（整理人：萧文龙、王啸群）

信息技术在给企业带来成功机会的同时，也给企业带来了安全隐患，信息安全事件近年来不断出现，威胁到组织。 Shiau et al. (2023)从最好的信息安全期刊和会议（由计算机科学研究的重要门户research.com发布），以及信息系统协会(AIS)编制的MIS期刊中筛选了发表在1996年至2021年间的8006篇信息安全研究论文进行共被引研究。研究表明：信息安全研究可以划分为八个核心知识群组，包括(1)入侵检测，(2)隐私保护，(3)安全机器学习，(4)密码系统，(5)数据服务安全，(6)恶意软件分析，(7)安全决策，(8)安全管理。Shiau et al. (2023) 的研究同时识别了信息安全领域内115篇高被引的重要论文。员工不遵守信息系统安全政策是信息技术安全管理者的主要关切，因为其带来的不利影响甚至比技术漏洞更为严重。Straub and Welke (1998)发表在《MIS Quartely》上的 “Coping with systems risk: Security planning models for management decision making”提出了一项管理行动安全议程来处理这个问题。该文章在Google Scholar被引达1668次，而Web of Science平台上的引用也达到了736次，本期我们就介绍这篇论文如下。

没有一个系统是绝对安全的，尽管存在这一事实，但仍有可能对安全系统的某些部分进行高效和有效地形式化。这种形式化的优点是，它释放了其他资源，可以用来监视那些不能形式化的部分，或者选择不进行形式化的部分。多年来，为降低系统风险而采取的策略可分为四个不同的连续活动:(1)威慑，(2)预防，(3)监控和(4)补救 (Straub and Welke, 1998)。作者认为，尽管这些技术策略有很强的理论基础，但在实践中证明其有效性的证据有限，因为管理人员没有充分意识到与降低系统风险相关的通用安全行动的范围。为此，作者对美国两家拥有信息技术服务的财富500强企业进行了定性研究，构建起了应对系统风险的有效方法。首先是要使用安全风险规划模型，通过对安全问题需求的认知、风险分析、对策生成和决策制定四个步骤来总体指导安全规划工作。其次是要实施安全意识培训，安全专家与员工一起审查策略、系统授权、使用条件、更改密码的方法、对安全漏洞的处罚以及与防止滥用系统资产有关的其他主题。培训还应该使参与者意识到在降低系统风险方面威慑、预防、监控和补救对策的一般有效性。最后，在从安全对策备选方案中做出决策时，管理人员可以借助于对策矩阵，。矩阵是通过将安全周期中的四个活动（威慑、预防、监控、补救）分配给行标题，并将建议的组织解决方案分配给列标题来形成的。矩阵中的单元格允许管理人员比较在威慑、预防、监控和补救的安全对策中提出的解决方案的效果。

参考文献：

Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.

Straub, D. W., & Welke, R. J. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, Vol. 22 No. 4, pp. 441-469.