(整理人:蕭文龍、王嘯群)
資訊科技在為企業帶來成功機會的同時,也為企業帶來了安全隱患,資訊安全事件近年來不斷出現,威脅到組織。 Shiau et al. (2023)從最好的資訊安全期刊和會議(由電腦科學研究的重要入口網站research.com發布),以及資訊系統協會(AIS)編制的MIS期刊中篩選了發表在1996年至2021 年間的8006篇資訊安全研究論文進行共被引研究。 研究顯示:資訊安全研究可分為八個核心知識群組,包括(1)入侵偵測,(2)隱私保護,(3)安全機器學習,(4)密碼系統,(5)資料服務安全,( 6)惡意軟體分析,(7)安全決策,(8)安全管理。 Shiau et al. (2023) 的研究同時辨識了資訊安全領域內115篇高被引用的重要論文。 員工不遵守資訊系統安全政策是資訊科技安全管理者的主要關切,因為其帶來的不利影響甚至比技術漏洞更為嚴重。 Siponen and Vance (2010)發表在《MIS Quartely》上的「Neutralization: New insights into the problem of employee information systems security policy violationsow to share a secret」從犯罪學中引入了中和理論來探討資訊安全政策問題, 為資訊安全研究開拓了新的視野。 文章在Google Scholar被引達1419次,而Web of Science平台上的引用也達到了596次,本期我們就介紹這篇論文如下。
中和理論認為,大多數犯罪人都具有傳統的為社會普遍公認和接受的價值觀和態度,而並不完全信奉犯罪的價值觀, 所以也就不把自己看成是犯罪人。 犯罪人會透過中和技術將其非法行為進行合理化,從而使自己擺脫道德約束。 中和技術包括以下五項技能:⑴否定責任。 犯罪人寧可認為自己是行為客體而不願承認是行為主體,他只是環境的受害者。 ⑵否認損害。 犯罪人不認為自己的行為對社會或他人造成損害,也沒有任何人因為他們的行為而遭受不幸。 ⑶否認被害人。 犯罪人不認為自己對被害人所實施的行為是違法的,而是認為被害人應該受到報復和懲罰。 ⑷ 譴責那些譴責他們的人。 犯罪人認為所有譴責自己的人都是戴假面具的惡人。 ⑸ 高度效忠群體。 即犯罪人對社會要求的破壞,被一個人以忠誠和順從的名義對小集體所做的一切中和。 基於中和理論,Siponen and Vance (2010) 建構了一個資訊安全政策違反模型,提出:中和會積極影響違反資訊安全政策的意圖。 並基於威懾理論提出正式製裁對違反安全政策的意圖產生負面影響,非正式製裁對違反安全政策的意圖產生負面影響,羞恥感負向影響違反安全政策的意圖。 作者對中和技術的效果與威懾理論所描述的製裁的效果一起進行實證檢驗,並證實了相關假設。 這表明,中和技術是在製定和實施組織安全政策和實踐時需要考慮的一個重要因素。
參考文獻:
Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.
Siponen, M., & Vance, A. (2010). Neutralization: new insights into the problem of employee information systems security policy violations. MIS Quarterly, Vol. 34 No. 3, pp. 487-502.
請先 登入 以發表留言。