(整理人:蕭文龍、王嘯群)
資訊科技在為企業帶來成功機會的同時,也為企業帶來了安全隱患,資訊安全事件近年來不斷出現,威脅到組織。 Shiau et al. (2023)從最好的資訊安全期刊和會議(由電腦科學研究的重要入口網站research.com發布),以及資訊系統協會(AIS)編制的MIS期刊中篩選了發表在1996年至2021 年間的8006篇資訊安全研究論文進行共被引研究。 研究顯示:資訊安全研究可以分為八個核心知識群組,包括(1)入侵偵測,(2)隱私保護,(3)安全機器學習,(4)密碼系統,(5)資料服務安全,( 6)惡意軟體分析,(7)安全決策,(8)安全管理。 與外部攻擊相比,內部電腦濫用對安全的威脅更為嚴重。 為了減輕與內部攻擊相關的安全風險,一個基本的方法是遵循安全策略。 Shiau et al. (2023) 的研究同時辨識了資訊安全領域內115篇高被引用的重要論文。 其中,由Bulgurcu et al. (2010) 發表在《MIS Quartely》上的「Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness」就探討了員工遵守組織資訊安全策略的先決條件, 其Google Scholar被引達2760次,其中Web of Science平台上的引用也達到了945次,本期我們就介紹這篇論文如下。
Bulgurcu et al. (2010) 研究了促使員工遵守資訊安全政策中有關保護組織資訊和技術資源要求的理性因素。 以計劃行為理論為基礎,作者提出並測試了一個影響員工遵從意願的因素模型,該模型將員工遵守資訊安全政策要求的意願作為因變量,而將計劃行為理論的三個主要構念:態度、 主觀規範和知覺行為控制應用於遵守安全策略的情境中,作為員工遵守意願的前因。 作者將根植於理性選擇理論的認知信念加入模型中,作為態度的前因。 具體而言,作者發現員工的態度會受到遵守的利益、遵守的代價和不遵守的代價的影響。 遵守的利益是由內在利益、資源安全和獎勵形成的,遵守的代價則是由工作障礙形成的,而不遵守的代價則有內在成本、脆弱性和懲罰形成的,這三方面構成了員工遵守 或違反安全政策整體後果評估的信念。 最後,作者發現資訊安全意識會影響員工對結果的信念,以及直接影響員工對遵守安全政策的態度。
參考文獻:
Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, Vol., pp4 553, 3253, Vol. -548.
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.
請先 登入 以發表留言。