前言：本站為你精心整理了信息安全人為影響因素范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：近年來信息安全問題事件越來越多，人們往往把問題解決的關(guān)注點僅放在技術(shù)層面上，人為因素常被忽視。實際上，人類行為意識及其相關(guān)因素對信息安全也起到至關(guān)重要的作用，因為人為制造風險和預防安全漏洞方面都扮演著重要角色。該文試圖從信息安全意識、組織文化、安全文化等方面闡述與信息安全相關(guān)的人為影響因素，以引起研究者和行業(yè)從業(yè)者的重視與思考。

關(guān)鍵詞：信息安全意識；組織文化；安全文化

近年來隨著越來越多的組織機構(gòu)成為網(wǎng)絡(luò)安全攻擊者的捕獲目標，信息安全事件的數(shù)量正與日俱增。網(wǎng)絡(luò)風險成為組織領(lǐng)導者或管理者最普遍關(guān)心的問題。一般來說，提到信息安全，我們通常只關(guān)注于技術(shù)層面的解決方案和降低風險的措施。然而，現(xiàn)在人們越來越認識到只依靠技術(shù)解決方案并不能充分緩解安全漏洞的發(fā)生概率，反而有時人們對技術(shù)的過度依賴導致了信息安全風險的產(chǎn)生，而風險又往往引發(fā)信息安全事件，因此人的作用至關(guān)重要，人是信息安全中的薄弱環(huán)節(jié)。為了解決信息安全問題，認識并改變?nèi)藗兊陌踩庾R、安全行為變得越來越重要，我們必須了解信息安全意識等人為原因。而人類行為、意識在很大程度上是由文化決定的，它時時影響人們在社會環(huán)境和工作中的相互作用。因此，當試圖分析、塑造、改變?nèi)藗兊男畔踩庾R時，考慮其所在的群體、社會環(huán)境和組織體系的組織文化、安全文化尤為重要，只有這樣才能充分達到提高信息安全的目的。

1信息安全意識

信息安全意識是指組織成員對組織信息安全政策、規(guī)章和指導方針重要性的理解程度以及對其中相關(guān)規(guī)定的遵守、執(zhí)行狀態(tài)。了解信息安全意識及其影響因素對于降低信息安全風險是非常重要的。知識—態(tài)度—行為(KAB)模型認為，員工對安全行為的認知程度越高，其維護安全狀態(tài)的態(tài)度越端正，從而自發(fā)改善其信息安全行為[1]。目前，基于人類方向的信息安全研究主要探索與信息安全行為相關(guān)或可能對信息安全產(chǎn)生影響的特定人類特征上。有研究表明，信息安全意識在一定程度上可以通過年齡、性別、心理彈性、工作壓力、教育程度和一些個性特征來預測。例如，研究發(fā)現(xiàn)信息安全意識與年齡呈正相關(guān)，年齡越大，信息安全意識越強。此外，女性、性格較隨和、責任心較強、表現(xiàn)出較強適應(yīng)力和較低工作壓力、受教育程度更高的人以及不善于冒險的人在信息安全意識上的得分更高，也就是信息安全意識更強[2]。

2組織文化

對于組織文化的概念界定，不同的學者采用不同的提法，最被廣泛接受的定義是Schein的組織文化理論。Schein認為文化由以下三個相互作用的層次組成。一是人工產(chǎn)物層次，它是組織文化中最表面、最淺顯的層次，主要指在組織中可觀察到的行為和感受到的現(xiàn)象，包括組織結(jié)構(gòu)和組織過程等；二是價值觀層次，主要反映在組織的戰(zhàn)略、目標、質(zhì)量意識、指導哲學等當中。當組織價值觀得到絕大多數(shù)成員認同時，它們就會變成信念、規(guī)則，并最終進入無意識狀態(tài)；三是基本假定層次，包含潛意識的、默認的一些信仰、思想、知覺、感覺等，這是該組織文化模型中最核心的因素，是組織行為模式的終極根源[3]。Schein的組織文化模型是理解組織文化的關(guān)鍵，許多理論都是建立在此模型的基礎(chǔ)上，比如有人將文化分為參與、一致性、適應(yīng)性、任務(wù)四個方面，每個方面有三個嵌套的子尺度，這四個主要方面及其子尺度相互作用，以測定組織是面向內(nèi)部還是外部、偏向穩(wěn)定性還是靈活性。對組織文化的研究和測量是具有重要意義的，因為它對個體和群體行為以及與其他組織行為（如工作滿意度、工作績效）的關(guān)系都具有一定影響。

3安全文化

理解組織文化是認識和定義安全文化的基礎(chǔ)，因為組織內(nèi)的安全穩(wěn)定狀態(tài)是在其組織文化的影響下一步一步確立鞏固的。當個人理解、內(nèi)化并遵守信息安全標準和學習典范時，信息就得到了最好的保護。當前關(guān)于安全文化的研究主要是理論性的，以組織文化文獻為基礎(chǔ)，借鑒了心理學、經(jīng)濟學、行為科學和管理學等多個學科，研究主要集中在概念模型和框架上[4]，其中最為廣泛接受的分別是vanNiekerk等人和DaVeiga等人在Schein組織文化理論基礎(chǔ)上進行的改動。前者增加了知識層的概念，以更好地反映安全文化，后者把關(guān)注點放在信息安全、行為和文化之間的相互作用上，貫穿個人、群體和組織層面。雖然還有很多觀點，但是學者們一致認為安全文化就是人們用來與組織系統(tǒng)進行互動、執(zhí)行安全相關(guān)的程序、日常任務(wù)和活動時所持的各種態(tài)度、信念、學識和價值觀，它是通過內(nèi)部和外部環(huán)境的共同作用形成的。內(nèi)部環(huán)境包括領(lǐng)導和組織結(jié)構(gòu)等因素，外部環(huán)境包括從經(jīng)濟氣候到行業(yè)技術(shù)強度等諸多因素。安全文化的強大力量在于當組織成員意識到安全風險時，他們會擔負起責任并執(zhí)行預防措施來提高信息系統(tǒng)和網(wǎng)絡(luò)的安全性。安全文化的主要目標就是通過創(chuàng)建一個鼓勵和支持員工維護安全的工作環(huán)境來保護信息資產(chǎn)。

4信息安全意識和組織文化、安全文化的關(guān)系

雖然少有研究專門探討信息安全意識、組織文化、安全文化之間的關(guān)系，但是有些組織文化組成成分確實與安全文化和信息安全意識相關(guān)。有研究發(fā)現(xiàn)領(lǐng)導力支持對信息安全管理和創(chuàng)建強有力的安全文化具有較大影響，這些研究強調(diào)了領(lǐng)導者通過戰(zhàn)略管理和規(guī)劃、溝通和透明的決策過程鼓勵積極安全行為產(chǎn)生的重要性。還有研究者提出組織的安全使命與積極向上的安全文化導向密切相關(guān)。例如，強調(diào)安全文化需求的使命任務(wù)更有可能激發(fā)出反映積極安全文化的行為；讓組織成員參與安全管理決策使其產(chǎn)生自我歸屬感，可以達到改善安全行為和強大組織文化的目的；以人為本的組織更有可能對成員的信息安全意識產(chǎn)生積極導向，而僅僅關(guān)注任務(wù)的組織會在功利行為和信息安全行為之間產(chǎn)生矛盾利益沖突[5]。另外，有探索性定量研究發(fā)現(xiàn)信息安全意識與安全文化之間存在正相關(guān)關(guān)系，如果一個組織具有良好的安全文化氛圍，那么其成員更有可能具備遵守信息安全政策和執(zhí)行安全規(guī)程所要求的知識、態(tài)度和行為，以維持組織良好的信息安全狀態(tài)。

5結(jié)語

當我們需要解決信息安全問題或提高安全維護能力時，除了技術(shù)層面的改進以外，信息安全意識、組織文化、安全文化及其關(guān)系等相關(guān)主觀影響因素也是需要重點考慮的方面，這對于降低信息安全風險是非常必要的。本文通過綜述此類理論研究為指導后續(xù)研究提供一定參考，以期相關(guān)行業(yè)實踐者能夠有效利用理論建議，提高信息安全處置能力，預防安全事件發(fā)生。

作者:王一楠 單位:中國人民解放軍93658部隊