高管支持對(duì)信息安全管理有效性的影響研究：信息安全意識(shí)的中介效應(yīng)＊

武德昆 官海濱 王興起 謝宗曉

（1．北京科技大學(xué) 東凌經(jīng)濟(jì)管理學(xué)院，北京100083；2．南開(kāi)大學(xué) 商學(xué)院，天津300071）

一、引言

隨著信息化程度的不斷提高，信息安全的重要性得到了前所未有的重視。然而目前重技術(shù)輕管理的思路并沒(méi)有實(shí)質(zhì)性的改變信息安全管理（Information security management，ISM）的有效性。以2013年6月的“棱鏡門事件”為例，美國(guó)情報(bào)機(jī)構(gòu)就竊取了電子郵件，即時(shí)消息、語(yǔ)音聊天、文件傳輸、視頻會(huì)議和社交網(wǎng)絡(luò)資料等信息，而這些泄密事件完全可以通過(guò)有效的管理得以避免，例如通過(guò)加強(qiáng)涉密載體的保密資質(zhì)審查防止硬件安全漏洞，通過(guò)提高涉密人員的信息安全意識(shí)、規(guī)范涉密人員安全操作流程等防止日常操作所導(dǎo)致的安全事件，通過(guò)定期的安全檢查、風(fēng)險(xiǎn)評(píng)估、安全加固等手段降低涉密系統(tǒng)潛在的安全風(fēng)險(xiǎn)等。據(jù)《2010／2011計(jì)算機(jī)犯罪與安全調(diào)查》（Computer Crime and Security Survey）報(bào)告：盡管受訪組織殺毒軟件和防火墻的使用率分別達(dá)到97%和94．9%，但仍有41．1%的受訪組織經(jīng)歷過(guò)信息安全事件，其中內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件造成的信息安全事件高達(dá)24．8%。

事實(shí)上，信息安全管理是一項(xiàng)系統(tǒng)性工程，在實(shí)踐中，以信息技術(shù)部門為主，涉及到組織中的所有部門，與每一個(gè)員工都息息相關(guān)，［1］但只有作為對(duì)信息安全的相關(guān)活動(dòng)負(fù)有戰(zhàn)略決策及活動(dòng)導(dǎo)向責(zé)任的高層管理者才有能力協(xié)調(diào)各部門關(guān)系，決定新技術(shù)的引進(jìn)、管理制度的建立與實(shí)施和對(duì)實(shí)施情況進(jìn)行監(jiān)督。因此，高層管理支持（以下簡(jiǎn)稱“高管支持”）對(duì)組織信息安全管理的有效性起著不可或缺的作用。

本文以信息安全管理體系（Information Security Management System，ISMS，以下同）為背景，研究高管支持在信息安全管理中的作用。ISO／IEC27000標(biāo)準(zhǔn)族中對(duì)ISMS給出了專門的定義，按照該定義滿足條件的標(biāo)準(zhǔn)有很多。［2］在實(shí)際應(yīng)用中，由于我國(guó)企業(yè)在信息安全管理體系的選擇上也是以ISO／IEC27000標(biāo)準(zhǔn)族為主，因此一般認(rèn)為ISMS與ISO／IEC27000標(biāo)準(zhǔn)族是同義的。據(jù)統(tǒng)計(jì)，截至2012年12月，共有1169家中國(guó)企業(yè)通過(guò)信息安全認(rèn)證?；诶碚摵蛯?shí)踐上的考量，本研究中也沿用這個(gè)慣例，并從通過(guò)驗(yàn)證的1169家企業(yè)中選取300家作為樣本進(jìn)行實(shí)證研究。

二、高管支持及相關(guān)文獻(xiàn)綜述和研究假設(shè)

（一）高管支持的涵義

高管支持在信息系統(tǒng)中的研究比較早，這些研究涵蓋了不同類型的信息系統(tǒng)，跨越了信息系統(tǒng)開(kāi)發(fā)、采納、實(shí)施各階段，并發(fā)現(xiàn)了高管支持對(duì)信息系統(tǒng)的正面作用。［3］盡管相關(guān)的研究眾多，但學(xué)界對(duì)高管支持的定義并不統(tǒng)一。綜合已有高管支持的定義，可以將高管支持定義分為四類：（1）要素觀。研究者通過(guò)描述其包含的要素界定高管支持，Jarvenpaa．S．L，Ives．B提出高管支持包括高層參與（Executives participation）和高層心理投入（executives involvement）兩個(gè)要素。［4］（2）績(jī)效觀。高管支持即高管對(duì)信息系統(tǒng)正向影響組織績(jī)效的程度。（3）支持觀。即高管支持能夠?yàn)樾畔⑾到y(tǒng)提供資源支持和良好的制度環(huán)境，Guimaraes．T．Igbaria．M定義高管支持為“高層管理鼓勵(lì)和分配資源”。［5］（4）管理觀。認(rèn)為高管支持確保信息系統(tǒng)和業(yè)務(wù)流程結(jié)合，并改變管理以迎合信息系統(tǒng)的特色。定義的多樣性也導(dǎo)致對(duì)高管支持的行為主體即高管本身組成的不確定性，有研究者認(rèn)為高管指CEO和業(yè)務(wù)經(jīng)理；［6］也有指CEO和IT經(jīng)理，［7］還有研究者認(rèn)為信息系統(tǒng)中的高管包含CEO、CIO、COO，以及其他高層業(yè)務(wù)領(lǐng)導(dǎo)。［8］

根據(jù)2017年1~6月的問(wèn)卷調(diào)查結(jié)果顯示,獻(xiàn)血者在獻(xiàn)血前、獻(xiàn)血中、獻(xiàn)血后對(duì)于采血護(hù)理的滿意程度分別為99.00%、99.28%以及97.84%。而根據(jù)2016年7~12月的問(wèn)卷調(diào)查結(jié)果,獻(xiàn)血者在獻(xiàn)血前、獻(xiàn)血中、獻(xiàn)血后對(duì)于采血護(hù)理的滿意程度分別為98.79%、99.24%以及98.46%。我站在實(shí)施采血護(hù)理風(fēng)險(xiǎn)評(píng)估和控制后,獻(xiàn)血者對(duì)于采血護(hù)理的整體滿意有了顯著的提升,見(jiàn)于表1

最近的研究者從高管支持主體的角度出發(fā)，結(jié)合高管支持在信息系統(tǒng)中的作用，認(rèn)為信息系統(tǒng)情境下的高管是指那些專門針對(duì)信息系統(tǒng)事務(wù)相關(guān)的高管，是組織 中 高 管 的 子 集。［2，9－10］與 信 息 系 統(tǒng) 情 境下類似，在信息安全管理情境下，本研究中定義的高管是指為保證信息安全的相關(guān)活動(dòng)負(fù)有戰(zhàn)略決策及活動(dòng)導(dǎo)向責(zé)任的群體。企業(yè)信息安全管理體系貫徹實(shí)施中將領(lǐng)導(dǎo)責(zé)任明確為“信息安全領(lǐng)導(dǎo)小組”的責(zé)任，即不但包括公司負(fù)責(zé)人、分管信息安全的公司副職，還包括公司所有的業(yè)務(wù)主管領(lǐng)導(dǎo)，尤其是財(cái)務(wù)、人力資源等部門的主要負(fù)責(zé)人。因此，本研究將高管支持描述為：信息安全領(lǐng)導(dǎo)小組成員基于對(duì)信息安全重要性的認(rèn)識(shí)，向公司其他成員展現(xiàn)出的對(duì)信息安全的態(tài)度和傾向性以及參與信息安全實(shí)踐行為的總和。進(jìn)一步細(xì)分，高管支持體現(xiàn)在兩個(gè)層面，即認(rèn)知支持和行為支持。［2，11］

Liang H．Saraf et al的 研 究 使 用 高 管 信 念（TMB）和高管參與（TMP），并提出外部環(huán)境首先影響高管的信念結(jié)構(gòu)，其次高管信念結(jié)構(gòu)引導(dǎo)高管的行為。［12］本研究界定的高管支持體現(xiàn)在兩個(gè)方面，即包括高管信念和高管參與。在信息安全管理背景下，高管信念指高管團(tuán)隊(duì)對(duì)信息安全管理活動(dòng)潛能的主觀心理狀態(tài)，例如高管團(tuán)隊(duì)對(duì)信息安全的理解程度以及信息安全對(duì)組織重要性的認(rèn)識(shí)；高管參與指推動(dòng)信息安全管理活動(dòng)融入公司日常行為的所有行動(dòng)，基于已有文獻(xiàn)提出如下假設(shè)：

H1：在信息安全管理活動(dòng)中，高管信念對(duì)高管參與有著顯著的正向影響。

（二）信息安全意識(shí)

在心理學(xué)上，意識(shí)是個(gè)體以其感官系統(tǒng)，對(duì)外來(lái)刺激的一種主觀的解釋與反應(yīng)，它受個(gè)體及以往經(jīng)驗(yàn)與社會(huì)普遍標(biāo)準(zhǔn)的影響。個(gè)體在面對(duì)相同的外來(lái)刺激會(huì)產(chǎn)生不同的個(gè)體反應(yīng)，信息安全風(fēng)險(xiǎn)也不例外。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）最早認(rèn)識(shí)到信息安全意識(shí)的重要性，認(rèn)為信息安全意識(shí)是使個(gè)體對(duì)威脅與脆弱性感到敏感，并能夠識(shí)別出所需保護(hù)的資料、信息與處理的過(guò)程。經(jīng)合組織（OECD）在《信息系統(tǒng)與網(wǎng)絡(luò)安全準(zhǔn)則》修訂本中提到員工的意識(shí)并賦予以下的涵義：信息安全意識(shí)即所有的信息系統(tǒng)的參與者均應(yīng)意識(shí)到信息系統(tǒng)與網(wǎng)絡(luò)安全的必要性。NIST對(duì)信息安全意識(shí)做了更為具體的定義：它使得個(gè)體明白信息安全的重要性，并據(jù)此做出回應(yīng)，其目的是要求在日常工作時(shí)集中關(guān)注信息安全，且必須包含組織內(nèi)的所有使用者。ISF將信息安全意識(shí)定義為組織內(nèi)所有的員工理解信息安全的重要性，清楚組織所適用的安全級(jí)別，知悉并履行個(gè)人的安全職責(zé)。［13］GB／T22080－2008／ISO／IEC27001：2005在正文中（5．2．2，pp．9）和附錄 A中（A．8．2．2，pp．16）分別提出了建立信息安全意識(shí)規(guī)程的要求。其他常見(jiàn)的信息安全管理標(biāo)準(zhǔn)也有相同的條文，例如，GB／T22239－2008中的“安全意識(shí)教育和培訓(xùn)”。

個(gè)體行為習(xí)慣的徹底改變需要做到知行合一，即認(rèn)知和行為的統(tǒng)一，信息安全意識(shí)的提升能夠改變員工不良的行為習(xí)慣，從而降低信息安全事故發(fā)生率，提升組織的績(jī)效，例如可以提高公司的利潤(rùn)率、股票收益率等。在最近的研究中，Spears J．L．＆Barki H驗(yàn)證了用戶參與對(duì)信息安全意識(shí)在信息安全風(fēng)險(xiǎn)管理中的作用。［14］Puhakainen．P．＆ M．Siponen通過(guò)行動(dòng)研究（Action Research）探討了信息安全培訓(xùn)培訓(xùn)規(guī)程對(duì)員工信息安全意識(shí)直至員工安全策略遵守（Policy Compliance）的正向影響作用。［15］Karjalainen．M．＆M．Siponen不但進(jìn)行了實(shí)證研究，而且用元理論（Meta-Theory）試圖找出信息安全意識(shí)培訓(xùn)的本質(zhì)。［16］這些研究一個(gè)隱含的前提都是信息安全意識(shí)對(duì)信息安全管理有效性有促進(jìn)作用。

此外，微軟公司在幫助客戶建立信息安全方案的公開(kāi)文檔中也明確提出：建立信息安全意識(shí)培訓(xùn)方案的主要目標(biāo)是：通過(guò)強(qiáng)化大家認(rèn)可的、與公司業(yè)務(wù)有關(guān)的安全活動(dòng)，從而改變?nèi)w員工的行為。Kruger．H．A ＆ Kearney．W．D指出安全控制的應(yīng)用效果依賴于積極的安全環(huán)境，其中包括每個(gè)人都理解并執(zhí)行組織內(nèi)的程序和規(guī)程，具有較高的信息安全意識(shí)。［17］Bulgurcu．B，Cavusoglu．H ＆ Benbasat．I探討了員工信息安全意識(shí)對(duì)信息安全策略遵守的正向影響，［18］謝宗曉等的研究結(jié)論則驗(yàn)證了員工信息安全意識(shí)對(duì)信息安全管理有效性有顯著正向影響，并在用戶參與和信息安全管理有效性之間的關(guān)系中具有中介作用。

基于以上認(rèn)識(shí)與文獻(xiàn)研究，提出下列假設(shè)：

H6：在信息安全的情境下，員工信息安全意識(shí)對(duì)信息安全管理有效性有顯著正向影響。

（三）高管支持對(duì)信息安全管理的影響

Teo．T．S．H，Ang．J．S．K研究發(fā)現(xiàn)，“不能獲得高管支持”是許多組織在信息系統(tǒng)規(guī)劃、開(kāi)發(fā)及使用上難以實(shí)施的重要原因，研究者通常認(rèn)為高管支持的不足是信息系統(tǒng)成功的最大障礙。信息安全管理也不例外。［19］在信息系統(tǒng)的實(shí)施過(guò)程中，高管支持能夠幫助清除組織中不同利益群體的阻力；提供實(shí)施全過(guò)程中必須的資源，激發(fā)員工使用信息系統(tǒng)的積極性。信息安全管理的實(shí)施需要促使員工遵守公司規(guī)章制度，改變員工的操作習(xí)慣，保證安全控制的實(shí)施，增加信息安全風(fēng)險(xiǎn)保護(hù)軟件的使用。

高管支持問(wèn)卷修改采用Liang．H et al的研究成果，問(wèn)卷共6個(gè)題目，采用李克特5點(diǎn)量表，分為從非常同意到非常不同意共五級(jí)。［12］信息安全意識(shí)問(wèn)卷修改自Spears．J．L．，Barki．H的信息安全意識(shí)問(wèn)卷，該問(wèn)卷包括個(gè)人安全意識(shí)與對(duì)信息資產(chǎn)保護(hù)的責(zé)任感兩個(gè)方面。［14］信息安全管理有效性測(cè)量量表采用謝宗曉等和Chang S．E．，Lin Chin-shien的問(wèn)卷。［20，23－24］該量表共有13項(xiàng)，其中有5項(xiàng)測(cè)量保密性，5項(xiàng)測(cè)量完整性，3項(xiàng)測(cè)量可用性。問(wèn)卷已經(jīng)被證實(shí)有著較好的內(nèi)容效度和結(jié)構(gòu)效度。［23］

在信息安全情境下，高管信念包括對(duì)企業(yè)信息安全管理重要性的看法，信息安全方面的遠(yuǎn)景規(guī)劃，對(duì)信息安全管理成本的基本判斷以及信息安全管理相關(guān)知識(shí)的初步了解?；谛拍?，企業(yè)高管會(huì)向其他管理者傳遞信息安全重要性的強(qiáng)有力信息，然后將這種信息傳遞到公司員工當(dāng)中，從而影響公司員工的信息安全意識(shí)，最終影響信息安全管理的有效性。基于以上分析提出以下假設(shè)：

研究發(fā)現(xiàn)，高管支持對(duì)信息安全管理的有效性有著非常顯著的正向作用。本研究中高管信念支持成為影響信息安全管理有效性的邏輯起點(diǎn)，它既能直接影響信息安全管理有效性，又能通過(guò)影響高管參與支持和員工信息安全意識(shí)影響信息安全管理有效性。

b.進(jìn)行受力(方向和大小)分析。一般我們先分析場(chǎng)力(重力，洛倫茲力，電場(chǎng)力)，再來(lái)研究分析彈力，最后是查看是否有摩擦力和其他力并找到其方向。

H7：在信息安全情境下，高管信念通過(guò)信息安全意識(shí)對(duì)信息安全管理有效性產(chǎn)生顯著的正向作用。

H4：在信息安全情境下，高管信念對(duì)信息安全管理有效性有著顯著的正向作用。

評(píng)價(jià)假設(shè)的路徑分析模型圖與搜集的數(shù)據(jù)是否相互適配，即研究的假設(shè)是否符合實(shí)際數(shù)據(jù)的現(xiàn)況的指 標(biāo) 稱 之 為 擬 合 度 指 標(biāo) （Goodness-of-fit indices）。［27］有關(guān)模型擬合度的評(píng)價(jià)有許多不同的主張，溫忠麟提出以絕對(duì)指標(biāo)、相對(duì)指標(biāo)，以及調(diào)整指標(biāo)評(píng)價(jià)整體模型的擬合情況。［28］評(píng)價(jià)模型的具體的統(tǒng)計(jì)檢驗(yàn)量以及擬合的臨界值與本研究的理論模型的統(tǒng)計(jì)檢驗(yàn)值如表2所示。

辦好中國(guó)的事情，關(guān)鍵在黨。近年來(lái)，云南電網(wǎng)全面推動(dòng)黨的建設(shè)重點(diǎn)任務(wù)落實(shí)落地，各級(jí)黨組織全面承接抓落實(shí)，奮力拼搏見(jiàn)成效，但是黨的建設(shè)工作仍然存在“不全面”“不到位”“不平衡”“不扎實(shí)”的問(wèn)題，部分干部、黨員的身份意識(shí)淡化，黨的建設(shè)與生產(chǎn)經(jīng)營(yíng)管理工作融合不夠等問(wèn)題，有待進(jìn)一步解決。2018年，云南電網(wǎng)堅(jiān)持把黨的政治建設(shè)擺在首位，始終繃緊政治這根弦，自覺(jué)用習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想武裝頭腦、指導(dǎo)實(shí)踐、推動(dòng)工作，深入踐行推進(jìn)高質(zhì)量發(fā)展的“七個(gè)一”工作要求，經(jīng)過(guò)近一年的實(shí)踐，組織人事工作成果顯著，黨的建設(shè)工作質(zhì)量得到顯著提高。

H3：在信息安全情境下，高管參與對(duì)員工的信息安全意識(shí)有著顯著的正向影響。

數(shù)據(jù)分析顯示研究樣本中各變量的信度、效度均達(dá)到可接受的水平，表明問(wèn)卷所收集整理的各變量的數(shù)據(jù)具備進(jìn)一步分析的基礎(chǔ)。從圖1可以看出本研究模型為復(fù)式多重中介模型［25］，模型中既有鏈?zhǔn)街薪槟Ｐ?，即高管信念通過(guò)高管參與和信息安全意識(shí)兩個(gè)連續(xù)中介變量影響信息安全管理的有效性；又有并行多重中介模型，即高管信念和高管參與分別通過(guò)和信息安全意識(shí)影響信息安全管理的有效性。方杰、張敏強(qiáng)、邱皓政認(rèn)為，中介模型的分析宜采用偏差校正的百分位法（Bootstrapping）直接對(duì)中介效應(yīng)進(jìn)行顯著性檢驗(yàn)來(lái)判斷中介效應(yīng)的有無(wú)，且Bootstrapping不需要樣本正態(tài)性、獨(dú)立性與大樣本的基本假設(shè)，也可以估計(jì)任何統(tǒng)計(jì)量的標(biāo)準(zhǔn)誤差，檢驗(yàn)中介效應(yīng)更為有效。［26］因此本研究運(yùn)用結(jié)構(gòu)方程模型（SEM）來(lái)分析這些變量間的相互影響關(guān)系。統(tǒng)計(jì)分析工具使用 AMOS16．0，且采用其Bootstrapping功能。

H8：在信息安全情境下，高管參與通過(guò)信息安全意識(shí)對(duì)信息安全管理有效性產(chǎn)生顯著正向影響。

三、模型建構(gòu)、變量測(cè)量及數(shù)據(jù)處理

（一）研究模型的確定

根據(jù)前文所提出的H1－H9的假設(shè)，我們構(gòu)建了高管支持影響信息安全有效性的多重中介模型，模型包括高管參與、高管信念、信息安全意識(shí)和信息安全管理有效性四個(gè)潛變量。各變量之間的關(guān)系如圖1所示。

Johnson等(1998)在Rose(1992)的基礎(chǔ)上又進(jìn)一步擴(kuò)展了對(duì)DCT不同形式的研究。他們?cè)谇榫懊枋龊筮M(jìn)行了三種處理：提供肯定答復(fù)、提供否定答復(fù)、不提供答復(fù)。研究結(jié)果呈現(xiàn)出一個(gè)更為復(fù)雜的局面：有無(wú)答復(fù)以及答復(fù)是肯定還是否定對(duì)被試的回答有不同程度的影響，其中對(duì)抱怨的影響最小，對(duì)道歉的影響最大，對(duì)請(qǐng)求的影響居中。該研究得出結(jié)論：運(yùn)用不同形式DCT得到的結(jié)果可能不具備可比性，它們可能體現(xiàn)了被試對(duì)于是否有答復(fù)以及答復(fù)的不同性質(zhì)的敏感程度(Johnson,1998:172)。

圖1 高管支持影響信息安全有效性的多重中介模型

（二）研究變量與測(cè)量

因此，從某種程度上講，信息安全管理的實(shí)施會(huì)增加員工的負(fù)擔(dān)，相比于信息系統(tǒng)的實(shí)施，信息安全管理的實(shí)施更有可能遇到組織內(nèi)部各部門，各相關(guān)利益群體的抵制，因此也更需要高管的支持和協(xié)調(diào)。［20］（P135）［21］（P187）另外，為保證信息安全系統(tǒng)的實(shí)施，信息安全管理組織架構(gòu)要求采用決策、實(shí)施和監(jiān)督的三權(quán)分離原則。例如《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求商業(yè)銀行在決策層設(shè)立首席信息官，形成信息科技部門、風(fēng)險(xiǎn)管理部門、審計(jì)部門三權(quán)分立的制衡格局，公司治理結(jié)構(gòu)中的風(fēng)險(xiǎn)管理委員會(huì)和審計(jì)委員會(huì)處于組織高層，顯然協(xié)調(diào)三者之間的關(guān)系也需要公司高管團(tuán)隊(duì)的支持。［22］（P108）

（三）樣本選擇與數(shù)據(jù)處理

本研究的樣本是從國(guó)內(nèi)通過(guò)信息安全認(rèn)證的1169家公司（截至2012年12月）隨機(jī)發(fā)放問(wèn)卷300份，并以郵寄的方式回收問(wèn)卷。共收回問(wèn)卷246份，剔除問(wèn)題填寫不完整的問(wèn)卷31份，最終納入數(shù)據(jù)分析的問(wèn)卷共215份，問(wèn)卷的有效率87%。問(wèn)卷包括男性131人，占60．9%；女性84人，占39．1%。其中：具有博士學(xué)歷者10人，占4．7%；碩士學(xué)歷44人，占20．5%；本科學(xué)歷137人，占63．7%；本科以下學(xué)歷24人，占11．2%。在安全部門工作的有48人，占22．3%；IT部門的有104人，占48．4%；業(yè)務(wù)部門的人員有45人，占20．9%；其他部門的有18人，占8．4%；公司高管有11人，占5．1%；中層管理的有58人，占27．0%；基層管理的有96人，占44．7%；普通員工有50人，占23．3%。

（四）問(wèn)卷數(shù)據(jù)有效性分析

根據(jù)回收問(wèn)卷進(jìn)行了數(shù)據(jù)整理分析，使用SPSS18．0對(duì)4個(gè)變量的信度和效度進(jìn)行檢驗(yàn)。高管信念、高管參與、信息安全意識(shí)及信息安全管理有效性4個(gè)潛變量的信度（Cronbach‘sσ）分別為0．760、0．728、0．865、0．899，信度較高，在可接受范圍內(nèi)。在問(wèn)卷的效度方面，Mithas，Ramasubbu等認(rèn)為貼近實(shí)踐，且經(jīng)過(guò)長(zhǎng)期的實(shí)踐檢驗(yàn)，加上有權(quán)威來(lái)源的測(cè)量（例如國(guó)際標(biāo)準(zhǔn)）能夠保證測(cè)量的內(nèi)容效度；［24］結(jié)構(gòu)效度方面采用潛變量之間的相關(guān)系數(shù)來(lái)評(píng)價(jià)，如果相關(guān)系數(shù)顯著，說(shuō)明理論模型成立，結(jié)構(gòu)效度較好，SPSS18．0分析結(jié)果（見(jiàn)表1）表明四個(gè)潛變量之間相關(guān)系數(shù)顯著，結(jié)構(gòu)效度良好。

傳統(tǒng)的汽車金融行業(yè)業(yè)務(wù)主要集中于新車市場(chǎng)，二手車市場(chǎng)上汽車交易活動(dòng)中涉及到的貸款較少，互聯(lián)網(wǎng)汽車金融行業(yè)可以彌補(bǔ)這一行業(yè)的空缺，比如說(shuō)瓜子二手車、優(yōu)信二手車等專做二手車交易的互聯(lián)網(wǎng)汽車金融企業(yè)等都開(kāi)展了相應(yīng)的二手車貸款服務(wù)。同時(shí)要利用互聯(lián)網(wǎng)金融本身所具有的成本低、業(yè)務(wù)開(kāi)展靈活等特點(diǎn)，根據(jù)客戶需求量身打造最適合客戶的汽車金融產(chǎn)品。

表1 4個(gè)潛變量的信度、均值、標(biāo)準(zhǔn)差及相關(guān)系數(shù)檢驗(yàn)

四、實(shí)證結(jié)果分析

H5：在信息安全情境下，高管參與對(duì)信息安全管理有效性有著顯著的正向影響。

（一）整體理論模型的檢驗(yàn)

在信息安全的環(huán)境下，高管參與支持包括高層管理參與到信息安全制度文件的制定中，從自身角度出發(fā)，會(huì)更關(guān)注組織使命，從而使以信息安全方針為基礎(chǔ)的安全控制與業(yè)務(wù)流程更加緊密的結(jié)合；高層管理者參與到組織的內(nèi)部審核活動(dòng)中，會(huì)提高安全控制的實(shí)施績(jī)效；高層管理為信息安全提供更多的資源，為員工提供更多的信息安全技能和信息安全意識(shí)培訓(xùn)，都能夠提高員工的信息安全意識(shí)，進(jìn)而對(duì)信息安全管理的有效性產(chǎn)生影響?；谝陨戏治?，我們提出如下假設(shè)：

表2 整體理論模型擬合指數(shù)評(píng)價(jià)指標(biāo)檢驗(yàn)情況

從表2可知，作為評(píng)價(jià)模型擬合程度有非常重要作用的χ2值的顯著性水平?jīng)]有達(dá)到一般意義上的要求（即p＞0．05）。溫忠麟等指出χ2會(huì)隨樣本量的增大而不斷增大，容易導(dǎo)致任何模型都會(huì)被拒絕，數(shù)據(jù)模擬χ2準(zhǔn)則比較研究發(fā)現(xiàn)隨著樣本量的增加而減少，在樣本量為200時(shí)，顯著性水平為0．001，本研究中的樣本量為215，p＝0．02，高于顯著性水平0．001，符合其驗(yàn)證標(biāo)準(zhǔn)。［28］其他的指標(biāo)中除了RMR值接近顯著性水平之外，其他的擬合統(tǒng)計(jì)檢驗(yàn)值都超過(guò)了臨界值的水平，因此本研究提出的理論模型是合適的，可以用來(lái)檢驗(yàn)提出的假設(shè)。

1.3.3 氣道阻力 采用德國(guó)耶格肺功能檢測(cè)儀，通過(guò)阻斷法，測(cè)定治療組、對(duì)照組治療前后氣道阻力值，連續(xù)測(cè)定6次取平均值。

（二）研究假設(shè)的檢驗(yàn)

理論模型的路徑系數(shù)與假設(shè)檢驗(yàn)結(jié)果如表3所示，數(shù)據(jù)分析結(jié)果表明，研究提出的假設(shè)均得到支持。其中高管信念支持對(duì)高管參與支持有著顯著的正向作用（β1＝0．752，p＜0．001）；高管信念支持對(duì)信息安全意識(shí)有著顯著的正向作用（β2＝0．552，p＜0．05）；高管參與支持對(duì)信息安全意識(shí)有著顯著的正向作用（β3＝0．725，p＜0．001）；高管信念支持對(duì)ISMS有效性有著顯著的正向作用（β4＝0．302，p＜0．05）；高管參與支持對(duì)ISMS有效性有著顯著的正向作用（β5＝0．521，p＜0．05）；信息安全意識(shí)對(duì)ISMS有效性有著顯著的正向作用（β6＝0．309，p＜0．001）；高管信念和高管支持分別通過(guò)信息安全意識(shí)顯著的影響著信息安全意識(shí)（β7＝0．731，p＜0．01；β8＝0．224，p＜0．05），信息安全意識(shí)的中介作用明顯。另外，高管信念通過(guò)高管參與支持和信息安全意識(shí)（β9＝0．545，p＜0．05）影響信息安全有效性，高管參與和員工信息安全意識(shí)起到了聯(lián)合中介作用。

表3 理論模型的路徑系數(shù)與假設(shè)檢驗(yàn)

五、研究結(jié)論與討論

（一）研究結(jié)論

H2：在信息安全情境下，高管信念對(duì)員工的信息安全意識(shí)有著顯著的正向作用。

作為高管支持行為的兩個(gè)維度，首先，高管信念對(duì)高管參與行為有著顯著的正向作用。這與在信息系統(tǒng)中的研究結(jié)果較為一致。高管通過(guò)對(duì)信息安全外部環(huán)境的認(rèn)知會(huì)形成自己獨(dú)特的“信念結(jié)構(gòu)”，這種信念結(jié)構(gòu)會(huì)投射到高管的日常管理行為中，所以高管對(duì)于信息安全管理相關(guān)知識(shí)的理解、信息安全管理對(duì)于組織的價(jià)值和對(duì)組織遭受安全風(fēng)險(xiǎn)的認(rèn)知程度都會(huì)影響高管參與信息安全管理的行為。高管信念對(duì)信息安全意識(shí)有著顯著的正向作用，基于信念，高管通過(guò)與下屬的知識(shí)共享，最終會(huì)將自己的信息安全的理念傳遞給組織的員工，向每一個(gè)員工傳遞出信息安全的重要性信號(hào)以及對(duì)信息安全的支持態(tài)度，進(jìn)而提高員工的信息安全意識(shí)。

在信息安全情境下，這種信念會(huì)反映到組織的愿景中，為組織設(shè)定未來(lái)的發(fā)展目標(biāo)和方向，甚至貫穿于組織文化中，從而達(dá)到激勵(lì)員工并提高士氣，對(duì)推動(dòng)信息安全管理的技術(shù)和措施的采納，吸收和融合發(fā)揮直接的作用，最終提高組織信息安全管理的有效性。反之，如果高管團(tuán)隊(duì)缺乏對(duì)信息安全的理解，就無(wú)法評(píng)估信息安全的應(yīng)用價(jià)值，最終會(huì)導(dǎo)致阻礙必要信息安全管理技術(shù)的引進(jìn)和相關(guān)管理制度的建立。

某承包商通過(guò)招投標(biāo)方式承包了某高校教學(xué)樓工程，工程結(jié)構(gòu)類型為框架-剪力墻結(jié)構(gòu)，基礎(chǔ)為鋼筋混凝土肋梁式筏板，建筑規(guī)模為地上9層，地下1層，建筑高度37.8 m，總建筑面積13 830 m2，合同工期為2012年2月25日至2012年11月15日，合同價(jià)為2 462.7萬(wàn)元。

其次，高管參與包括了操作層面和非操作層面的參與，作為下屬會(huì)敏銳地感覺(jué)到高管對(duì)信息安全管理以及自己工作的一種態(tài)度或傾向性，從而提高員工的信息安全意識(shí)。高管參與信息安全更多地強(qiáng)調(diào)高管對(duì)于信息安全相關(guān)活動(dòng)支持的行為或行動(dòng)，貫穿于信息安全的規(guī)劃、實(shí)施和檢查的全過(guò)程中。高管必須提供物質(zhì)資源和管理資源的支持以保障活動(dòng)的順利開(kāi)展，最終影響信息安全的有效性。毫無(wú)疑問(wèn)，高管對(duì)組織業(yè)務(wù)的了解最為全面，高管參與到信息安全管理的流程中，能夠協(xié)助相關(guān)人員制定與公司業(yè)務(wù)最為匹配的信息安全管理規(guī)劃，協(xié)調(diào)組織各個(gè)部門的利益關(guān)系推動(dòng)信息安全管理的實(shí)施，以及調(diào)配相應(yīng)的資源為信息安全管理的檢查和持續(xù)改進(jìn)提供保證，最終促進(jìn)信息安全管理有效性的提升。

RCS仿真模型如圖3所示，圖3(a)為空客A320型飛機(jī)模型，圖3(b)為F-15C型戰(zhàn)斗機(jī)模型。以目標(biāo)到接收機(jī)的雷達(dá)視線方位角為90°、俯仰角為125°為例，4種極化方式的靜態(tài)RCS數(shù)據(jù)分別如圖4、圖5所示，其中，圖4為目標(biāo)是空客A320型飛機(jī)的RCS結(jié)果，圖5為F-15C型戰(zhàn)斗機(jī)的RCS結(jié)果。

最后，信息安全意識(shí)對(duì)信息安全有效性有著顯著的正向作用，這與已有的信息安全標(biāo)準(zhǔn)中的要求較為一致。提高員工信息安全意識(shí)是各種信息安全管理體系標(biāo)準(zhǔn)中的共同要求，雖然在標(biāo)準(zhǔn)中提到的是“適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針及程序的定期更新培訓(xùn)”，但培訓(xùn)的最終目的，無(wú)非就是從實(shí)質(zhì)上提高企業(yè)全體工作人員的信息安全意識(shí)。信息安全意識(shí)是一種戒備和警覺(jué)的心理狀態(tài)，這種心理狀態(tài)以員工的外顯行為表現(xiàn)出來(lái)，較高的信息安全意識(shí)會(huì)表現(xiàn)出嚴(yán)謹(jǐn)?shù)墓ぷ髁?xí)慣，從而影響信息安全管理的有效性。

第一，企業(yè)之間的相互依賴與信任是合作關(guān)系得以有效維持的關(guān)鍵，信任機(jī)制被更多的學(xué)者認(rèn)定為是最有效的機(jī)會(huì)主義防范機(jī)制。在制度規(guī)則約束的前提下，必須建立互信關(guān)系，提升信任水平可從加強(qiáng)自身管理、及時(shí)與合作方溝通交流、信守承諾、培養(yǎng)良好的聲譽(yù)等途經(jīng)實(shí)現(xiàn)。

（二）理論貢獻(xiàn)與管理啟示

雖然高管支持在信息系統(tǒng)管理中的研究比較豐富，但目前少有研究者關(guān)注高管支持對(duì)信息安全管理有效性的影響。信息系統(tǒng)是為了支持決策和組織控制而收集、處理、存貯、分配信息的一組相互關(guān)聯(lián)的軟件和硬件的組合，更多地受到技術(shù)因素的影響。而信息安全管理既包括信息系統(tǒng)使用的安全防護(hù)，還包括其他信息的安全保護(hù)，除了技術(shù)因素之外，管理制度的實(shí)施更為重要。本研究采用實(shí)證的方法，探討了高管支持影響信息安全管理有效性的路徑，在理論上拓展了高管支持影響的理論研究范圍，為高管支持在知識(shí)管理中的深入探索提供了一個(gè)新的視角。

本研究的實(shí)證結(jié)果也為組織實(shí)施信息安全管理也提供了決策依據(jù)。

MOOCs推進(jìn)了傳統(tǒng)教學(xué)與信息技術(shù)深度融合的改革步伐，傳統(tǒng)的教學(xué)規(guī)范不再適合新型課程的發(fā)展。為了使當(dāng)前高校教與學(xué)狀況得到改善，使學(xué)生的學(xué)習(xí)興趣得到激發(fā)，使教師的教學(xué)能力得到提高，同時(shí)推動(dòng)信息技術(shù)與教學(xué)的交融，在高校傳統(tǒng)教與學(xué)中，應(yīng)積極借助MOOCs，這將對(duì)高校教與學(xué)產(chǎn)生積極的深遠(yuǎn)影響。

首先，高管信念是發(fā)動(dòng)信息安全管理的源動(dòng)力，因此高管須首先認(rèn)識(shí)到信息安全管理對(duì)組織的重要意義，例如高管團(tuán)隊(duì)需要意識(shí)到信息安全管理對(duì)業(yè)務(wù)連續(xù)性的保障作用，對(duì)企業(yè)形象維護(hù)和提升的重要作用，對(duì)企業(yè)績(jī)效提升的促進(jìn)作用。高管信念轉(zhuǎn)變的關(guān)鍵是制度法規(guī)的壓力以及同行業(yè)務(wù)聯(lián)系單位的影響，因此信息安全制度法規(guī)的建立和貫徹實(shí)施及與同行業(yè)務(wù)聯(lián)系單位的密切溝通是轉(zhuǎn)變高管信念的主要途徑。

幾年前，中央電視臺(tái)邀請(qǐng)中美兩國(guó)即將進(jìn)入大學(xué)的高中生錄制一檔節(jié)目，國(guó)內(nèi)12名學(xué)生是即將被清華、北大錄取的優(yōu)秀學(xué)生，美國(guó)的12名學(xué)生是總統(tǒng)獎(jiǎng)的獲得者。節(jié)目組要求大家制訂對(duì)非洲貧困兒童的援助計(jì)劃，中國(guó)學(xué)生首先闡述，他們從歷史入手到詠嘆茶馬古道，然后伴奏彈唱，對(duì)主題一筆帶過(guò)。美國(guó)學(xué)生從教育、飲水、醫(yī)療等細(xì)小的實(shí)際問(wèn)題入手，做什么，怎么準(zhǔn)備，預(yù)算到幾元幾分，整個(gè)計(jì)劃拿來(lái)就可以實(shí)施。報(bào)刊評(píng)論說(shuō)，“當(dāng)中國(guó)孩子該立足實(shí)際解決問(wèn)題的時(shí)候，他們?cè)谝髟?shī)弄賦，在實(shí)際問(wèn)題的外圍不著邊地輕輕飄浮”。

其次，可以動(dòng)員高管參與到信息安全管理中去，發(fā)揮其象征性職能作用。例如高管列席組織層面相關(guān)委員會(huì)的活動(dòng)，出席一些具有里程碑意義的匯報(bào)會(huì)議，聽(tīng)取關(guān)鍵性匯報(bào)，明確闡釋組織信息安全管理的目標(biāo)和方向，建立橫向信息化項(xiàng)目成功的目標(biāo)和標(biāo)準(zhǔn)，在信息安全管理資源分配方面投入更多精力，確保信息化投入足夠到位等。

最后，信息安全管理是包括技術(shù)、流程、組織及人員的三維立體金字塔結(jié)構(gòu)，忽視任何一方面都會(huì)影響信息安全管理的有效性。無(wú)論多么先進(jìn)的技術(shù)，嚴(yán)謹(jǐn)?shù)牧鞒淘O(shè)計(jì)最終實(shí)施的主體一定是組織員工，因此企業(yè)須關(guān)注員工信息安全意識(shí)的提升，定期組織信息安全意識(shí)培訓(xùn)，組織信息安全經(jīng)驗(yàn)交流會(huì)，制定公平合理的信息安全管理獎(jiǎng)懲條例，加強(qiáng)信息安全職能部門與其他部門的溝通，將信息安全意識(shí)培訓(xùn)納入公司常規(guī)培訓(xùn)，進(jìn)而保證信息安全管理措施能夠落實(shí)到企業(yè)的每一個(gè)員工和崗位。

［1］謝宗曉，林潤(rùn)輝，王興起．用戶參與對(duì)信息安全管理有效性的影響——多重中介方法［J］．管理科學(xué)，2013，26（3）：65-76．

［2］Jo Heasuk，Kim Seungjoo，Won Dongho．A study on comparative analysis of the information security management system［C］，ICCSA2010，Partⅳ，2010：510-519．

［3］白海青，毛基業(yè)．高層管理支持信息系統(tǒng)的概念及維度研究［J］．管理評(píng)論，2009，（10）：61-69．

［4］Jarvenpaa S L，Ives B．Executive involvement and participation in the management of information technology［J］．MIS quarterly．1991，15（2）：205-227．

［5］Guimaraes，T．，Igbaria，M．Client Server System Success：Exploring the Human Side［J］．Decision Sciences．1997，28（4）：851-876．

［6］Lederer，A．L．，Mendelow，A．L．Convincing Top Management of the Strategic Potential of Information Systems［J］．MIS Quarterly，1988，12（4）：525-534．

［7］Doll，W．J．Avenues for Top Management Involvement in Successful MIS Development［J］．MIS Quarterly．1985，9（1）：17-35．

［8］Ragu-Nathan B S，Apigian C H，Ragu-Nathan T S，et al．A path analytic study of the effect of top management support for information systems performance［J］．Omega．2004，32（6）：459-471．

［9］Jackson，S．E．Consequence of Group Composition for the Interpersonal Dynamics of Strategic Issue Processing［J］．Advances in Strategic Management．1992，8：345-382．

［10］Hambrick D．C．Upper Echelons Theory：An Update［J］．The Academy of Management Journal．2007，32（2）：334-343．

［11］賀立軍，王云峰，趙釗．企業(yè)高管支持及其對(duì)信息化績(jī)效的影響研究［J］．河北工業(yè)大學(xué)學(xué)報(bào)，2010，39（01）：84-87．

［12］Liang H，Saraf N，Hu Q，et al．Assimilation of enterprise systems：The effect of institutional pressures and the mediating role of top management［J］．Mis Quarterly．2007，31（1）：59-87．

［13］ISF（Information Security Forum），The standard of good practice for information security，Version4．0［S］．2003．

［14］Spears J．L．，Barki H．User participation in IS security management［J］．MIS Quarterly．2010，34（3）：503-522．

［15］Puhakainen．P．a(chǎn)nd M．Siponen．Improving employees＇compliance through information systems security training：an action research study［J］．MIS Quarterly，2010．34（4）：757-778．

［16］Karjalainen．M．a(chǎn)nd M．Siponen．Toward a New Meta-Theory for Designing Information Systems（IS）Security Training Approaches［J］．Journal of the Association for Information Systems，2011．12（8）：518-555．

［17］Kruger．H．A，Kearney W．D．A prototype for assessing information security awareness［J］．computers ＆security．2006，25（4）：289-296．

［18］Bulgurcu B，Cavusoglu H，Benbasat ．I．Information security policy compliance：An empirical study of rationality-based beliefs and information security awareness［J］．MIS Quarterly，2010，34（3）：523-548．

［19］Teo．TSH，Ang J．S．K．An examination of major IS planning problems［J］．International Journal of Information Management．2001，21（6）：457-470．

［20］謝宗曉．信息安全管理體系實(shí)施指南 ［M］．北京：中國(guó)標(biāo)準(zhǔn)出版社，2012．

［21］謝宗曉．信息安全管理體系實(shí)施案例 ［M］．北京：中國(guó)標(biāo)準(zhǔn)出版社，2012．

［22］中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)．商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引［R］．北京：中國(guó)金融出版社，2009．

［23］Chang．S．E．，Lin Chin-shien．Exploring organizational culture for information security management［J］．Industrial Management ＆ Data Systems．2007．10（3）：438-458．

［24］Mithas．S，Ramasubbu．N，Sambamurthy V．How information management capability influences firm performance［J］．Mis Quarterly．2011，35（1）：237-256．

［25］柳士順，凌文輇．多重中介模型及其應(yīng)用［J］．心理科學(xué)，2009，（02）：433-435．

［26］方杰，張敏強(qiáng)，邱皓政．中介效應(yīng)的檢驗(yàn)方法和效果量測(cè)量：回顧與展望［J］．心理發(fā)展與教育，2012，（01）：105-111．

［27］吳明隆．結(jié)構(gòu)方程模型：AMOS的操作與應(yīng)用［M］．重慶：重慶大學(xué)出版社，2010．

［28］溫忠麟，侯杰泰，馬什赫伯特．結(jié)構(gòu)方程模型檢驗(yàn)：擬合指數(shù)與卡方準(zhǔn)則［J］．心理學(xué)報(bào)，2004，36（2）：186-194．