信息安全合法化采納動(dòng)機(jī)與模式研究
——新制度理論與創(chuàng)新擴(kuò)散理論的整合視角

(1.揚(yáng)州大學(xué) 商學(xué)院，江蘇 揚(yáng)州 225127; 2.中國金融認(rèn)證中心，北京 100054; 3.重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067; 4.南開大學(xué) 商學(xué)院，天津 300071)

1 引言

信息安全得到了前所未有的重視。隨著“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”的成立，對(duì)網(wǎng)絡(luò)安全和信息安全的認(rèn)識(shí)也上升到了“國家安全”的層次，越來越多的監(jiān)管制度開始發(fā)布。信息安全作為一種強(qiáng)監(jiān)管制度，對(duì)具體組織而言，如何滿足信息安全合法性或信息安全監(jiān)管的要求，已經(jīng)成為亟待解決的問題[1]，同時(shí)，信息安全合法化/制度化過程也成為組織研究領(lǐng)域關(guān)注的熱點(diǎn)之一[2]。

企業(yè)通過部署最佳實(shí)踐是獲取合法性最重要的途徑之一[3]。但是，一旦最佳實(shí)踐與企業(yè)的主營業(yè)務(wù)不一致，就可能呈現(xiàn)脫耦現(xiàn)象[4]，嚴(yán)重程度可能取決于最佳實(shí)踐與主營業(yè)務(wù)的關(guān)聯(lián)程度。例如，EMS(environmental management system)呈現(xiàn)的脫耦現(xiàn)象比QMS(quality management system)領(lǐng)域更為嚴(yán)重[5]。在信息安全情境中，以ISMS(information security management system)為例，ISMS對(duì)組織主營業(yè)務(wù)的關(guān)聯(lián)程度一般情況下要低于QMS，但是要高于EMS。與以上最佳實(shí)踐相比，ISMS還須具備復(fù)雜的技術(shù)細(xì)節(jié)。而現(xiàn)有研究中關(guān)于最佳實(shí)踐的采納文獻(xiàn)大多沒有關(guān)注這一點(diǎn)。現(xiàn)有研究將國內(nèi)采納ISMS的組織分成三類，但是，該分類論斷缺乏實(shí)證。如果將獲得GB/T 22080-2008/ISO/IEC 27001∶2005(以下簡(jiǎn)稱27001∶2005)的認(rèn)證企業(yè)以所有制分類，三類企業(yè)認(rèn)證比例并沒有呈現(xiàn)顯著的差異，但是顯然這三類企業(yè)面臨的制度環(huán)境存在很大不同[2]。因此，僅從制度壓力的角度去考察信息安全合法化顯然不全面，外部制度壓力可能只是其中一個(gè)維度。

鑒于此，本文基于新制度理論與創(chuàng)新擴(kuò)散理論的整合視角，通過10個(gè)樣本組織進(jìn)行探索性案例研究，探討除了外部制度壓力之外，是否存在著其他的影響組織采納模式的不可忽視的因素，并且在此基礎(chǔ)上探索信息安全合法化采納模式及動(dòng)機(jī)。

2 相關(guān)的最佳實(shí)踐理論視角及其研究

最佳實(shí)踐研究的文獻(xiàn)更多地集中于全面質(zhì)量管理領(lǐng)域。據(jù)了解，尚未發(fā)現(xiàn)專門關(guān)于ISMS的信息安全最佳實(shí)踐的研究。

2.1 管理時(shí)尚視角

管理時(shí)尚概念最早被定義為管理者在管理方面所共有的審美情趣[6]， 1996年管理時(shí)尚理論正式被提出[7]。該理論實(shí)際是新制度理論的一個(gè)特殊視角，與“正式結(jié)構(gòu)的神話”[4]不同，管理時(shí)尚特別強(qiáng)調(diào)標(biāo)簽的作用。戴明環(huán)、BCG矩陣都是具備高度概念化或顯著標(biāo)簽的管理時(shí)尚。ISMS的早期版本顯著的特征之一也是應(yīng)用了戴明環(huán)，因此，可以用管理時(shí)尚的視角去觀察ISMS。管理時(shí)尚是對(duì)已有現(xiàn)象的總結(jié)，為我們觀察流行的管理方法或技術(shù)趨勢(shì)提供了一個(gè)可能的視角。例如“敏捷開發(fā)”被作為管理時(shí)尚對(duì)待[8]。

2.2 管理修辭視角

管理修辭理論是新制度理論的另一個(gè)視角，和管理時(shí)尚一樣，也起源于TQM研究領(lǐng)域。對(duì)于TQM作用的持續(xù)爭(zhēng)論并不是源于其本身，更多的則是源于TQM概念的廣泛曲解。有研究指出，除了那些關(guān)注獲得布德里奇美國國家質(zhì)量獎(jiǎng)的企業(yè)的研究，大部分研究并沒有確認(rèn)企業(yè)是否部署真正的TQM[9]。TQM從其最初狹窄的技術(shù)特點(diǎn)的定義，已經(jīng)演變成一種廣泛傳播的思潮，這種思潮正是以修辭夸張和日益模糊的定義為主要特征[9]。

基于修辭理論的修辭性合法化可以認(rèn)為是廣義溝通理論研究的一個(gè)分支。相比修辭性TQM，新制度理論框架下的合法化更容易淪落為虛張聲勢(shì)的管理修辭。有諸多文獻(xiàn)從修辭分析的角度探討合法化過程。有學(xué)者用案例研究探討了修辭與新組織形式出現(xiàn)之間的關(guān)系，具體而言就是新出現(xiàn)的組織形式或創(chuàng)新如何調(diào)整他們的修辭性策略來獲取合法性[10]。Harmon等[11]則提出一個(gè)修辭性合法化的模型，來識(shí)別隱含于制度延續(xù)與制度變遷之下的溝通與認(rèn)知結(jié)構(gòu)。明茨伯格認(rèn)為管理者有三分之二甚至四分之三的時(shí)間用在了口頭活動(dòng)上，其中包括說服員工為共同的目標(biāo)而努力，采納與部署最佳實(shí)踐當(dāng)然也在此列。與上述TQM研究領(lǐng)域以及組織合法化研究領(lǐng)域類似，在信息安全情境中，ISMS也分化為技術(shù)上的ISMS和修辭上的ISMS。

2.3 創(chuàng)新擴(kuò)散視角

新的實(shí)踐或結(jié)構(gòu)的擴(kuò)散存在諸多解釋，有研究將其歸因?yàn)閮?nèi)在的優(yōu)點(diǎn)與創(chuàng)新性[12]，換言之，組織之所以采納這些新的實(shí)踐或結(jié)構(gòu)是因?yàn)樗鼈兪怯行У?。顯然，這種觀點(diǎn)在后續(xù)的新制度主義研究中被證明并不盡然。但是，基于“有用性”的創(chuàng)新擴(kuò)散的視角在信息系統(tǒng)研究領(lǐng)域卻得到了充分的研究，并發(fā)展成為為數(shù)不多的原創(chuàng)理論[13]，即技術(shù)接受模型[14]。該模型認(rèn)為影響個(gè)體接受信息系統(tǒng)的因素主要有兩個(gè)：感知的有用性和易用性。這兩個(gè)因素會(huì)影響個(gè)體的認(rèn)知/態(tài)度，最終影響個(gè)體/組織行為。

3 研究方法

3.1 研究方法與案例選擇

基于本文的研究情境，采用Yin[15]的多案例設(shè)計(jì)方法，原因在于：(1)案例研究兼具描述、解釋和探索的功能[16]，本研究是一個(gè)探索“為什么”的理論建構(gòu)問題；(2)多案例研究可以通過“復(fù)制邏輯”相互檢驗(yàn)所得到的結(jié)論[15]。

在多案例研究中，雖然不存在理想的案例數(shù)目，一般4～10個(gè)案例效果不錯(cuò)。案例個(gè)數(shù)少于4，很難產(chǎn)生復(fù)雜的理論；多于10，則可能導(dǎo)致數(shù)據(jù)繁雜難于處理。本文基于上述標(biāo)準(zhǔn)，結(jié)合理論抽樣原則[17]選擇了10家采納27001∶2005的國內(nèi)企業(yè)作為研究案例。

選擇案例企業(yè)遵循以下兩條原則：(1)在近幾年依據(jù)27001∶2005部署信息安全管理體系，但不一定申請(qǐng)認(rèn)證；(2)組織背景盡量多樣化，例如，主營業(yè)務(wù)或所有制等要素。由于信息安全行業(yè)的保密性特點(diǎn)，本文隱去了案例樣本中的組織名稱，樣本信息如表1所示。

表1 案例樣本的描述性統(tǒng)計(jì)

注：*()內(nèi)年份表示部署的時(shí)間。

3.2 數(shù)據(jù)來源

我們?cè)谘芯恐袘?yīng)用了多個(gè)數(shù)據(jù)源，其中包括列席關(guān)于信息安全推進(jìn)的會(huì)議，大量的現(xiàn)場(chǎng)直接觀察或參與式觀察，高管團(tuán)隊(duì)或中層主管人員的訪談，其中包括CEO、信息安全的分管領(lǐng)導(dǎo)、信息安全主管以及具體負(fù)責(zé)人等，以及相關(guān)的文件、檔案和二手資料。為了使數(shù)據(jù)有更高的信效度，我們還對(duì)第三方認(rèn)證組織中負(fù)責(zé)審核該企業(yè)的ISMS審核員組織了訪談，并查閱了保存在第三方認(rèn)證組織的對(duì)應(yīng)企業(yè)的審核記錄及檔案資料。

3.3 信效度保證策略

本文沿用Yin[15]文獻(xiàn)中對(duì)案例研究設(shè)計(jì)質(zhì)量的四個(gè)指標(biāo)進(jìn)行了重點(diǎn)關(guān)注，其中包括：建構(gòu)效度、內(nèi)在效度、外在效度和信度。(1)建構(gòu)效度：本研究在數(shù)據(jù)收集階段通過訪談，二手資料以及大量的實(shí)地觀察來實(shí)現(xiàn)多重證據(jù)的交叉驗(yàn)證；在數(shù)據(jù)收集與分析階段，用思維導(dǎo)圖對(duì)證據(jù)進(jìn)行內(nèi)部整理與討論；在撰寫報(bào)告階段讓所有的深度訪談對(duì)象對(duì)報(bào)告草案都進(jìn)行了逐一核實(shí)。(2)內(nèi)在效度：本文在數(shù)據(jù)分析部分嚴(yán)格遵守扎根理論所提出的三步編碼技術(shù)和程序?qū)?shù)據(jù)進(jìn)行主題的提煉、范疇的歸納和模型的構(gòu)建。(3)外在效度：本文采用多案例研究保證外在效度。(4)信度：本文在數(shù)據(jù)收集部分，根據(jù)Yin[15]設(shè)計(jì)，并盡可能詳細(xì)匯報(bào)每一步驟。

3.4 數(shù)據(jù)分析

3.4.1 分析策略

我們沿用了常見的歸納方法，并通過不同數(shù)據(jù)收集方法、來源，不同對(duì)象、情境的“三角驗(yàn)證”，來提高四個(gè)主要的信效度指標(biāo)。除此之外，我們也使用了Yin[15]描述的其他數(shù)據(jù)分析技術(shù)。

以案例ND-C5的分析為例，首先，通過內(nèi)部人員訪談?dòng)涗?，現(xiàn)場(chǎng)觀察記錄，收集到的文件、檔案等各種記錄，組織內(nèi)部會(huì)議描述其信息安全最佳實(shí)踐的采納動(dòng)機(jī)以及可能的部署過程，組織討論會(huì)得到結(jié)論A。其次，通過第三方認(rèn)證組織的ISMS審核員的訪談?dòng)涗?，從第三方認(rèn)證組織獲取的文件與檔案，以及審核員提交的現(xiàn)場(chǎng)調(diào)研報(bào)告，通過討論會(huì)得到結(jié)論B，并由此與步驟一的結(jié)論進(jìn)行對(duì)比。如果結(jié)論一致，則建立采納模式的初步構(gòu)念，并在此基礎(chǔ)上進(jìn)行跨案例的分析。如果結(jié)論不一致，則繼續(xù)通過討論會(huì)直至所有研究人員達(dá)成統(tǒng)一。在分析完案例ND-C5后，通過討論會(huì)確定該案例信息安全最佳實(shí)踐的采納模式。借鑒跨案例研究[18]以及Yin[15]的多案例研究復(fù)制邏輯要求，對(duì)案例進(jìn)行配對(duì)比較，列舉每對(duì)公司的相似與不同之處。具體的數(shù)據(jù)分析過程嚴(yán)格遵守扎根理論。

3.4.2 數(shù)據(jù)分析過程

數(shù)據(jù)分析過程嚴(yán)格遵守扎根理論所提出的三步編碼技術(shù)和程序?qū)?shù)據(jù)進(jìn)行主題的提煉、范疇的歸納和模型的構(gòu)建，以保證研究的信度和模型的效度[16,19]。為方便分類過程，我們使用QSR Nvivo 11定性分析軟件作為輔助工具。

開放式編碼對(duì)數(shù)據(jù)收集階段獲取的資料(包括部分錄音和圖片)進(jìn)行編碼和標(biāo)簽，目的是從大量資料中創(chuàng)建和提煉盡可能多的概念范疇來組織、解釋和匹配經(jīng)驗(yàn)數(shù)據(jù)。本文通過開放式編碼初步提取了82個(gè)涉及組織采納27001∶2005的概念范疇。由于所獲取的初始概念范疇相對(duì)較多，而且不同的概念范疇之間所涵蓋的要素存在交叉和重疊，因此需要對(duì)82個(gè)原始概念范疇進(jìn)行分解、剖析、提煉與整合。按照上述操作過程，最終提煉和整合了37個(gè)概念范疇。

主軸編碼主要是為了發(fā)現(xiàn)和尋找范疇之間的邏輯關(guān)聯(lián)。經(jīng)過開放式編碼已經(jīng)提煉了37個(gè)概念范疇，在這一步驟中需要分析不同概念范疇之間的關(guān)系，目的是對(duì)不同的概念范疇做歸類處理。本文效仿周江華等[19]的研究，也沿用“條件-行動(dòng)/互動(dòng)-結(jié)果”[20]這一編碼范式，來確定初始范疇之間的聯(lián)系。通過整合，將37個(gè)初始范疇歸納為18個(gè)副范疇，并最終整合到5個(gè)主范疇中。如表2所示。

表2 主軸編碼

選擇性編碼的目的是選擇核心范疇，并將其高度概念化。開放性編碼和主軸編碼的分析展示了信息安全最佳實(shí)踐采納的基本框架，還需通過選擇性編碼分析來選擇概括性較強(qiáng)的核心范疇來整合5個(gè)主范疇。經(jīng)過選擇性編碼之后，基本可以得出兩條清晰的故事線：來自監(jiān)管(或上級(jí))部門的壓力、來自客戶的壓力以及來自規(guī)范或模仿的壓力三個(gè)主范疇對(duì)“外部制度壓力”存在顯著影響；安全管理規(guī)范化或制度化和風(fēng)險(xiǎn)評(píng)估的結(jié)果(或業(yè)務(wù)安全要求)對(duì)“內(nèi)部安全需求”存在顯著影響。

4 案例分析與發(fā)現(xiàn)

在案例編碼與分析過程中，本文所得到的研究結(jié)論整合了新制度理論與創(chuàng)新擴(kuò)散理論的視角，為觀察組織最佳實(shí)踐的采納行為提供了一個(gè)更全面的框架。外部制度壓力和內(nèi)部安全需求同時(shí)也顯現(xiàn)了組織對(duì)最佳實(shí)踐采納所持的期望，即追求合法性還是追求績(jī)效。本文將結(jié)合研究中發(fā)現(xiàn)的證據(jù)說明案例組織在采納27001∶2005時(shí)的合法性考慮與績(jī)效考慮。

4.1 外部制度壓力

在新制度理論視角下，關(guān)于合法性的諸多研究都已經(jīng)表明外部制度壓力對(duì)于最佳實(shí)踐/創(chuàng)新等采納的顯著影響[21]，本研究在信息安全情境中探討了更多的因素，而不是僅僅局限于三維度框架[22]。

4.1.1 應(yīng)對(duì)政府監(jiān)管的一種途徑

由于關(guān)系到國家安全和個(gè)體隱私等內(nèi)容，幾乎所有的國家對(duì)信息安全都實(shí)施強(qiáng)監(jiān)管環(huán)境[23]，例如，關(guān)系國計(jì)民生或公眾利益的信息系統(tǒng)都要強(qiáng)制性地實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)[24]。因此，國有企業(yè)一般會(huì)面臨更強(qiáng)的監(jiān)管環(huán)境，無論是中央企業(yè)的ZX-C1和ZT-C3，還是地方國企BS-C9。本文閱讀并統(tǒng)計(jì)了所有的國務(wù)院行政性法規(guī)以及國資委、銀監(jiān)會(huì)、工信部和人民銀行等國家部委關(guān)于信息安全方面的行政公文。諸多業(yè)內(nèi)專家認(rèn)為，目前國家在信息安全監(jiān)管方面還存在諸多不成熟，甚至許多規(guī)范性文件之間也不一致，企業(yè)的合規(guī)性(或符合性)負(fù)擔(dān)較重。

4.1.2 組織整體安全戰(zhàn)略的一部分

組織采納ISO14001時(shí)，最大的外部壓力不是來自傳統(tǒng)的利益相關(guān)方，因?yàn)楣究偛吭趦烧咧g充當(dāng)了緩沖[5]。以上現(xiàn)象更適用于跨國公司在國內(nèi)的分支，并不是普遍的情形。在深度訪談中發(fā)現(xiàn)，越是基層的組織，業(yè)務(wù)壓力越重，所有與業(yè)績(jī)沒有直接關(guān)系的活動(dòng)都比較消極。公司總部大多只承擔(dān)管理功能，不背負(fù)具體的業(yè)績(jī)?nèi)蝿?wù)，更容易采納戰(zhàn)略性的革新，而不僅僅關(guān)注眼前的形勢(shì)。

4.1.3 作為技術(shù)壁壘的輔助手段

案例中的絕大部分企業(yè)都面臨較大的生存壓力，尤其是主要客戶為政府或相關(guān)組織，對(duì)方一般都會(huì)有專門的要求，甚至可能通過標(biāo)書將沒有資質(zhì)的企業(yè)排除在外，這時(shí)候27001∶2005可能會(huì)成為隱含的技術(shù)壁壘。資質(zhì)是一把“雙刃劍”，可能作為排除競(jìng)爭(zhēng)者的工具，也可能成為被排除的理由。

在采訪中有關(guān)于安全資質(zhì)完全不同的視角，已經(jīng)建立穩(wěn)定合作關(guān)系的，想利用資質(zhì)將競(jìng)爭(zhēng)對(duì)手排除在外。同時(shí)，想進(jìn)入新領(lǐng)域的企業(yè)，則需要先滿足資質(zhì)上的要求，不能存在所謂的“硬傷”，以至于“軟件開發(fā)領(lǐng)域的資質(zhì)，我們一般都會(huì)拿”，而不是考慮組織具體情況。

4.1.4 其他組織部署帶來的壓力

我們接觸的樣本企業(yè)中，企業(yè)間的橫向聯(lián)系包括如下幾種類型：第一類，共同監(jiān)管導(dǎo)致的聯(lián)系。例如，都是中央企業(yè)，同歸屬國資委監(jiān)管，或者都是地方國企。這種關(guān)系的建立可能因?yàn)闃I(yè)務(wù)來往，或參加國資委組織的會(huì)議慢慢建立的私人感情，也可能是由于工作調(diào)動(dòng)。第二類，地域關(guān)系形成的聯(lián)系。即使中央企業(yè)，由于駐地不同，也會(huì)面臨不同的地方政府，因此也會(huì)形成穩(wěn)定的聯(lián)系。第三類，行業(yè)關(guān)系形成的聯(lián)系。由于行業(yè)協(xié)作關(guān)系或者同業(yè)競(jìng)爭(zhēng)也可能形成穩(wěn)定的聯(lián)系。

當(dāng)然，更多的聯(lián)系呈現(xiàn)的不是某一種因素，而是幾種因素的結(jié)合，例如屬于同監(jiān)管單位以及同駐地，這些形成穩(wěn)定聯(lián)系的組織之間，常被稱為“兄弟單位”。和個(gè)體之間的比較邏輯類似，兄弟單位之間的相似性為比較提供了基礎(chǔ)。尤其是在可比較的組織群體內(nèi)處于較為落后的情況下更加明顯。

4.1.5 對(duì)標(biāo)管理導(dǎo)致的消極模仿

對(duì)標(biāo)又叫標(biāo)桿管理，如果標(biāo)桿企業(yè)部署了27001∶2005，這會(huì)對(duì)其他相關(guān)組織造成模仿壓力，尤其是在情境模糊的情形下。樣本中ZX-C1就是很典型的例子。

4.2 內(nèi)部安全需求

重新審視關(guān)于最佳實(shí)踐的三種理論視角，創(chuàng)新擴(kuò)散理論是趨于褒義的，起源于創(chuàng)新擴(kuò)散的管理時(shí)尚理論則較為中性，起源于新制度理論的管理修辭理論則偏向于貶義。在本研究中，內(nèi)部安全需求出發(fā)的信息安全最佳實(shí)踐部署，本質(zhì)是創(chuàng)新擴(kuò)散視角，這其中隱含的前提是最佳實(shí)踐是有用的。

4.2.1 規(guī)范化/制度化/標(biāo)準(zhǔn)化

幾乎訪談的所有人員都提出信息安全管理的規(guī)范化、制度化和標(biāo)準(zhǔn)化的需求，只是程度有所不同。但同樣是規(guī)范化、制度化和標(biāo)準(zhǔn)化，認(rèn)真分析發(fā)現(xiàn)有積極態(tài)度的，也有消極態(tài)度的。積極態(tài)度的是基于組織實(shí)際的流程改進(jìn)或流程再造，目的是提高信息安全管理水平。更多的安全域并不能流程化，而是以安全控制點(diǎn)的形式呈現(xiàn)，在本質(zhì)上與流程是一致的。有些案例中體現(xiàn)了更廣義的管理標(biāo)準(zhǔn)化態(tài)度或理念，也是積極的。

在一些情況下，規(guī)范化/制度化/標(biāo)準(zhǔn)化已經(jīng)變成了手段，目的卻是“免除責(zé)任”，我們稱其為“消極的”。消極規(guī)范化/制度化/標(biāo)準(zhǔn)化在傳統(tǒng)行業(yè)中更常見，由于IT是弱勢(shì)部門，而組織的主要領(lǐng)導(dǎo)都是主營業(yè)務(wù)出身，對(duì)信息化及信息安全的理解能力有限，甚至認(rèn)為之所以發(fā)生信息安全事件，都是因?yàn)椤肮芩闪恕?。在這種簡(jiǎn)單邏輯下，IT或信息安全主管部門并不是為了真正加強(qiáng)信息安全管理能力，而是為可能發(fā)生的信息安全事件悄悄轉(zhuǎn)移責(zé)任。

在27001∶2005 A.10.1.3責(zé)任分割，強(qiáng)調(diào)“各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。”但是在案例ND-C5和NG-C6中，他們的理解并不同。消極規(guī)范化/制度化/標(biāo)準(zhǔn)化是一個(gè)很普遍的現(xiàn)象，出現(xiàn)的本質(zhì)原因在于最高管理層對(duì)信息安全的理解不夠，試圖用簡(jiǎn)單粗暴的邏輯解決問題，或者公司的整個(gè)管理體系存在問題，最終形成了“上有政策，下有對(duì)策”的局面，形如27001∶2005這樣的最佳實(shí)踐，成了事實(shí)上的“對(duì)策”。

4.2.2 爭(zhēng)取部門權(quán)力或合法性

由于國家對(duì)信息安全強(qiáng)制性的要求，組織會(huì)象征性或儀式性地建立某些儀式性的結(jié)構(gòu)，例如，地方政府或國企中的“信息安全領(lǐng)導(dǎo)小組”，這些看起來無關(guān)緊要的部門。有研究認(rèn)為部門內(nèi)人員為了維護(hù)其部門的權(quán)益或爭(zhēng)取合法性，最終改變了權(quán)力的結(jié)構(gòu)[25]。象征性部門轉(zhuǎn)向?qū)嵸|(zhì)性權(quán)力部門，在信息安全領(lǐng)域并不鮮見，業(yè)務(wù)發(fā)展階段的安全需求應(yīng)該是最主要的原因之一，部門領(lǐng)導(dǎo)及其人員的利益爭(zhēng)取也是原因之一，所以部門看起來是“因人而設(shè)”。

4.2.3 控制潛在的信息安全風(fēng)險(xiǎn)

由于風(fēng)險(xiǎn)管理意識(shí)的廣泛普及，案例中所有的組織，尤其是技術(shù)人員，都會(huì)詳細(xì)地談到自身對(duì)風(fēng)險(xiǎn)及其管理的理解。為了更好地區(qū)分，在這個(gè)問題上，更多地參考案例組織的信息安全風(fēng)險(xiǎn)評(píng)估/應(yīng)對(duì)報(bào)告。我們組織專家對(duì)案例組織中與信息安全風(fēng)險(xiǎn)管理相關(guān)的報(bào)告或記錄進(jìn)行了評(píng)估，以判斷案例組織對(duì)信息安全風(fēng)險(xiǎn)真實(shí)的重視程度。幾乎所有的信息安全活動(dòng)都是為了控制安全風(fēng)險(xiǎn)[26]。換句話說，信息安全的首要目的是為了控制風(fēng)險(xiǎn)，或者保障信息安全有效性，這兩者都是一個(gè)目的，就是盡量不發(fā)生信息安全事件。這意味著風(fēng)險(xiǎn)在信息安全中處于重要的位置，甚至可以說，信息安全圍繞控制風(fēng)險(xiǎn)展開。

4.3 信息安全合法化采納矩陣

按照數(shù)據(jù)分析策略，沿用Boiral[5]的表述方式，案例發(fā)現(xiàn)與主范疇聯(lián)系的顯著性程度如表3。

表3 以主范疇統(tǒng)計(jì)的案例發(fā)現(xiàn)顯著性程度

注：*代表顯著程度低；**代表顯著程度中等；***代表顯著程度高。

確定上述邏輯關(guān)系后，我們根據(jù)“外部制度壓力”和“內(nèi)部安全需求”兩個(gè)維度劃分信息安全合法化采納矩陣，四個(gè)象限按其最重要的部署動(dòng)機(jī)分別稱為：戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納。如圖1所示。

圖1 信息安全合法化采納模式矩陣

4.3.1 戰(zhàn)略性采納

戰(zhàn)略性采納是組織外部制度壓力與內(nèi)部安全需求都高的情況。很長(zhǎng)時(shí)間以來，27001∶2005都被誤認(rèn)為是一個(gè)管理標(biāo)準(zhǔn)，實(shí)際上，27001∶2005的一個(gè)重要進(jìn)步是不再區(qū)別技術(shù)還是管理，而是將控制措施劃分為安全控制域，安全控制目標(biāo)和安全控制點(diǎn)三個(gè)層次，其中安全控制點(diǎn)可以增減。也就是說，27001∶2005是圍繞控制目標(biāo)展開的，至于具體實(shí)現(xiàn)途徑，是通過管理手段還是技術(shù)手段，則是另一個(gè)層次的問題。

戰(zhàn)略性采納比較符合27001∶2005的原意，在總則中提出“采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策”。在戰(zhàn)略性采納中，認(rèn)證并不是要考慮的主要因素，因此ZX-C1和ZT-C3都沒有獲得此認(rèn)證。ZT-C3中，IT部門CEO將其描述為部署最佳實(shí)踐的目的是為防止信息安全事件的發(fā)生。

4.3.2 合規(guī)性采納

合規(guī)性采納的組織對(duì)應(yīng)低內(nèi)部安全需求與高外部制度壓力。在本研究中ND-C5、ZY-C7和BS-C9都屬于合規(guī)性采納，但是對(duì)應(yīng)不同方面的壓力，ND-C5的外部壓力主要來自兄弟部門的部署，以及上級(jí)公司的戰(zhàn)略要求。ZY-C7是屬于充分競(jìng)爭(zhēng)領(lǐng)域的軟件開發(fā)行業(yè)，外部壓力則主要來自客戶要求， 27001∶2005作為顯性的安全管理能力證明。作為地方國資委屬下的金融企業(yè)，BS-C9的外部壓力主要來自政府監(jiān)管，實(shí)現(xiàn)“內(nèi)外合規(guī)”。

4.3.3 儀式性采納

儀式性采納對(duì)應(yīng)低外部制度壓力以及低內(nèi)部安全需求，本研究JX-C4與HR-C8屬于儀式性采納。儀式性采納本只是組織脫耦的一種形式，在ISO9001與ISO14001的采納中都觀察到的一種現(xiàn)象[5]。

儀式性采納模式中，組織為了獲取認(rèn)證可能會(huì)設(shè)計(jì)看起來更為完美的制度以應(yīng)對(duì)ISMS審核。在案例的正式訪談中，這種情形很難得到確認(rèn)，或者說，相關(guān)人員一般不會(huì)承認(rèn)在審核過程中有造假行為。本研究中，我們需要從閱讀組織文件、觀察或者從第三方認(rèn)證組織的角度發(fā)現(xiàn)問題。

第三方認(rèn)證組織的ISMS審核員的判斷在閱讀體系文件時(shí)可以得到佐證，例如，HR-C8雖然有咨詢公司提供的信息安全風(fēng)險(xiǎn)評(píng)估程序，但是風(fēng)險(xiǎn)評(píng)估報(bào)告卻過于簡(jiǎn)單，與風(fēng)險(xiǎn)應(yīng)對(duì)報(bào)告也不能對(duì)應(yīng)。經(jīng)過專家鑒定，HR-C8并沒有進(jìn)行過完整的風(fēng)險(xiǎn)評(píng)估。此外，HR-C8的文件在咨詢公司結(jié)束服務(wù)后的時(shí)間內(nèi)，版本也從未更新過，大部分的文件運(yùn)行記錄也是缺失的。

4.3.4 策略性采納

策略性采納對(duì)應(yīng)低外部制度壓力和高內(nèi)部安全需求，在本研究中，NC-C2、NG-C6和FS-C10都屬于策略性采納。策略性采納并不是強(qiáng)調(diào)部署過程中對(duì)技術(shù)或管理的偏重，而是強(qiáng)調(diào)與戰(zhàn)略性應(yīng)用的區(qū)別，由于外部壓力低，因此在應(yīng)用中可能出現(xiàn)大量的刪減，甚至到不能滿足27001∶2005的認(rèn)證要求。策略性采納指的是絕大部分的部署都集中在技術(shù)層面，戰(zhàn)略層的問題反而被忽略。原則上說，這有悖于27001∶2005的基本理念，或者說，這僅僅是部署27001∶2005。

5 結(jié)論與討論

5.1 理論貢獻(xiàn)

本文通過10個(gè)案例探討了通過采納信息安全最佳實(shí)踐實(shí)現(xiàn)合法化過程的動(dòng)機(jī)及其模式。研究結(jié)論表明，影響組織采納模式的最重要的兩個(gè)維度是外部制度壓力和內(nèi)部安全需求，沿著這兩個(gè)維度，本文給出了信息安全合法化采納模式的矩陣，并依次定義為：戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納。本研究的理論貢獻(xiàn)主要有如下幾點(diǎn)：

第一，為觀察組織采納最佳實(shí)踐提供了更全面的視角。已有的研究視角主要從新制度理論或創(chuàng)新擴(kuò)散理論角度去觀察組織行為，這種先入為主的視角并不利于理解組織行為的復(fù)雜性，我們通過嚴(yán)格遵守三步編碼的扎根理論，得出外部制度壓力和內(nèi)部安全需求兩個(gè)主要維度，從而將新制度理論或創(chuàng)新擴(kuò)散理論的視角有機(jī)地結(jié)合在一起，擺脫了原來非此即彼的觀察邏輯。雖然本文限定的研究背景是通過部署27001∶2005獲取信息安全合法性的組織，但是研究結(jié)論仍然可以推廣至所有類似的最佳實(shí)踐采納領(lǐng)域。

第二，在信息安全情境中驗(yàn)證了新制度理論與創(chuàng)新擴(kuò)散理論，也豐富了制度壓力理論所包含的具體內(nèi)容。儀式性采納的組織脫耦現(xiàn)象[4]在諸多領(lǐng)域得到了驗(yàn)證，作為新興領(lǐng)域的信息安全，研究則較為匱乏。更重要的是，信息安全與之前的熱點(diǎn)領(lǐng)域存在一定的差異，因此有必要進(jìn)行重新驗(yàn)證。同時(shí)，我們通過探索性案例研究，不再局限于三維度框架[22]，使制度壓力的應(yīng)用更加契合國內(nèi)企業(yè)所面臨的信息安全情境。

最后，本文在研究方法上也有一定的貢獻(xiàn)。我們對(duì)案例中已經(jīng)獲取認(rèn)證的組織，通過檔案數(shù)據(jù)查詢到第三方認(rèn)證組織及其ISMS審核員，通過對(duì)雙方的深入訪談，二手資料以及觀察記錄進(jìn)行比對(duì)，使之相互驗(yàn)證，得到了更客觀的研究結(jié)果。限于樣本獲取和研究情境等原因，這種“三角驗(yàn)證”的方式在相關(guān)文獻(xiàn)中屬首次使用。

5.2 管理啟示

雖然本研究采用的是歸納性方法，但是戰(zhàn)略性采納、合規(guī)性采納、儀式性采納和策略性采納的劃分，對(duì)于實(shí)踐中的信息安全合法化部署仍然存在較強(qiáng)的預(yù)測(cè)能力，具有一定的實(shí)踐意義。

首先，對(duì)組織而言，“外部制度壓力”和“內(nèi)部安全需求”可以指導(dǎo)組織據(jù)此判斷自身應(yīng)該采取的信息安全合法化模式，并探討在滿足合法化要求的前提下考慮績(jī)效，對(duì)企業(yè)而言，既要避免“儀式性部署”，又要防止“為了安全而安全”。同時(shí)，采納模式的劃分，也有助于組織確定自身信息安全的戰(zhàn)略定位，并確定適當(dāng)?shù)难莼窂?。例如，隨著組織信息化程度的不斷提高，由“企業(yè)信息化”向“信息化企業(yè)”轉(zhuǎn)變的過程中，組織應(yīng)該同步完成信息安全合法化向戰(zhàn)略性采納的演化和提升。

其次，對(duì)監(jiān)管機(jī)構(gòu)與第三方認(rèn)證組織而言，采納模式劃分可以促使在監(jiān)管過程或ISMS審核過程中考慮如何做到“因地制宜”或“因人而異”。尤其是地方政府往往通過認(rèn)證補(bǔ)貼等途徑，促進(jìn)當(dāng)?shù)仄髽I(yè)的信息安全管理規(guī)劃化和標(biāo)準(zhǔn)化水平，但更多的企業(yè)往往停留于“儀式性采納”，導(dǎo)致沒有起到預(yù)期的作用。通過測(cè)量本研究所提供的組織采納動(dòng)機(jī)或影響因素，辨析組織采納模式的途徑，從而更好地做到“有的放矢”，解決文獻(xiàn)中所提出的“騙補(bǔ)”等現(xiàn)象。

5.3 研究局限性與展望

但是，本研究依然存在一定的局限性。在選取的10家案例企業(yè)中，除NG-C6外，信息安全最佳實(shí)踐的部署都通過同一個(gè)咨詢團(tuán)隊(duì)，一些研究曾經(jīng)指出咨詢組織是導(dǎo)致新實(shí)踐或結(jié)構(gòu)廣泛傳播的重要原因之一，并在一定程度上導(dǎo)致了同形[7,26]。雖然本文的研究問題是為了探討采納動(dòng)機(jī)與模式，發(fā)生在最佳實(shí)踐的部署過程之前，但是同一家咨詢組織的客戶可能存在某些共同的特征，這些特征存在干擾研究結(jié)果的可能。

信息安全合法化采納的四種模式，包括儀式性采納，本身并沒有絕對(duì)的好壞。重點(diǎn)在于采納模式與組織戰(zhàn)略是否匹配或一致。此外，信息安全是動(dòng)態(tài)過程，而不是一成不變的狀態(tài)。因此在信息安全合法化采納之后，模式之間如何進(jìn)行演化也是需要深入探討的問題。對(duì)具體組織而言，最好是通過信息安全合法化過程不僅獲取了合法性，同時(shí)也提高了信息安全有效性。最后，如訪談部分所述，27001∶2005部署過程中，“管理者代表”的定義同時(shí)也體現(xiàn)了組織對(duì)信息安全的不同定位，這應(yīng)該屬于治理層的問題。在信息安全情境中長(zhǎng)期存在“重技術(shù)，輕管理”的現(xiàn)象，實(shí)際更嚴(yán)重的是“輕治理”[27]，因此，信息安全治理也是今后應(yīng)該關(guān)注的問題之一。