用户参与对信息安全管理有效性的影响——多重中介方法.pdfVIP

第26卷第3期 管理科学 ISSN1672—0334 Vo1．26No．3 65-76 2013年6月 JournalofManagementScience June，2013 ⑩ 用户参与对信息安全 管理有效性的影响 多重中介方法 谢宗晓 ，林润辉 ，王兴起2 1南开大学 商学院，天津 300071 2北京科技大学 东凌经济管理学院，北京 100083 搪蔓 ：已有研究大都致力于开发信息安全意识管理规程或人员管理规程等 ，以提 高信息 安全管理 的有效性 ，而缺乏关于用户(或人员)参与如何影响信息安全管理 的有效性研究。以 信息安全管理体系(ISO／IEC27000标准族)为背景 ，将信息安全意识与业务流程相结合构建用 户参与对信息安全管理有效性影响的多重 中介模型，并从 中国通过信息安全管理体系认证的 497家企业 中随机抽取30家，采用邮寄的方式发放300份 问卷 ，运用 Bootstrapping方法进行实证 分析。研究结果表 明，用户参与对信息安全意识 、业务流程结合有显著正 向作用，且用户参 与、信息安全意识与业务流程结合对信息安全管理的有效性均有显著 的正 向作用 ，用户参与 通过信息安全 意识和业务流程结合的中介作用影响信息安全 管理 的有效性 。 关键调：用户参与；信息安全；信息安全意识；业务流程结合 中图分类号：C931．6 文献标识码：A doi：10．3969／j．issn．1672—0334．2013．03．007 文章编号：1672—0334(2013)03—0065—12 1 引言 Spears等 的研究表 明，用户参与风险评估和控制措 无论信息安全 的关注点从单点转 向系统，还是 施设计过程可 以提供足够 的业务信息 ，避免不切实 其手段从单纯 的技术／管理转 向体系 ，安全体系 的核 际的安全控制 ，使实现适 当的安全成为可能。因此 ， 心始终都是用户 。因为在所有安全机制 中，一方面 ， 用户参与在信息安全实践 中是必须和必要 的，本研 用户是机器系统的使用者 ，也是安全策略的执行者 ， 究的 目的是探讨用户参与在信息安全管理 (informa． 作为主体方存在 ；另一方面 ，用户是安全策略约束 的 tionsecuritymanagement，ISM)有效性 中的作用 。 对象，作为客体方存在。 用户在信息安全实践 中的作用往往被认为是消 2 相关研究评述 极 的，有些研究认为 ，在任何系统的安全机制 中，人 2．1 用户参与 是最薄弱 的环节” 』。但 是 ，目前不存在完全不 需 用户参与的研究开始于2O世纪6o年代 J，目前 要用户参与就能够智能识别并适应环境变化 的安全 多集 中在信息系统开发领域 中，在相 当长 的一段时 防护系统，就这点而言，用户参与在现阶段是不可避 间内，用户参与和用户涉入的概念被认为同义。Bar- 免的。此外 ，ISO／IEC27001：2005指 出，信息安全 的 ki等 l6第一次将用户涉入与用户参与 的概念分离 ， 主要 目的是确保业务连续性、业务风险最小化 、投资 认为用户参与是系统开发过程 中用户执行的一系列 回报和商业机遇最大化 ，也就是说信息安全是基于 行为或活动 ，用户涉入是用户对一个 系统 的重要性 业务要求 的适 当安全 ，过度 的安全往往意味着浪费。 以及与个体关联程