重要的信息安全必读论文之二: “Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness”
(整理人:萧文龙、王啸群)
信息技术在给企业带来成功机会的同时,也给企业带来了安全隐患,信息安全事件近年来不断出现,威胁到组织。 Shiau et al. (2023)从最好的信息安全期刊和会议(由计算机科学研究的重要门户research.com发布),以及信息系统协会(AIS)编制的MIS期刊中筛选了发表在1996年至2021年间的8006篇信息安全研究论文进行共被引研究。研究表明:信息安全研究可以划分为八个核心知识群组,包括(1)入侵检测,(2)隐私保护,(3)安全机器学习,(4)密码系统,(5)数据服务安全,(6)恶意软件分析,(7)安全决策,(8)安全管理。与外部攻击相比,内部计算机滥用对安全的威胁更为严重。为了减轻与内部攻击相关的安全风险,一个基本的方法是遵循安全策略。Shiau et al. (2023) 的研究同时识别了信息安全领域内115篇高被引的重要论文。其中,由Bulgurcu et al. (2010) 发表在《MIS Quartely》上的 “Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness”就探讨了员工遵守组织信息安全策略的先决条件,其Google Scholar被引达2760次,其中Web of Science平台上的引用也达到了945次,本期我们就介绍这篇论文如下。
Bulgurcu et al. (2010) 研究了促使员工遵守信息安全政策中有关保护组织信息和技术资源要求的理性因素。以计划行为理论为基础,作者提出并测试了一个影响员工遵从意愿的因素模型,该模型将员工遵守信息安全政策要求的意愿作为因变量,而将计划行为理论的三个主要构念:态度、主观规范和感知行为控制应用于遵守安全策略的情境中,作为员工遵守 意愿的前因。作者将根植于理性选择理论的认知信念添加到模型中,作为态度的前因。具体而言,作者发现员工的态度会受到遵守的利益、遵守的代价和不遵守的代价的影响。遵守的利益是由内在利益、资源安全和奖励形成的 ,遵守的代价则是由工作障碍形成的,而不遵守的代价则有内在成本、脆弱性和惩罚形成的,这三方面构成了员工遵守或者违反安全政策整体后果评估的信念。最后,作者发现信息安全意识会影响员工对结果的信念,以及直接影响员工对遵守安全政策的态度。
参考文献:
Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, Vol. 34 No. 3, pp. 523-548.
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.
转载本文请联系原作者获取授权,同时请注明本文来自萧文龙科学网博客。
链接地址:https://wap.sciencenet.cn/blog-3444471-1432258.html?mobile=1
收藏
