员工信息安全政策违规行为研究:基于领导者行为与员工情绪

Insider security threats has increasingly becoming a major source of information security breaches in organizations. Developing effective mechanisms to mitigate security risks and reduce employee information security policy noncompliance behaviors are important managerial issues. Prior IS security literature has been focusing on the application of general deterrence theory on deterring employees from committing computer abuse, nevertheless not much research was available on the examination of motivations behind employee security policy noncompliance behaviors. This research proposal attempts to investigate the motivational factors from managerial approaches such as abusive supervision and the design of rewards and punishments, and its impact on employee security policy noncompliance intention. Theoretically, this research proposal draws on social exchange theory, affective events theory and norm activation model and develop two research models, and plans to conduct empirical study through both qualitative and quantitative research methods. The expected research outcomes will make theoretical contributions to the existing security literature and practical contributions concerning the role of managerial style and management methods that might motivate employee in committing information security policy violation behaviors.

组织内部人员已经成为信息安全事件的主要威胁。如何提高企业信息安全防范措施的有效性，以及降低内部员工信息安全政策违规行为，成为企业生存和发展所面临的主要问题。然而，目前大部分文献多是基于安全行动周期模型，强调威慑在消除风险，却少有研究探讨员工与组织互动产生的心理过程对于员工信息安全政策违规行为的影响。本课题将由组织管理者行为与模式的视角出发，探索员工信息安全政策违规行为的动机与心理过程机理。本课题将从辱虐管理，感知奖励惩罚的结果公平这二个方面来研究员工信息安全政策违规行为发生的心理过程。具体来说，本课题将基于社会交换理论，情绪事件理论以及规范激活理论来构建理论模型及相关假设，并采用问卷调研，访谈，情境分析，经验抽样等方法进行实证分析，系统地解读员工发生信息安全政策违规行为的动机和心理过程。研究结论将对于员工信息安全政策违规行为的研究提供理论借鉴，同时也将对企业的信息安全管理实践提供指导。

本项目重点围绕组织内部员工信息安全行为，从情绪、辱虐管理、组织公平、组织承诺、中和理论等多重理论视角，建立了丰富的理论研究模型来解释影响员工信息安全相关行为的动机因素，通过实证研究调查方法进行了数据收集和分析。主要研究内容包括：1）员工情绪与计算机相关偏离行为的关系研究。主要探究员工的愤怒与恐惧情绪和感知惩罚如何影响计算机相关偏离行为。研究发现，经历愤怒情绪的员工更容易产生计算机相关偏离行为，感知非正式惩罚对二者关系起到中介作用；相反，经历恐惧情绪的员工更不容易产生计算机相关偏离行为。2）辱虐管理与员工信息安全政策违规行为的关系研究。主要研究了员工感知到的来自上级领导的辱虐管理对其信息安全政策违规行为意愿的影响。研究发现，员工感知到的辱虐管理是一个负面的行为动机因素，它能够降低员工对组织承诺的倾向，从而产生信息安全政策违规行为。3）基于中和理论探究员工对辱虐管理的信息安全行为反应的研究，主要检验了辱虐管理和员工信息系统滥用行为的关系，研究发现当员工感知到来自上级领导的辱虐管理时，他们倾向于通过使用中和理论技术来合理化他们滥用组织信息系统的行为；同时，研究还发现，领导的任期长短直接影响员工对辱虐管理的感知。4）理性选择视角下的信息安全政策遵循行为研究。从理性选择的视角调查了员工对信息安全政策和教育项目的感知程度会影响其对代价和收益的判断，从而影响员工的态度和信息安全政策遵循行为。5）员工对计算机监控的合法性对计算机滥用行为的影响研究，检验了员工对于计算机监控的规则、规范以及认知的合法性的感知程度，对隐私侵犯的影响，从而检验员工计算机滥用行为的动机。本项目的研究相关理论成果主要应用于企业员工信息安全行为管理、组织信息安全政策规范的制定、领导力行为、员工情绪管理、辱虐管理等组织信息安全管理领域。理论研究发现对于指导组织规范员工信息安全行为，完善信息安全政策要求，提高组织信息安全处理能力等方面，具有理论指导意义。同时，本项目所支持的理论研究，综合了跨学科领域的理论应用，对信息安全管理科学的研究具有理论创新意义。