員工信息安全違規意願的社會控制要素及實證研究

信息技術和信息系統的套用為組織帶來了巨大的收益，但同時也誘發了信息違規事件的頻繁發生。研究表明，組織內部員工的行為已經成為組織信息管理中最薄弱的一環，接近80%的信息安全問題是由員工的違規行為所引起，並因此為組織帶來了巨大的損失。員工的信息安全違規行為受諸多社會因素的制約。其中，社會紐帶因素、威懾機制等對其違規意願具有重要影響。此類因素具有客觀性，有利於客觀的解析違規行為發生的原因。本課題將據此探索違規發生的深層次原因，從社會控制視角建立員工信息安全違規意願的概念模型，基於威懾理論、社會紐帶理論建立整體模型，提出研究假設。通過實證方法闡明制度控制因素（如制度完備性、懲罰確定性和嚴厲性等）、社會紐帶因素（如組織環境、家庭背景、社會依戀、承諾、信念等）、社會壓力（如主觀規範）等對員工違規意願的影響；進而分析其對信息安全敏感崗位員工管理的啟示，如招募、崗位安排、信息安全制度制定、守規行為引導等。

本研究主要結合現代信息技術和信息系統的套用中經常發生的信息違規事件這一背景，針對組織內部員工的隱私泄露、數據泄密、違規使用數據等信息安全違規行為展開研究。通過深入分析組織內部員工的信息安全違規事件的類別，探究其發生的根源。考慮員工的社會關係、人格特質和所處的組織環境，基於社會紐帶理論、威懾機制、道德推脫、中和技術等分析員工的信息安全違規意願，從社會控制視角建立員工信息安全違規意願的概念模型，基於威懾理論、社會紐帶理論建立整體模型。深入分析了否認責任、否認傷害、否認受害者、更高層次效忠、避免更多的傷害技術對泄露他人隱私意向的影響；考慮了人格特質中的神經質、開放性、外向性、盡責性和宜人性與泄露他人隱私之間具有相互關係。從犯罪學視角建立了員工網際網路濫用行為模型；研究了信息安全遵從行為的激勵機制，建立了懲罰的確定性與適度性模型；基於面子傾向的調節效應等研究了組織控制與信息安全制度遵守機制,從道德風險的委託人——代理人理論視角構建了信息安全伽羅瓦格圖。 項目的研究獲得了系列理論成果，截至2016年底已經在國內外重要期刊、學術會議發表論文20篇，其中SCI、SSCI、EI、CSSCI收錄論文13篇。 項目的研究同時也得到了有關信息安全管理的啟示，並在銀行、電商、軟體公司等組織中得到分享與認可，已經成為信息敏感崗位員工安排的重要參考。 同時，項目負責人作為大會主席舉辦了“第十屆中國夏季信息系統研討會（CSWIM 2016）”、作為論壇主席舉辦了“2016年中國信息系統協會博士生論壇”。課題組40餘人次參加國內外信息管理研討會。 另外，基於該項目的研究總計培養了專門從事信息安全管理的2名博士生、4名碩士生，並有3名研究生在讀。