淺述信息安全的人為影響因素

王一楠

摘要：近年來信息安全問題事件越來越多，人們往往把問題解決的關注點僅放在技術層面上，人為因素常被忽視。實際上，人類行為意識及其相關因素對信息安全也起到至關重要的作用，因為人為制造風險和預防安全漏洞方面都扮演著重要角色。該文試圖從信息安全意識、組織文化、安全文化等方面闡述與信息安全相關的人為影響因素，以引起研究者和行業(yè)從業(yè)者的重視與思考。

關鍵詞：信息安全意識;組織文化;安全文化

中圖分類號：TP309 文獻標識碼：A

文章編號：1009-3044（2020）21-0058-02

開放科學（資源服務）標識碼（OSID）：

近年來隨著越來越多的組織機構成為網(wǎng)絡安全攻擊者的捕獲目標，信息安全事件的數(shù)量正與日俱增。網(wǎng)絡風險成為組織領導者或管理者最普遍關心的問題。一般來說，提到信息安全，我們通常只關注于技術層面的解決方案和降低風險的措施。然而，現(xiàn)在人們越來越認識到只依靠技術解決方案并不能充分緩解安全漏洞的發(fā)生概率，反而有時人們對技術的過度依賴導致了信息安全風險的產生，而風險又往往引發(fā)信息安全事件，因此人的作用至關重要，人是信息安全中的薄弱環(huán)節(jié)。

為了解決信息安全問題，認識并改變人們的安全意識、安全行為變得越來越重要，我們必須了解信息安全意識等人為原因。而人類行為、意識在很大程度上是由文化決定的，它時時影響人們在社會環(huán)境和工作中的相互作用。因此，當試圖分析、塑造、改變人們的信息安全意識時，考慮其所在的群體、社會環(huán)境和組織體系的組織文化、安全文化尤為重要，只有這樣才能充分達到提高信息安全的目的。

1 信息安全意識

信息安全意識是指組織成員對組織信息安全政策、規(guī)章和指導方針重要性的理解程度以及對其中相關規(guī)定的遵守、執(zhí)行狀態(tài)。了解信息安全意識及其影響因素對于降低信息安全風險是非常重要的。知識一態(tài)度一行為（KAB）模型認為，員工對安全行為的認知程度越高，其維護安全狀態(tài)的態(tài)度越端正，從而自發(fā)改善其信息安全行為[1]。

目前，基于人類方向的信息安全研究主要探索與信息安全行為相關或可能對信息安全產生影響的特定人類特征上。有研究表明，信息安全意識在一定程度上可以通過年齡、性別、心理彈性、工作壓力、教育程度和一些個性特征來預測。例如，研究發(fā)現(xiàn)信息安全意識與年齡呈正相關，年齡越大，信息安全意識越強。此外，女性、性格較隨和、責任心較強、表現(xiàn)出較強適應力和較低工作壓力、受教育程度更高的人以及不善于冒險的人在信息安全意識上的得分更高，也就是信息安全意識更強翻。

2 組織文化

對于組織文化的概念界定，不同的學者采用不同的提法，最被廣泛接受的定義是Schein的組織文化理論。Schein認為文化由以下三個相互作用的層次組成。一是人工產物層次，它是組織文化中最表面、最淺顯的層次，主要指在組織中可觀察到的行為和感受到的現(xiàn)象，包括組織結構和組織過程等;二是價值觀層次，主要反映在組織的戰(zhàn)略、目標、質量意識、指導哲學等當中。當組織價值觀得到絕大多數(shù)成員認同時，它們就會變成信念、規(guī)則，并最終進入無意識狀態(tài);三是基本假定層次，包含潛意識的、默認的一些信仰、思想、知覺、感覺等，這是該組織文化模型中最核心的因素，是組織行為模式的終極根源[3]。

Schein的組織文化模型是理解組織文化的關鍵，許多理論都是建立在此模型的基礎上，比如有人將文化分為參與、一致性、適應性、任務四個方面，每個方面有三個嵌套的子尺度，這四個主要方面及其子尺度相互作用，以測定組織是面向內部還是外部、偏向穩(wěn)定性還是靈活性。對組織文化的研究和測量是具有重要意義的，因為它對個體和群體行為以及與其他組織行為（如工作滿意度、工作績效）的關系都具有一定影響。

3 安全文化

理解組織文化是認識和定義安全文化的基礎，因為組織內的安全穩(wěn)定狀態(tài)是在其組織文化的影響下一步一步確立鞏固的。當個人理解、內化并遵守信息安全標準和學習典范時，信息就得到了最好的保護。當前關于安全文化的研究主要是理論性的，以組織文化文獻為基礎，借鑒了心理學、經(jīng)濟學、行為科學和管理學等多個學科，研究主要集中在概念模型和框架上[4]，其中最為廣泛接受的分別是van Niekerk等人和Da Veiga等人在Schein組織文化理論基礎上進行的改動。前者增加了知識層的概念，以更好地反映安全文化，后者把關注點放在信息安全、行為和文化之間的相互作用上，貫穿個人、群體和組織層面。

雖然還有很多觀點，但是學者們一致認為安全文化就是人們用來與組織系統(tǒng)進行互動、執(zhí)行安全相關的程序、日常任務和活動時所持的各種態(tài)度、信念、學識和價值觀，它是通過內部和外部環(huán)境的共同作用形成的。內部環(huán)境包括領導和組織結構等因素，外部環(huán)境包括從經(jīng)濟氣候到行業(yè)技術強度等諸多因素。安全文化的強大力量在于當組織成員意識到安全風險時，他們會擔負起責任并執(zhí)行預防措施來提高信息系統(tǒng)和網(wǎng)絡的安全性。安全文化的主要目標就是通過創(chuàng)建一個鼓勵和支持員工維護安全的工作環(huán)境來保護信息資產。

4 信息安全意識和組織文化、安全文化的關系

雖然少有研究專門探討信息安全意識、組織文化、安全文化之間的關系，但是有些組織文化組成成分確實與安全文化和信息安全意識相關。有研究發(fā)現(xiàn)領導力支持對信息安全管理和創(chuàng)建強有力的安全文化具有較大影響，這些研究強調了領導者通過戰(zhàn)略管理和規(guī)劃、溝通和透明的決策過程鼓勵積極安全行為產生的重要性。還有研究者提出組織的安全使命與積極向上的安全文化導向密切相關。例如，強調安全文化需求的使命任務更有可能激發(fā)出反映積極安全文化的行為;讓組織成員參與安全管理決策使其產生自我歸屬感，可以達到改善安全行為和強大組織文化的目的;以人為本的組織更有可能對成員的信息安全意識產生積極導向，而僅僅關注任務的組織會在功利行為和信息安全行為之間產生矛盾利益沖突[5]。

另外，有探索性定量研究發(fā)現(xiàn)信息安全意識與安全文化之間存在正相關關系，如果一個組織具有良好的安全文化氛圍，那么其成員更有可能具備遵守信息安全政策和執(zhí)行安全規(guī)程所要求的知識、態(tài)度和行為，以維持組織良好的信息安全狀態(tài)。

5 結語

當我們需要解決信息安全問題或提高安全維護能力時，除了技術層面的改進以外，信息安全意識、組織文化、安全文化及其關系等相關主觀影響因素也是需要重點考慮的方面，這對于降低信息安全風險是非常必要的。本文通過綜述此類理論研究為指導后續(xù)研究提供一定參考，以期相關行業(yè)實踐者能夠有效利用理論建議，提高信息安全處置能力，預防安全事件發(fā)生。

參考文獻：

[1] Parsons K，Calic D，Pattinson M，et al.The human aspects ofinformation security questionnaire （HAIS-Q）： two further vali-dation studies [J]. Computers and Security， 2017，66：40-51.

[2] McCormac A，Calic D，Parsons K，et al.The effect of resil-ience and job stress on information security awareness[Jl.lnfor-mation and Computer Security，2018，26（3）：277-289.

[3] Schein E，Schein P.Organizational Culture and Leadership[Ml. 5th Edition. New Jersey： John Wiley and Sons， 2016：1-384.

[4] Nasir A，Arshah RA，Hamid M R，et al-An analysis on the di-mensions of information security culture concept：a review[J].Journal of Information Security and Applications， 2019， 44：12-22.

[5] ConnoU L，Lang M，Gathegi J，et al.Organisational culture， pro-cedural countermeasures， and employee security behaviour：aqualitative study[J]. Information and Computer Security， 2017，25（2）：118-136.

【通聯(lián)編輯：代影】