究結(jié)論具有較好的普適性。

林潤(rùn)輝等（2016）在企業(yè)信息安全管理情境下對(duì)Kostova和Roth（2002）提出的履行和內(nèi)化的制度化過(guò)程進(jìn)行了重新闡述，并采用定量實(shí)證研究探討了制度壓力對(duì)履行和內(nèi)化的影響。其中，履行是指組織對(duì)于自身制度化的外部表達(dá)，內(nèi)化是指內(nèi)部制度的真正付諸實(shí)施的過(guò)程（謝宗曉和林潤(rùn)輝，2016）。在企業(yè)信息安全實(shí)踐中，最常見的關(guān)于制度化的外部表達(dá)方式就是設(shè)計(jì)滿足外部監(jiān)管要求的內(nèi)部信息安全制度。由此可見，履行的過(guò)程更關(guān)注內(nèi)部制度與外部制度和監(jiān)管要求的一致性，內(nèi)化的過(guò)程更偏重制度的實(shí)施，這種描述實(shí)際上與Kostova和Roth（2002）最初對(duì)履行和內(nèi)化的定義保持了完全一致，只是將其在信息安全情境中進(jìn)行了重新描述。因此，本研究沿用了Kostova和Roth（2002）和林潤(rùn)輝等（2016）提出和完善的履行和內(nèi)化的制度化過(guò)程。

（二）高管支持與履行和內(nèi)化

本研究認(rèn)為信息安全管理情境下的高管支持，是指信息安全領(lǐng)導(dǎo)小組的成員（包括：CEO、信息安全主管、IT經(jīng)理和業(yè)務(wù)經(jīng)理）基于對(duì)企業(yè)信息安全管理重要性的認(rèn)識(shí)，為了實(shí)現(xiàn)企業(yè)信息安全管理目標(biāo)，向公司其他成員展現(xiàn)出的參與信息安全管理的態(tài)度和傾向性，以及參與信息安全實(shí)踐行為的總和。它體現(xiàn)在信息安全領(lǐng)導(dǎo)小組成員對(duì)于信息安全管理的認(rèn)知支持和行為支持，包括高管信念和高管參與兩個(gè)維度（Hu等，2012；白海青和毛基業(yè)，2014；武德昆等，2014）。

在企業(yè)信息安全管理情境下，高管信念包括對(duì)企業(yè)信息安全管理重要性的看法、對(duì)信息安全管理的愿景規(guī)劃、對(duì)信息安全管理成本的基本判斷以及對(duì)信息安全管理相關(guān)知識(shí)的初步了解（武德昆等，2014）?；谠撔拍?，企業(yè)高管會(huì)向其他管理者或人員傳遞信息安全重要性的關(guān)鍵信息，從而有力地推動(dòng)企業(yè)各相關(guān)部門對(duì)于信息安全各類規(guī)范性文件的出臺(tái)或發(fā)布，并在企業(yè)員工的日常管理中強(qiáng)調(diào)各類信息安全規(guī)范的落實(shí)（Warkentin和Willison，2009）。如此，便可以有效促進(jìn)企業(yè)信息安全制度的外部表達(dá)和內(nèi)部落實(shí)，使得信息安全管理有相應(yīng)的制度化規(guī)范可以遵守?；诖?，本研究提出如下假設(shè)：

H1：高管信念越強(qiáng)，制度化的履行水平越高。

企業(yè)中信息安全制度真正付諸實(shí)施就是內(nèi)化的過(guò)程，也就是說(shuō)，組織按照正式公布的文件建立信息安全協(xié)調(diào)機(jī)構(gòu)的過(guò)程屬于內(nèi)化的范疇。企業(yè)的高層管理對(duì)于信息安全的重視和推動(dòng)，能夠構(gòu)建一種信息安全管理的良好氛圍，促使大家按照信息安全制度的要求進(jìn)行規(guī)范化操作，進(jìn)而減少企業(yè)內(nèi)部信息安全事件的發(fā)生?？赡艿那闆r是，企業(yè)員工遵守信息安全管理策略所帶來(lái)的收益可能不明顯，但是一旦員工發(fā)生不遵守信息安全管理策略的不當(dāng)行為所引發(fā)的事件便會(huì)給企業(yè)帶來(lái)巨大的風(fēng)險(xiǎn)和損失。因此，本研究提出如下假設(shè)：

H2：高管信念越強(qiáng)，制度化的內(nèi)化水平越高。

信息安全的制度化對(duì)于企業(yè)后續(xù)的一系列信息安全管理活動(dòng)非常重要（Armstrong和Sambamurthy，1999；Sharma和Yetton，2003；Liang等，2007）。如果信息安全的制度化沒有得到高管團(tuán)隊(duì)的參與和支持，制度化過(guò)程中所涉及的安全操作行為往往會(huì)被員工視作拖慢日常工作的額外工作負(fù)擔(dān)（Hu等，2011）。因此，企業(yè)高層管理者對(duì)于信息安全制度化過(guò)程的參與和支持對(duì)于推動(dòng)企業(yè)員工落實(shí)信息安全制度的各項(xiàng)工作有積極影響。

值得關(guān)注的是，高管參與可以有效協(xié)調(diào)來(lái)自不同部門之間的就執(zhí)行信息安全相關(guān)措施所產(chǎn)生的沖突（Smith等，2010）。具體來(lái)說(shuō)，高管參與到信息安全制度文件的制定中，從而實(shí)現(xiàn)以信息安全制度為基礎(chǔ)的安全控制與不同部門業(yè)務(wù)流程的緊密結(jié)合（Spears和Barki，2010；謝宗曉等，2013），強(qiáng)化企業(yè)對(duì)于信息安全制度化的外部表達(dá)；同時(shí)，高層管理者參與到企業(yè)內(nèi)部信息安全策略的執(zhí)行之中，會(huì)協(xié)調(diào)來(lái)自不同部門之間的利益沖突，推動(dòng)信息安全的制度真正落實(shí)到員工的實(shí)際工作行為之中。因此，本研究提出如下假設(shè)：

H3：高管參與程度越深，制度化的履行水平越高。

H4：高管參與程度越深，制度化的內(nèi)化水平越高。

（三）信息安全意識(shí)與高管支持和信息安全管理有效性

信息安全領(lǐng)域的研究表明，內(nèi)部員工的不當(dāng)行為所導(dǎo)致的信息安全事件已經(jīng)成為了企業(yè)信息安全管理的主要威脅（D’Arcy等，2009；Herath和Rao，2009；Smith等，2010；Crossler和Johnston，2013）。因此，強(qiáng)化和提高內(nèi)部員工的信息安全意識(shí)就顯得尤為重要（Rezgui和Marks，2008）。ISF（information security forum）①ISF（https：//www.securityforum.org）發(fā)布在信息安全實(shí)踐中應(yīng)用最為廣泛的最佳實(shí)踐。將信息安全意識(shí)定義為組織內(nèi)所有的員工理解信息安全的重要性，清楚組織所適用的安全級(jí)別，知悉并履行個(gè)人在日常工作中的安全職責(zé)（武德昆等，2014）。

Dinev和Hu（2007）分析了員工的技術(shù)意識(shí)對(duì)其信息安全保護(hù)行為的影響，結(jié)果表明員工的信息安全技術(shù)意識(shí)越高，越有利于其對(duì)企業(yè)信息安全的保護(hù)。Spears和Barki（2010）在企業(yè)信息安全風(fēng)險(xiǎn)管理的情境下，證明了員工參與信息安全活動(dòng)能夠顯著提高其信息安全意識(shí)水平。Puhakainen和Sipone（2010）利用行動(dòng)研究分析了信息安全意識(shí)培訓(xùn)對(duì)組織內(nèi)部員工信息安全策略遵守行為的影響。結(jié)果表明，對(duì)組織員工的信息安全意識(shí)進(jìn)行培訓(xùn)，可以顯著提高其信息安全政策的遵守行為。謝宗曉等（2013）的研究結(jié)論則驗(yàn)證了員工信息安全意識(shí)對(duì)信息安全管理的有效性有顯著正向影響，并在用戶參與和信息安全管理有效性之間的關(guān)系中具有中介作用?；谏鲜龇治?，本研究提出如下假設(shè)：

H5：信息安全意識(shí)水平越高，企業(yè)信息安全管理越有效。

在實(shí)踐中，微軟公司在幫助客戶建立信息安全方案的文獻(xiàn)中也明確提出：建立信息安全意識(shí)培訓(xùn)方案的主要目標(biāo)是通過(guò)強(qiáng)化大家認(rèn)可的、與公司業(yè)務(wù)有關(guān)的安全活動(dòng)，從而改變?nèi)w員工的行為（武德昆等，2014）。與此相對(duì)應(yīng)，Kruger和Kearney（2006）指出企業(yè)內(nèi)部信息安全控制的效果依賴于積極的企業(yè)安全環(huán)境，其中包括每個(gè)人都理解并執(zhí)行組織內(nèi)的程序和規(guī)程，具有較高的信息安全意識(shí)。顯然，對(duì)于高層管理來(lái)說(shuō)，信息安全意識(shí)的提高有利于其在企業(yè)內(nèi)部堅(jiān)定地推廣信息安全意識(shí)培訓(xùn)項(xiàng)目、執(zhí)行信息安全管理政策以及建立納入信息安全風(fēng)險(xiǎn)管理意識(shí)的企業(yè)文化（Rezgui和Marks，2008）。因此，信息安全意識(shí)的提高就會(huì)激勵(lì)高管團(tuán)隊(duì)去積極的傳播和參與到組織信息安全管理的活動(dòng)中，進(jìn)而發(fā)揮高管團(tuán)隊(duì)在信息安全管理中的有效作用?；诖?，本研究提出如下假設(shè)：

H6：信息安全意識(shí)水平越高，高管信念越強(qiáng)。

H7：信息安全意識(shí)水平越高，高管參與程度越深。

（四）履行和內(nèi)化與信息安全管理有效性

如前所述，履行是企業(yè)對(duì)于自身信息安全制度化的外部表達(dá)。在實(shí)踐中，最常見的外部表達(dá)方式就是設(shè)計(jì)滿足監(jiān)管制度要求的內(nèi)部制度。例如，有些行業(yè)監(jiān)管機(jī)構(gòu)要求企業(yè)必須有信息安全協(xié)調(diào)機(jī)構(gòu)，其外在的表達(dá)方式就是公布各種正式或者非正式的相關(guān)文件。根據(jù)林潤(rùn)輝等（2016）的論述，企業(yè)信息安全制度化過(guò)程中的履行主要有三種類型：（1）為了滿足監(jiān)管或客戶的要求；（2）響應(yīng)各種協(xié)會(huì)的組織、宣傳或獲取補(bǔ)貼；（3）出于企業(yè)自發(fā)的安全需求。無(wú)論是哪種類型的履行都會(huì)不同程度地增加企業(yè)的管理規(guī)范性，直接或間接地提高企業(yè)的運(yùn)維能力，最終會(huì)提高信息安全管理的有效性?；诖?，本研究提出如下假設(shè)：

H8：制度化的履行水平越高，企業(yè)信息安全管理越有效。

內(nèi)化可以使信息安全管理的流程更加規(guī)范，規(guī)范的操作流程會(huì)降低可能的業(yè)務(wù)中斷和企業(yè)遭受信息安全風(fēng)險(xiǎn)的可能性。尤其是信息安全管理的諸多研究已經(jīng)表明，內(nèi)部員工的信息安全違規(guī)行為已經(jīng)成為企業(yè)信息安全風(fēng)險(xiǎn)的主要來(lái)源（Posey等，2014），而有效、規(guī)范的信息系統(tǒng)或信息技術(shù)操作流程，可以顯著提高企業(yè)的信息安全水平（Boss等，2015）。換言之，良好的內(nèi)化過(guò)程會(huì)使企業(yè)獲得更高的信息安全有效性。因此，本研究提出如下假設(shè)：

H9：制度化的內(nèi)化水平越高，企業(yè)信息安全管理越有效。

綜上所述，本研究提出如下研究模型（見圖1）。與已有研究比較，該模型做出了兩點(diǎn)改進(jìn)：第一，在企業(yè)信息安全管理情境下，明確了高管支持的兩個(gè)維度。進(jìn)一步分析高管信念和高管參與兩個(gè)維度對(duì)制度化中履行和內(nèi)化的影響路徑和作用機(jī)制；第二，關(guān)注企業(yè)信息安全實(shí)踐中信息安全管理有效性的問(wèn)題。該模型突破了以往研究中重點(diǎn)探討采納行為實(shí)際發(fā)生前的影響因素和過(guò)程，而是從企業(yè)實(shí)踐的管理層面上強(qiáng)調(diào)制度化過(guò)程對(duì)企業(yè)信息安全管理有效性的影響。

圖1 研究模型

三、研究方法

（一）樣本選取與數(shù)據(jù)收集

本研究采用問(wèn)卷調(diào)查法進(jìn)行數(shù)據(jù)收集，調(diào)查問(wèn)卷分為問(wèn)卷A和問(wèn)卷B。其中，問(wèn)卷A的調(diào)研對(duì)象是通過(guò)GB/T22080-2008/ISO/IEC27001：2005①GB/T22080-2008/ISO/IEC27001：2005這種標(biāo)識(shí)的意思是GB/T22080-2008等同采用ISO/IEC27001：2005，即信息安全管理體系?！恫捎脟?guó)家標(biāo)準(zhǔn)管理管理辦法》中，第十五條 采用國(guó)際標(biāo)準(zhǔn)的我國(guó)標(biāo)準(zhǔn)的編號(hào)表示方法如下：（一）等同采用國(guó)際標(biāo)準(zhǔn)的我國(guó)標(biāo)準(zhǔn)采用雙標(biāo)號(hào)方法，實(shí)例：GB×××××-××××/ISO×××××：××××。（二）修改采用國(guó)際標(biāo)準(zhǔn)的我國(guó)標(biāo)準(zhǔn)，只使用我國(guó)標(biāo)準(zhǔn)編號(hào)。資格認(rèn)證的企業(yè)組織中的相關(guān)管理者，受訪者根據(jù)工作單位中信息安全制度的實(shí)施情況和信息技術(shù)、設(shè)備和信息系統(tǒng)的使用情況如實(shí)回答問(wèn)卷中的問(wèn)題；問(wèn)卷B的調(diào)研對(duì)象是第三方認(rèn)證機(jī)構(gòu)②第三方認(rèn)證機(jī)構(gòu)指的是專門負(fù)責(zé)審核GB/T22080-2008/ISO/IEC27001：2005等標(biāo)準(zhǔn)的組織，國(guó)內(nèi)有中國(guó)信息安全認(rèn)證中心和中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等單位。雖然這次詞匯來(lái)自ISO9000等管理體系標(biāo)準(zhǔn)審核，但是由于信息安全行業(yè)的特殊性，能夠獲取該資質(zhì)的國(guó)內(nèi)機(jī)構(gòu)非常少。的審核員，受訪者根據(jù)對(duì)應(yīng)的標(biāo)準(zhǔn)來(lái)評(píng)價(jià)企業(yè)信息安全制度的部署情況以及實(shí)施后的績(jī)效和效果。問(wèn)卷A和問(wèn)卷B均采用5點(diǎn)李克特量表（問(wèn)卷A中1為很低，5為很高；問(wèn)卷B中1為很差，5為很好），兩個(gè)問(wèn)卷中的量表均采用正向計(jì)分。

由于調(diào)查問(wèn)卷分為問(wèn)卷A和問(wèn)卷B兩部分，所以在數(shù)據(jù)獲取過(guò)程中分為兩個(gè)步驟：首先，通過(guò)電子郵件將問(wèn)卷A發(fā)送給通過(guò)GB/T22080-2008/ISO/IEC27001：2005認(rèn)證的企業(yè)相關(guān)管理者填寫，共發(fā)送（文檔版）電子問(wèn)卷200份，回收有效問(wèn)卷176份，問(wèn)卷的有效回收率約為88%；其次，將收回的有效問(wèn)卷交由負(fù)責(zé)第三方認(rèn)證機(jī)構(gòu)中審核目標(biāo)企業(yè)的審核員進(jìn)行填寫，由于存在部分審核員離職等客觀原因，造成部分問(wèn)卷無(wú)法完成，因此回收到的有效問(wèn)卷B為148份，問(wèn)卷的有效回收率約為84%。

（二）變量測(cè)量

本研究測(cè)量量表的所有題項(xiàng)均以已有研究中被廣泛使用和驗(yàn)證的題項(xiàng)為范本，并結(jié)合本文的研究情境做出適當(dāng)修改和調(diào)整。具體來(lái)說(shuō)，高管支持包括高管信念和高管參與兩個(gè)維度，對(duì)上述兩個(gè)變量的測(cè)量采用Liang等（2007）的量表，均包括5個(gè)題項(xiàng)；對(duì)信息安全意識(shí)的測(cè)量根據(jù)Spears和Barki（2010）和D’Arcy等（2008）的量表改編得來(lái)，由4個(gè)題項(xiàng)構(gòu)成，主要測(cè)量管理者對(duì)于信息安全必要性的認(rèn)識(shí)；對(duì)制度化中履行和內(nèi)化的測(cè)量采用Kostova和Roth（2002）、Hsu等（2012）和林潤(rùn)輝等（2016）的量表，均包括4個(gè)題項(xiàng)；對(duì)信息安全管理有效性的測(cè)量基于謝宗曉等（2013）和Chang和Lin（2007）的量表修改得來(lái)，由4個(gè)題項(xiàng)構(gòu)成，1項(xiàng)測(cè)量機(jī)密性，1項(xiàng)測(cè)量可用性，1項(xiàng)測(cè)量完整性，1項(xiàng)測(cè)量企業(yè)信息安全管理的整體狀況。所有變量測(cè)量的引用及設(shè)計(jì)說(shuō)明，如表1所示。具體測(cè)量題項(xiàng)，請(qǐng)參見表2。

表1 變量及其數(shù)據(jù)來(lái)源說(shuō)明

（三）控制變量

在控制變量方面，由于不同行業(yè)中的信息化發(fā)展水平不一致，進(jìn)而造成不同企業(yè)對(duì)于網(wǎng)絡(luò)依賴程度差異；成立時(shí)間和接受認(rèn)證時(shí)間比較長(zhǎng)的企業(yè)可能信息安全管理會(huì)更加規(guī)范，同時(shí)采用其他信息安全認(rèn)證方式也會(huì)對(duì)企業(yè)的信息安全管理有一定影響；不同所有制類型的企業(yè)由于涉及關(guān)鍵信息的差異，會(huì)有不同的信息安全管理規(guī)范；組織規(guī)模和IT部門的規(guī)模也會(huì)對(duì)企業(yè)信息資產(chǎn)的規(guī)模有重要影響。基于上述分析，本研究將行業(yè)類型、所有制類型、組織成立時(shí)間、認(rèn)證時(shí)間、有無(wú)其他認(rèn)證、組織規(guī)模以及IT部門的規(guī)模作為控制變量，這與林潤(rùn)輝等（2016）和Hsu等（2012）等學(xué)者的研究相一致。

四、數(shù)據(jù)分析與結(jié)果討論

大量實(shí)證研究已經(jīng)表明PLS-SEM對(duì)樣本數(shù)量沒有嚴(yán)格限制，即使在樣本數(shù)量有限的情況下仍然表現(xiàn)出良好的模型擬合效果（Reinartz等，2009）。由于本研究中的問(wèn)卷A和問(wèn)卷B的內(nèi)容均涉及企業(yè)信息安全制度的實(shí)施情況，有可能會(huì)觸及企業(yè)的敏感信息，所以導(dǎo)致問(wèn)卷的回收數(shù)量相對(duì)較少，因此本研究采用PLS偏最小二乘法和Smart PLS 3.0進(jìn)行數(shù)據(jù)分析。

（一）共同方法偏差

共同方法偏差（common method biases，CMV），是指由于同樣的數(shù)據(jù)來(lái)源/評(píng)分者、同樣的測(cè)量環(huán)境和項(xiàng)目語(yǔ)境所造成的預(yù)測(cè)變量和效標(biāo)變量之間人為的共變（周浩和龍立榮，2004）。這一問(wèn)題在采用問(wèn)卷調(diào)查法的研究中已經(jīng)引起了學(xué)者們的廣泛關(guān)注，所采用的控制方法主要是程序控制和統(tǒng)計(jì)控制兩種。本研究中的數(shù)據(jù)來(lái)源構(gòu)成包括問(wèn)卷A和問(wèn)卷B，且兩部分問(wèn)卷由不同類別的調(diào)研對(duì)象所完成，因此在程序控制環(huán)節(jié)有效避免了共同方法偏差的產(chǎn)生。而在統(tǒng)計(jì)控制方面，采用Harman單因素檢驗(yàn)的方法進(jìn)行驗(yàn)證。分析結(jié)果顯示，所有變量的第一個(gè)因子的方差解釋度為31.930%，小于40%的基準(zhǔn)值。因此，本研究中所分析的數(shù)據(jù)不存在共同方法偏差的問(wèn)題。

表2 問(wèn)卷測(cè)量題項(xiàng)

（二）測(cè)量模型檢驗(yàn)

在對(duì)量表信度和效度進(jìn)行檢驗(yàn)的過(guò)程中，主要使用組合信度（CR）和項(xiàng)目載荷來(lái)評(píng)價(jià)量表的信度；主要用潛變量AVE（平均變異萃取量）的平方根是否大于潛變量之間的相關(guān)值來(lái)檢驗(yàn)區(qū)分效度，用AVE來(lái)評(píng)價(jià)量表的聚合效度（Peng和Lai，2012；林潤(rùn)輝等，2016）。測(cè)量量表不同指標(biāo)的結(jié)果詳見表3和表4。

由表3可知，信息安全意識(shí)、高管信念、高管參與、履行、內(nèi)化和信息安全管理有效性的組合信度（CR）分別為0.814、0.873、0.928、0.857、0.911和0.923，均大于0.700的基準(zhǔn)值；6個(gè)潛變量的AVE分別為0524、0.579、0.721、0.603、0.720和0.749，均大于0.500的基準(zhǔn)值；6個(gè)潛變量所有項(xiàng)目的因子載荷值均大于0.600，在可以接受的范圍之內(nèi)；6個(gè)潛變量中Cronbach’s α的最小值為0.714，均在0.700以上。上述多個(gè)指標(biāo)均說(shuō)明了研究量表具有較好的信度水平。

表3 測(cè)量量表信度和效度評(píng)價(jià)指標(biāo)

表4 潛變量均值、方差和AVE的平方根

由表4可知，6個(gè)潛變量的AVE的平方根均大于潛變量之間的相關(guān)系數(shù)，表明量表具有較好的效度。基于上述分析結(jié)果，本研究中的量表具有較高的可靠性和有效性。

本研究還按照Gefen等（2000）和Hu等（2012）等學(xué)者的建議，對(duì)交叉載荷做出了比對(duì)。結(jié)果顯示（限于篇幅，未報(bào)告），項(xiàng)目載荷在設(shè)定的潛變量的數(shù)值要明顯高于其他潛變量的數(shù)值，進(jìn)一步證明了本研究量表具有良好的聚合效度和區(qū)分效度；對(duì)7個(gè)控制變量（行業(yè)類型、組織規(guī)模、認(rèn)證時(shí)間、所有制類型、IT部門規(guī)模、組織成立時(shí)間和有無(wú)其他認(rèn)證）納入模型進(jìn)行檢驗(yàn)時(shí)，由于控制變量的數(shù)量較多，而所分析的樣本量相對(duì)較少，因此借鑒了Liang等（2007）的分析方法而進(jìn)行了7次檢驗(yàn)，每次檢驗(yàn)分別只涉及一個(gè)控制變量，由此可知（限于篇幅，未報(bào)告），7個(gè)控制變量的系數(shù)均不顯著，即控制變量沒有對(duì)模型的有效性產(chǎn)生影響。

（三）研究假設(shè)檢驗(yàn)

假設(shè)檢驗(yàn)的結(jié)果如圖2所示。

圖2 假設(shè)檢驗(yàn)結(jié)果

1. 信息安全意識(shí)對(duì)高管支持、信息安全管理有效性的影響

假設(shè)檢驗(yàn)結(jié)果顯示，信息安全意識(shí)對(duì)信息安全管理有效性有顯著正向影響，因此假設(shè)H5得到驗(yàn)證（β=0.173，p＜0.05）。該結(jié)果說(shuō)明信息安全意識(shí)的提高，能夠顯著提高信息安全管理的有效性。信息安全意識(shí)對(duì)高管信念和高管參與均有顯著正向影響，因此假設(shè)H6（β=0.422，p＜0.001）和假設(shè)H7（β=0.587，p＜0.001）得到驗(yàn)證，這就表明了良好的信息安全意識(shí)水平會(huì)確保高層管理人員對(duì)信息安全管理活動(dòng)的重視和參與水平。該結(jié)果與Puhakainen和Siponen（2010）的研究結(jié)論基本一致，也為在企業(yè)信息安全實(shí)踐中強(qiáng)調(diào)高層管理人員的思想重視和行動(dòng)參與提供了實(shí)證依據(jù)。

2. 高管信念對(duì)履行和內(nèi)化的影響

假設(shè)檢驗(yàn)結(jié)果顯示，高管信念對(duì)履行和內(nèi)化均有顯著正向影響，即假設(shè)H1（β=0.449，p＜0.001）和H2（β=0.309，p＜0.05）得到驗(yàn)證。上述結(jié)果表明，高層管理人員對(duì)信息安全活動(dòng)的重視，能夠促進(jìn)企業(yè)內(nèi)部信息安全制度的外部表達(dá)，即企業(yè)所發(fā)布的信息安全制度文件能夠滿足各項(xiàng)外部監(jiān)管的要求。此外，高層管理人員對(duì)信息安全活動(dòng)的重視，可以發(fā)揮良好的帶動(dòng)和示范效應(yīng)，減少信息安全制度實(shí)施中的阻力，確保各項(xiàng)制度準(zhǔn)則的順利實(shí)施。

3. 高管參與對(duì)履行和內(nèi)化的影響

假設(shè)檢驗(yàn)結(jié)果顯示，高管參與對(duì)履行和內(nèi)化沒有顯著正向影響，假設(shè)H3（β=-0.057，p＞0.05）和H4（β=-0.112，p＞0.05）沒有得到驗(yàn)證。該結(jié)果說(shuō)明，高管參與對(duì)制度化沒有顯著促進(jìn)作用，這與我們的預(yù)期假設(shè)出現(xiàn)了偏差，這可能是由于高層管理人員在信息安全活動(dòng)中表現(xiàn)出的積極行為，與企業(yè)員工在日常工作中對(duì)制度的執(zhí)行出現(xiàn)了偏差。換句話講，高層管理人員沒有辦法接觸和理解一般企業(yè)員工所感知到的信息系統(tǒng)的脆弱性和信息策略遵守行為給他們工作所帶來(lái)的壓力（Posey等，2014）。因此，只有高層管理人員和企業(yè)員工的信息安全行為完全一致時(shí)，才能有效發(fā)揮高管支持的正向引導(dǎo)和示范作用。

4. 履行和內(nèi)化對(duì)信息安全管理有效性的影響

假設(shè)檢驗(yàn)結(jié)果顯示，假設(shè)H8得到驗(yàn)證（β=0.400，p＜0.001），即履行對(duì)信息安全管理有效性有顯著正向影響。出乎意料的是，內(nèi)化對(duì)信息安全管理有效性沒有顯著正向影響，假設(shè)H9沒有得到驗(yàn)證（β=0.083，p＞0.05）。假設(shè)H8和H9所呈現(xiàn)的結(jié)論值得與林潤(rùn)輝等（2016）的研究發(fā)現(xiàn)進(jìn)行對(duì)比。在本文中，因變量為涵蓋機(jī)密性、完整性和可用性的信息安全管理有效性，而林潤(rùn)輝等（2016）的因變量為范疇更為廣泛的信息安全績(jī)效，包括競(jìng)爭(zhēng)優(yōu)勢(shì)、經(jīng)濟(jì)效益和運(yùn)維效率。對(duì)比兩項(xiàng)研究中履行和內(nèi)化對(duì)因變量的不同影響，可以在后續(xù)研究中深化研究制度化中履行和內(nèi)化對(duì)信息安全管理有效性的影響過(guò)程，分析假設(shè)H9沒有得到驗(yàn)證的深層原因。

表5列出本研究中所有假設(shè)的路徑系數(shù)、T值和假設(shè)檢驗(yàn)的結(jié)果。

表5 假設(shè)檢驗(yàn)結(jié)果

五、研究結(jié)論與展望

（一）研究結(jié)論

本研究在企業(yè)信息安全管理情境下，探討了高管支持、制度化和信息安全管理有效性之間的關(guān)系。以國(guó)內(nèi)通過(guò)信息安全管理體系認(rèn)證的企業(yè)為調(diào)研對(duì)象，收集了148份有效問(wèn)卷，采用結(jié)構(gòu)方程模型對(duì)研究模型進(jìn)行統(tǒng)計(jì)分析和實(shí)證檢驗(yàn)，得出以下三點(diǎn)結(jié)論：信息安全意識(shí)的提高不僅能促進(jìn)高管團(tuán)隊(duì)對(duì)信息安全的支持，而且還可以提高信息安全管理的有效性；高管團(tuán)隊(duì)對(duì)信息安全重要性的認(rèn)知水平越高，越有利于企業(yè)信息安全制度化中履行和內(nèi)化相關(guān)管理活動(dòng)的開展；企業(yè)內(nèi)部信息安全制度的落實(shí)水平越高，越有利于信息安全管理有效性的發(fā)揮。

以下對(duì)研究結(jié)論做進(jìn)一步討論。首先，信息安全意識(shí)能夠提高高管支持的水平，提高企業(yè)信息安全管理的有效性。信息安全意識(shí)是對(duì)信息安全管理相關(guān)知識(shí)的認(rèn)知，它可能來(lái)自于生活或工作的經(jīng)驗(yàn)（如遭受過(guò)黑客攻擊，接受過(guò)違反信息安全策略的處罰），也可能來(lái)自于外部環(huán)境的影響（如接受過(guò)信息安全培訓(xùn)）。在企業(yè)信息安全管理中，信息安全意識(shí)會(huì)不斷糾正高層管理團(tuán)隊(duì)對(duì)信息安全活動(dòng)的認(rèn)知，以減少企業(yè)信息資源可能遭受的各種內(nèi)外威脅。此外，信息安全意識(shí)遵循知識(shí)→勸說(shuō)→決策的影響傳遞路徑（Bulgurcu等，2010），因此信息安全意識(shí)的提高會(huì)影響高層管理團(tuán)隊(duì)對(duì)信息安全的態(tài)度，最終促進(jìn)他們參與到信息安全管理活動(dòng)中去。同樣，良好的信息安全意識(shí)會(huì)積極影響企業(yè)員工日常的工作行為（如遵守信息安全管理策略），這也能夠有效降低員工違規(guī)所引發(fā)的信息安全風(fēng)險(xiǎn)，提高信息安全管理的有效性。

其次，高管信念對(duì)履行和內(nèi)化的正向影響深化了我們對(duì)高管團(tuán)隊(duì)與信息安全制度化之間關(guān)系的認(rèn)識(shí)。一方面，企業(yè)的生存和發(fā)展需要遵循既定的社會(huì)標(biāo)準(zhǔn)和法律制度，進(jìn)而獲得其合法性。高層管理團(tuán)隊(duì)對(duì)于信息安全管理的認(rèn)可以及對(duì)信息安全管理重要性的認(rèn)知，可以推動(dòng)企業(yè)對(duì)自身制度化的外部表達(dá)，實(shí)現(xiàn)制度化履行階段的同時(shí)滿足其外部合法性的要求；另一方面，企業(yè)高層管理團(tuán)隊(duì)對(duì)信息安全管理活動(dòng)重要性的認(rèn)知可以減少制度化內(nèi)化階段中的阻力，加速各項(xiàng)信息安全措施的實(shí)施和部署，保證內(nèi)化階段的順利完成。

最后，履行對(duì)企業(yè)信息安全管理有效性的正向影響拓展了我們對(duì)信息安全制度化效用的理解。該結(jié)論所隱含的內(nèi)在邏輯是，企業(yè)對(duì)自身信息安全制度的外部表達(dá)的準(zhǔn)確性影響了信息安全管理活動(dòng)的效果。企業(yè)設(shè)計(jì)滿足外部監(jiān)管要求的信息安全制度，這就意味著該制度所涵蓋的價(jià)值體系在企業(yè)內(nèi)部是正當(dāng)且合理的。在這樣的內(nèi)部制度環(huán)境下，無(wú)論是企業(yè)的內(nèi)部員工，還是高層管理人員追求信息安全管理的策略和方法均會(huì)得到普遍認(rèn)可。因此，在高層管理團(tuán)隊(duì)的示范和帶動(dòng)效應(yīng)，以及員工的信息安全遵從同伴效應(yīng)共同作用下，企業(yè)可以有效減少各類信息安全風(fēng)險(xiǎn)，提高信息安全管理的有效性。

（二）管理啟示

本研究對(duì)企業(yè)如何推動(dòng)信息安全管理有四個(gè)方面的啟示。第一，加強(qiáng)企業(yè)員工和高層管理團(tuán)隊(duì)的信息安全教育，尤其是要培養(yǎng)和提升企業(yè)所有人員的信息安全意識(shí)。例如，在企業(yè)信息安全管理中構(gòu)建完善的信息安全意識(shí)培訓(xùn)程序，幫助員工掌握合理的信息系統(tǒng)操作規(guī)范和應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的基本技巧。與此同時(shí)，如果企業(yè)的高層管理團(tuán)隊(duì)中沒有信息安全主管或相對(duì)應(yīng)的職位，應(yīng)該針對(duì)此類高層管理團(tuán)隊(duì)開展定期的信息安全知識(shí)分享和教育活動(dòng)，以保證高層管理團(tuán)隊(duì)成員具有良好的信息安全意識(shí)。第二，企業(yè)高層管理團(tuán)隊(duì)要足夠重視信息安全制度化過(guò)程。高層管理團(tuán)隊(duì)對(duì)企業(yè)信息安全制度建設(shè)過(guò)程的關(guān)注和參與，能夠有效促進(jìn)企業(yè)在制度和流程上對(duì)信息安全進(jìn)行合理設(shè)計(jì)，對(duì)包含了信息系統(tǒng)、信息技術(shù)、硬件、軟件和員工的企業(yè)信息資源系統(tǒng)進(jìn)行規(guī)范和約束，減少信息安全風(fēng)險(xiǎn)的發(fā)生。第三，企業(yè)的信息安全制度化需要有準(zhǔn)確的外部表達(dá)，在獲得合法性的同時(shí)確保信息安全管理的有效性。在企業(yè)公布的信息安全相關(guān)文件中要確保所有條款滿足外部監(jiān)管的要求。同時(shí)，所公布的組織正式文件要涉及企業(yè)信息資源的機(jī)密性、完整性和可用性，最大限度提高信息安全管理的有效性。第四，企業(yè)信息安全的獲得不能僅僅依靠技術(shù)支持或系統(tǒng)升級(jí)，還需要在管理層面上采取合理的制度管理和控制。例如，注重對(duì)所有員工的信息安全意識(shí)培訓(xùn)，以日常工作為標(biāo)準(zhǔn)構(gòu)建不同安全級(jí)別的員工系統(tǒng)登錄權(quán)限，強(qiáng)化員工的信息安全策略遵守行為。也就是說(shuō)，有效的信息安全管理手段均應(yīng)該納入信息安全制度相關(guān)文件，以保證企業(yè)信息安全管理活動(dòng)的可行性和有效性。

（三）研究局限與未來(lái)展望

本研究還存在一定的局限性。首先，將高管支持劃分為高管信念和高管參與兩個(gè)維度，但是企業(yè)信息安全管理情境下高管支持的維度可能更為復(fù)雜。例如，企業(yè)高管團(tuán)隊(duì)中信息安全經(jīng)理對(duì)于信息安全知識(shí)的分享，同樣能夠推動(dòng)信息安全實(shí)踐的開展。然而，在當(dāng)前企業(yè)實(shí)踐中，信息安全管理還沒有得到足夠的重視，這種信息安全知識(shí)的分享和傳播機(jī)制還沒有充分展開。隨著企業(yè)信息安全管理實(shí)踐的深入，后續(xù)研究應(yīng)該從更多維度對(duì)高管支持進(jìn)行結(jié)構(gòu)化分析，這有助于發(fā)揮高管支持在信息安全管理中的積極作用。其次，沒有考慮組織外部環(huán)境因素對(duì)企業(yè)信息安全制度化的影響。新制度主義學(xué)者強(qiáng)調(diào)制度的社會(huì)適當(dāng)性，因此未來(lái)研究需要考慮外部制度壓力等因素對(duì)企業(yè)信息安全制度化的影響過(guò)程，以豐富本文僅從內(nèi)部管理視角探討制度化影響因素的研究。最后，假設(shè)檢驗(yàn)的結(jié)果顯示高管參與對(duì)履行和內(nèi)化的影響不顯著，這與最初的研究假設(shè)出現(xiàn)了偏差。未來(lái)研究中需要深入探討高管參與對(duì)履行和內(nèi)化影響不顯著的深層原因，這對(duì)于如何通過(guò)高管支持來(lái)持續(xù)推進(jìn)企業(yè)信息安全的制度化可能會(huì)更有參考價(jià)值。

主要參考文獻(xiàn)

[1]白海青, 毛基業(yè). 高層管理支持信息系統(tǒng)的概念及維度研究[J]. 管理評(píng)論，2009, （10）： 61-69.

[2]白海青, 毛基業(yè). CEO支持信息化的動(dòng)因： 激發(fā)條件與促進(jìn)機(jī)制[J]. 南開管理評(píng)論，2014, （6）： 114-125.

[3]李禮, 張延林, 張夢(mèng)華. 高管支持行為細(xì)分——企業(yè)IT應(yīng)用中信任作用的實(shí)證檢驗(yàn)[J]. 管理科學(xué)，2010, （4）： 68-76.

[4]林潤(rùn)輝, 謝宗曉, 王興起, 等. 制度壓力、信息安全合法化與組織績(jī)效——基于中國(guó)企業(yè)的實(shí)證研究[J]. 管理世界，2016,（2）： 112-127.

[5]孫德升. 高管團(tuán)隊(duì)與企業(yè)社會(huì)責(zé)任： 高階理論的視角[J]. 科學(xué)學(xué)與科學(xué)技術(shù)管理，2009, （4）： 188-193.

[6]謝宗曉. 信息安全管理體系實(shí)施指南[M]. 北京： 中國(guó)標(biāo)準(zhǔn)出版社, 2012.

[7]謝宗曉, 林潤(rùn)輝, 王興起. 用戶參與對(duì)信息安全管理有效性的影響——多重中介方法[J]. 管理科學(xué)，2013, （3）： 65-76.

[8]謝宗曉, 林潤(rùn)輝. 信息安全制度化3I模型[J]. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016, （6）： 30-33.

[9]張建君, 李宏偉. 私營(yíng)企業(yè)的企業(yè)家背景、多元化戰(zhàn)略與企業(yè)業(yè)績(jī)[J]. 南開管理評(píng)論，2007, （5）： 12-25.

[10]周浩, 龍立榮. 共同方法偏差的統(tǒng)計(jì)檢驗(yàn)與控制方法[J]. 心理科學(xué)進(jìn)展，2004, （6）： 942-950.

[11]Barton K A, Tejay G, Lane M, et al. Information system security commitment： A study of external influences on senior management[J]. Computers & Security，2016, 59： 9-25.

[12]Boss S R, Galletta D F, Lowry P B, et al. What do systems users have to fear? Using fear appeals to engender threats and fear that motivate protective security behaviors[J]. MIS Quarterly，2015, 39（4）： 837-864.

[13]Bulgurcu B, Cavusoglu H, Benbasat I. Information security policy compliance： An empirical study of rationality-based beliefs and information security awareness[J]. MIS Quarterly，2010, 34（3）： 523-548.

[14]Carpenter M A, Fredrickson J W. Top management teams, global strategic posture, and the moderating role of uncertainty[J].Academy of Management Journal，2001, 44（3）： 533-545.

[15]Chang S E, Lin C S. Exploring organizational culture for information security management[J]. Industrial Management & Data Systems，2007, 107（3）： 438-458.

[16]Crossler R E, Johnston A C, Lowry P B, et al. Future directions for behavioral information security research[J]. Computers &Security，2013, 32： 90-101.

[17]D’Arcy J, Hovav A, Galletta D. User awareness of security countermeasures and its impact on information systems misuse： A deterrence approach[J]. Information Systems Research，2009, 20（1）： 79-98.

[18]Herath T, Rao H R. Encouraging information security behaviors in organizations： Role of penalties, pressures and perceived effectiveness[J]. Decision Support Systems，2009, 47（2）： 154-165.

[19]Hu Q, Dinev T, Hart P, et al. Managing employee compliance with information security policies： The critical role of top management and organizational culture[J]. Decision Science，2012, 43（4）： 615-660.

[20]Hsu C, Lee J N, Straub D W. Institutional influences on information systems security innovations[J]. Information Systems Research，2012, 23（2）： 918-939.

[21]Kostova T, Roth K. Adoption of an organizational practice by subsidiaries of multinational corporations： Institutional and relational effects[J]. Academy of Management Journal，2002, 45（1）： 215-233.

[22]Kruger H A, Kearney W D. A prototype for assessing information security awareness[J]. Computers & Security，2006, 25（4）：289-296.

[23]Liang H G, Saraf N, Hu Q, et al. Assimilation of enterprise systems： The effect of institutional pressures and the mediating role of top management[J]. MIS Quarterly，2007, 31（1）： 59-87.

[24]Peng D X, Lai F J. Using partial least squares in operations management research： A practical guideline and summary of past research[J]. Journal of Operations Management，2012, 30（6）： 467-480.

[25]Posey C, Roberts T L, Lowry P B, et al. Bridging the divide： A qualitative comparison of information security thought patterns between information security professionals and ordinary organizational insiders[J]. Information & Management，2014, 51（5）：551-567.

[26]Puhakainen P, Siponen M. Improving employees’compliance through information systems security training： An action research study[J]. MIS Quarterly，2010, 34（4）： 757-778.

[27]Reinartz W, Haenlein M, Henseler J. An empirical comparison of the efficacy of covariance-based and variance-based SEM[J]. International Journal of Research in Marketing，2009, 26（4）： 332-344.

[28]Rezgui Y, Marks A. Information security awareness in higher education： An exploratory study[J]. Computers & Security，2008, 27（7-8）： 241-253.

[29]Scott W R. Institutions and organizations： Ideas and interests[M]. 3rd ed. Los Angeles： Sage Publications, 2008.

[30]Sharma R, Yetton P. The contingent effects of management support and task interdependence on successful information systems implementation[J]. MIS Quarterly，2003, 27（4）： 533-556.

[31]Smith S, Winchester D, Bunker D, et al. Circuits of power： A study of mandated compliance to an information systems security “De Jure” standard in a government organization[J]. MIS Quarterly，2010, 34（3）： 463-486.

[32]Spears J L, Barki H. User participation in information systems security risk management[J]. MIS Quarterly，2010, 34（3）： 503-522.

[33]Tyler T R, Blader S L. Can businesses effectively regulate employee conduct? The antecedents of rule following in work settings[J]. Academy of Management Journal，2005, 48（6）： 1143-1158.

[34]Tyler T R, Callahan P E, Frost J. Armed, and dangerous（?）： Motivating rule adherence among agents of social control[J]. Law& Society Review，2007, 41（2）： 457-492.

[35]Warkentin M, Willison R. Behavioral and policy issues in information systems security： The insider threat[J]. European Journal of Information Systems，2009, 18（2）： 101-105.