蕭文龍 部落格 Mac Shiau(blog)

                                                                                                                                                                                                                                                                               （整理人：蕭文龍、王嘯群）
資訊科技在為企業帶來成功機會的同時，也為企業帶來了安全隱患，資訊安全事件近年來不斷出現，威脅到組織。 Shiau et al. (2023)從最好的資訊安全期刊和會議（由電腦科學研究的重要入口網站research.com發布），以及資訊系統協會(AIS)編制的MIS期刊中篩選了發表在1996年至2021 年間的8006篇資訊安全研究論文進行共被引研究。 研究顯示：資訊安全研究可分為八個核心知識群組，包括(1)入侵偵測，(2)隱私保護，(3)安全機器學習，(4)密碼系統，(5)資料服務安全，( 6)惡意軟體分析，(7)安全決策，(8)安全管理。 與外部攻擊相比，內部電腦濫用對安全的威脅更為嚴重。 為了減輕與內部攻擊相關的安全風險，一個基本的方法是遵循安全策略。 Shiau et al. (2023) 的研究同時辨識了資訊安全領域內115篇高被引用的重要論文。 其中，由Herath and Rao (2009)發表在《European Journal of information systems》上的“Protection motivation and deterrence: a framework for security policy compliance in organisations”構建了一個綜合性的模型用於解釋組織用戶對安全策略 遵循的機制。 文章在Google Scholar被引達1,683次，而Web of Science平台上的引用也達到了902次，本期我們就介紹這篇論文如下。
資訊安全不能只透過技術工具來實現，大多數組織花費時間和資源來提供、建立和監控電腦安全策略。 然而，如果資訊系統的最終用戶不願意遵循這些策略，那麼這些努力都是徒勞無功的。 為此，作者整合了保護動機理論、威懾理論、組織承諾和分解式計劃行為理論, 建立了安全策略遵從的綜合保護激勵與威懾模型，組織還評估了組織承諾對員工安全合規意願的影響。 借助78個組織的312名員工的回饋，作者對所提出的模型進行了實證檢驗。 研究結果顯示：(a)對違規嚴重程度的威脅認知和對反應效能、自我效能和反應成本的認知可能會影響政策態度;(b)組織承諾和社會影響對合規意願有顯著影響; (c)資源可近性是提升自我效能感的重要因素，而自我效能感又是政策遵從意願的重要預測因子。
                       
參考文獻：
Herath, T., & Rao, H. R. (2009). Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal of Information Systems, Vol. 18 No. 2, pp. 106-125.
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.