， ，

(1.重慶工商大學(xué) 商務(wù)策劃學(xué)院，重慶 400067； 2.中國金融認(rèn)證中心 信息安全服務(wù)部，北京 100054； 3.山東財經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，山東 濟(jì)南 250014)

1 引言

隨著信息技術(shù)的快速發(fā)展，企業(yè)市場競爭力的提升愈發(fā)依賴信息技術(shù)和信息系統(tǒng)的支持，信息已然成為企業(yè)的關(guān)鍵資產(chǎn)。然而，頻發(fā)的信息安全事件，卻時常將企業(yè)置于各種風(fēng)險之中，信息安全也日漸成為企業(yè)高度關(guān)注的管理問題[1]。傳統(tǒng)信息安全管理強調(diào)在技術(shù)層面進(jìn)行升級和改造來保護(hù)企業(yè)免受外部威脅[2]。而不少研究和調(diào)查報告卻顯示：70%～80%的企業(yè)信息安全風(fēng)險由員工的違規(guī)行為引發(fā)。因此，員工的信息安全違規(guī)已經(jīng)超越外部威脅成為企業(yè)信息安全風(fēng)險的主要來源[3]。

事實上，看似細(xì)微的員工信息安全違規(guī)往往會對企業(yè)信息安全造成巨大威脅，這是因為再先進(jìn)的信息技術(shù)/系統(tǒng)，如果沒有規(guī)范的操作作為保障，其安全性也會大打折扣[4]。一般來說，制定科學(xué)合理的信息安全管理制度并嚴(yán)格執(zhí)行是企業(yè)信息安全的重要保證，但是企業(yè)如果不能有效減少員工的信息安全違規(guī)行為，也就不能有效阻斷頻發(fā)的信息安全事件，降低潛在的信息安全風(fēng)險[5,6]。

近年來，應(yīng)用社會心理學(xué)、犯罪學(xué)和組織行為學(xué)的相關(guān)理論，探討員工信息安全違規(guī)行為已經(jīng)成為國外信息安全研究的熱點，涉及的主要問題包括：企業(yè)如何確保員工遵守信息安全管理策略、企業(yè)如何激發(fā)員工的信息安全保護(hù)行為等。盡管圍繞上述問題的研究取得了一定成果，但是已有研究仍然存在以下局限：(1)研究結(jié)論不統(tǒng)一。例如，Ifinedo[7]研究發(fā)現(xiàn)，感知威脅嚴(yán)重性對員工信息安全遵從行為有正向影響，而Vance等[8]認(rèn)為感知威脅嚴(yán)重性對員工信息安全遵從行為有負(fù)向影響。(2)精英偏見。已有研究主要基于信息安全專家和高層管理團(tuán)隊的思維模式，進(jìn)而導(dǎo)致研究結(jié)論往往出現(xiàn)精英偏見[1]，即研究結(jié)論符合高層管理人員對員工信息安全行為的看法，但是缺乏一般員工的視角[9]。(3)對員工信息安全違規(guī)行為內(nèi)在影響因素的探討亟待加強。已有文獻(xiàn)較多分析企業(yè)如何通過嚴(yán)厲的懲罰措施來威懾員工，以迫使員工遵守信息安全管理策略[5,10]，但較少涉及員工信息安全違規(guī)的個體內(nèi)在影響機(jī)制。目前，僅有Siponen和Vance[10]運用中和技術(shù)理論分析了員工會用6種中和技術(shù)來說服自己執(zhí)行信息安全違規(guī)行為；D’Arcy等[6]從信息安全壓力視角分析員工為何產(chǎn)生信息安全違規(guī)意愿。然而，上述兩項研究均沒有涉及員工內(nèi)在信息安全意識的影響，因此也就無法解釋現(xiàn)階段眾多企業(yè)紛紛開展員工信息安全意識培訓(xùn)的原因。

基于上述分析，本研究探討員工信息安全違規(guī)行為(包括不遵守信息安全管理策略的所有信息技術(shù)和信息系統(tǒng)的操作行為)的影響機(jī)制，其創(chuàng)新之處體現(xiàn)在兩方面：第一，在Siponen和Vance[10]及Siponen等[11]研究基礎(chǔ)上(上述兩項研究的關(guān)系路徑為：中和技術(shù)→違規(guī)意愿)，基于道德推脫理論拓展了員工信息安全違規(guī)意愿的影響路徑和作用過程(中和技術(shù)→道德推脫→違規(guī)意愿)，這對于充分認(rèn)識和理解員工的信息安全違規(guī)行為有重要作用。第二，在D’Arcy等[12]，Puhakainen和Siponen[13]，Dinev和Hu[14]的研究基礎(chǔ)上，增加了信息安全意識對道德推脫與信息安全違規(guī)意愿關(guān)系調(diào)節(jié)作用的驗證，這有利于拓展行為信息安全管理的理論視角。

2 理論基礎(chǔ)與研究假設(shè)

本研究的理論基礎(chǔ)是中和技術(shù)理論和道德推脫理論。其中中和技術(shù)理論主要分析員工信息安全違規(guī)意愿的內(nèi)在影響因素；道德推脫理論主要解釋員工如何說服內(nèi)在自我調(diào)控系統(tǒng)進(jìn)而允許違規(guī)的發(fā)生。即前者側(cè)重分析信息安全違規(guī)的內(nèi)在影響因素，后者側(cè)重闡明內(nèi)在影響因素的作用過程。

2.1 中和技術(shù)理論

中和技術(shù)理論是在研究青少年犯罪問題時被提出來的，該理論從違法者視角解讀自我辯解的過程，這有助于揭示違法行為形成的內(nèi)在動機(jī)和影響因素[14]。中和技術(shù)理論的本質(zhì)在于違法者的自我辯護(hù)和否認(rèn)犯罪，它提出了5種中和技術(shù)：否認(rèn)責(zé)任、否認(rèn)傷害、否認(rèn)受害者、高度效忠和反擊譴責(zé)者。在后續(xù)研究中，否認(rèn)必要性又被加入其中，最終形成了該理論常用的6種中和技術(shù)。隨著學(xué)者們對企業(yè)員工負(fù)面行為的持續(xù)關(guān)注，中和技術(shù)理論逐漸在管理信息系統(tǒng)領(lǐng)域的研究中得到應(yīng)用。例如，Siponen和Vance[10]最早將中和技術(shù)理論應(yīng)用于信息安全管理研究中，并證明上述6種中和技術(shù)可以解釋員工違規(guī)的原因；Siponen等[11]應(yīng)用中和技術(shù)理論探討了企業(yè)員工為什么會使用盜版軟件問題，并再次驗證了中和技術(shù)理論的解釋能力；吳娜等[15]應(yīng)用中和技術(shù)理論分析了泄露他人隱私意向的影響要素，同樣驗證了中和技術(shù)理論的解釋能力。

2.2 道德推脫理論

道德推脫是指個體會產(chǎn)生一種特定的認(rèn)知傾向，包括重新定義自己的不道德行為以使其傷害顯得更小，并最大限度地減少自己在某項不道德行為后果中的責(zé)任[16]。因此，道德推脫理論往往用于闡述為什么人們在明知錯誤的情況下，仍然會做出某些錯誤行為。道德推脫理論還認(rèn)為，當(dāng)個人在道德上采取推脫的態(tài)度時，他/她就切斷了既定行為與其有害后果之間的關(guān)系[17]。組織領(lǐng)域的相關(guān)研究證明，道德推脫為分析員工的消極工作/違規(guī)/不道德行為提供了一種新的理論視角[6,18]。當(dāng)某種違規(guī)行為產(chǎn)生于組織時，員工往往會將違規(guī)行為所造成的傷害進(jìn)行去人性化的認(rèn)知和解讀，從而使得自身擺脫因違反自身道德標(biāo)準(zhǔn)而產(chǎn)生的內(nèi)疚和自責(zé)情緒，心安理得地做出不道德行為[19]。

2.3 研究假設(shè)

2.3.1 否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿

本研究在員工信息安全違規(guī)的分析中只采納了否認(rèn)責(zé)任和否認(rèn)傷害兩個變量，并未采用其它中和技術(shù)(否認(rèn)受害者、高度效忠、反擊譴責(zé)者和否認(rèn)必要性)，這是因為：多數(shù)員工的信息安全違規(guī)行為，并非惡意侵害他人或損害別人的利益(排除否認(rèn)受害者)；也不是源于對其它企業(yè)忠誠的訴求(排除高度效忠)或?qū)δ承┳l責(zé)者的報復(fù)(排除反擊譴責(zé)者)；更不是除了做出信息安全違規(guī)行為之外，已經(jīng)沒有其它更好選擇(排除否認(rèn)必要性)[10]。

否認(rèn)責(zé)任是指違規(guī)者認(rèn)為無需為自己的不當(dāng)行為負(fù)責(zé)，而將責(zé)任轉(zhuǎn)移至其它方面，以此來抑制內(nèi)在自我道德調(diào)節(jié)系統(tǒng)的作用[10]。例如，在企業(yè)信息安全管理中，員工在違規(guī)復(fù)制機(jī)密文件時往往辯稱對企業(yè)的信息安全政策不了解，以此作為否認(rèn)責(zé)任的借口；計算機(jī)編程人員經(jīng)常將其錯誤歸咎于電腦故障，使電腦成為其否認(rèn)責(zé)任的替罪羊；在泄露他人隱私時，泄露者往往以不知曉相關(guān)隱私保護(hù)制度為其行為辯解?；诖?，本研究提出如下假設(shè)：

H1a否認(rèn)責(zé)任對員工信息安全違規(guī)意愿有顯著正向影響。

否認(rèn)傷害是指通過極小化違規(guī)行為造成的傷害使得違規(guī)行為看起來具有一定的合理性[14]。這一中和技術(shù)將關(guān)注的焦點置于違規(guī)行為造成的傷害，違規(guī)者認(rèn)為違規(guī)行為并未造成任何傷害(如身體傷害、精神傷害)，所以即使其行為不合法也可以得到原諒。否認(rèn)傷害實際上通過將個人違規(guī)行為與其所導(dǎo)致的后果相分離，以此弱化自我譴責(zé)過程，進(jìn)而完成違規(guī)行為[20]。例如，不少員工認(rèn)為沒有按照信息安全管理策略來操作信息系統(tǒng)是小事，因為這沒有對企業(yè)造成實質(zhì)性的傷害，應(yīng)該得到諒解?；诖耍狙芯刻岢鋈缦录僭O(shè)：

H1b否認(rèn)傷害對員工信息安全違規(guī)意愿有顯著正向影響。

2.3.2 道德推脫的中介作用

員工的信息安全違規(guī)顯然違反了企業(yè)信息安全的管理策略，背離了職業(yè)道德準(zhǔn)則。在這種情況下，員工對規(guī)章制度的畏懼心理和對違規(guī)懲罰的恐懼心理，以及內(nèi)心道德價值觀的自我驅(qū)使均沒有促使其遵守企業(yè)的信息安全管理策略。這就說明，一方面，道德推脫使得員工的信息安全違規(guī)行為與外部懲罰之間失去聯(lián)系，此時的自我內(nèi)在道德調(diào)控系統(tǒng)已經(jīng)失效，員工可以擺脫違規(guī)行為造成的內(nèi)疚和自責(zé)；另一方面，當(dāng)員工的信息安全違規(guī)不是一個偶發(fā)事件時，即信息安全違規(guī)時常發(fā)生于企業(yè)和團(tuán)隊內(nèi)部，此時員工往往會進(jìn)行責(zé)任分散以推脫應(yīng)當(dāng)承擔(dān)的責(zé)任[21]。整體而言，員工的道德推脫通過道德辯護(hù)、責(zé)備歸因、責(zé)任轉(zhuǎn)移和責(zé)任分散等相互關(guān)聯(lián)的機(jī)制產(chǎn)生了作用[18]，這就助推了員工不同類型信息安全違規(guī)行為的發(fā)生?；诖耍狙芯刻岢鋈缦录僭O(shè)：

H2a道德推脫在否認(rèn)責(zé)任與員工信息安全違規(guī)意愿之間起中介作用。

H2b道德推脫在否認(rèn)傷害與員工信息安全違規(guī)意愿之間起中介作用。

2.3.3 信息安全意識的調(diào)節(jié)作用

由員工違規(guī)所導(dǎo)致的信息安全事件已經(jīng)成為企業(yè)信息安全管理的主要威脅[22]，這也是國內(nèi)外眾多企業(yè)開展信息安全意識培訓(xùn)的原因所在。ISF(information security forum)將信息安全意識定義為組織員工理解信息安全的重要性，清楚組織所適用的安全級別，知悉并履行個人在日常工作中的安全職責(zé)[23]。

道德推脫能夠切斷員工信息安全違規(guī)行為與其內(nèi)在道德標(biāo)準(zhǔn)的關(guān)聯(lián)，使得員工不會由于信息安全違規(guī)而感到自責(zé)和內(nèi)疚。一旦員工具有強烈的信息安全意識，這就意味著，員工理解并熟知日常工作中的信息安全管理策略，并對自身的工作職責(zé)有著清楚認(rèn)知。此時，員工的道德推脫過程將會受到信息安全意識的“干擾”不能順利完成，道德推脫與信息安全違規(guī)意愿之間的關(guān)系就會受到抑制。員工信息安全意識越高，越有利于企業(yè)信息資源的保護(hù)[11]?；诖?，本研究提出如下假設(shè)：

H3信息安全意識負(fù)向調(diào)節(jié)道德推脫與員工信息安全違規(guī)意愿之間的關(guān)系。

2.3.4 被調(diào)節(jié)的中介作用

假設(shè)H1a～假設(shè)H2b闡述了道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用，假設(shè)H3闡述了信息安全意識對道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)作用。本研究認(rèn)為信息安全意識可能負(fù)向調(diào)節(jié)道德推脫的中介作用。首先，員工的高信息安全意識為否認(rèn)責(zé)任和否認(rèn)傷害的產(chǎn)生提供了某種抑制條件，員工從而有更小的可能性將否認(rèn)責(zé)任和否認(rèn)傷害轉(zhuǎn)化為道德推脫。其次，信息安全意識水平越高越有利于員工遵守信息安全管理策略[24,25]，這就降低了道德推脫轉(zhuǎn)化為違規(guī)意愿的可能性，同時道德推脫所起到的中介作用也就降低了?；诖耍狙芯刻岢鋈缦录僭O(shè)：

H4a信息安全意識負(fù)向調(diào)節(jié)道德推脫在否認(rèn)責(zé)任與信息安全違規(guī)意愿之間的中介作用。

H4b信息安全意識負(fù)向調(diào)節(jié)道德推脫在否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用。

浙江省大中型水庫費用開支中運行費用比例最高，達(dá)到59.32%，其次為管理費用，占28.69%，最低為維修費用，占11.99%。

綜上所述，本研究提出如下研究框架(圖1)。

圖1 研究框架

3 研究設(shè)計

3.1 研究樣本與數(shù)據(jù)收集

本研究采用調(diào)查問卷的方式進(jìn)行數(shù)據(jù)收集，調(diào)查對象是國內(nèi)通過信息安全管理體系認(rèn)證(GB/T 22080-2008/ISO/IEC 27001:2005)企業(yè)的員工。問卷調(diào)查過程依托專業(yè)的調(diào)研平臺，采用在線問卷的形式進(jìn)行，調(diào)查的起止時間為2017年3月1日～ 3月31日。問卷采用7點李克特量表形式，1表示非常不同意，7表示非常同意。

本次調(diào)研過程共回收問卷356份，剔除38份無效問卷后，最終得到318份有效問卷。在318個有效被試者中，60.1%為男性員工，39.9%為女性員工；25～30歲占42.8%，31～40歲占48.7%，41歲及以上占8.5%；學(xué)歷主要以本科與研究生為主，分別占58.8%與37.1%；所屬行業(yè)分別為軟件相關(guān)38.7%，金融相關(guān)37.7%，通信相關(guān)20.8%與電力相關(guān)7.9%；工作類型分別為市場營銷相關(guān)17.0%，技術(shù)研發(fā)相關(guān)41.5%，客戶管理相關(guān)18.5%與系統(tǒng)管理相關(guān)23.0%。

3.2 研究工具

對否認(rèn)責(zé)任和否認(rèn)傷害兩個變量的測量改編自Siponen和Vance[10],Siponen等[11]的量表，均包含4個題項；對道德推脫的測量改編自Bandura[17]，Moore等[19]和Detert等[26]的量表，包含3個題項，涉及道德辯護(hù)、責(zé)任轉(zhuǎn)移和忽視結(jié)果三個維度；對信息安全意識的測量改編自D’Arcy等[12]，Spears和Barki[24]的量表，包含3個題項；對員工信息安全違規(guī)意愿的測量采用Cheng等[5]，Siponen和Vance[10]的量表，包含3個題項。此外，將員工的性別、年齡、教育程度、所屬行業(yè)與工作類型作為控制變量，以排除其對數(shù)據(jù)分析結(jié)果的影響。

4 實證結(jié)果及分析

4.1 共同方法偏差

在基于問卷調(diào)查的實證研究中，如果觀測變量由相同的被試者填答容易導(dǎo)致共同方法偏差的問題。為了排除共同方法偏差的影響，本研究在統(tǒng)計控制環(huán)節(jié)采用Harman單因素檢驗的方法進(jìn)行檢驗。檢驗結(jié)果表明，第一個因子的方差解釋度為38.818%<40%。這說明研究數(shù)據(jù)不存在顯著的共同方法偏差問題，可以進(jìn)行后續(xù)的數(shù)據(jù)分析工作。

4.2 信度與效度檢驗

本研究在對量表信度和效度檢驗過程中，主要采用組合信度和項目載荷來評價量表的信度；用潛變量AVE(平均變異萃取量)的平方根是否大于潛變量之間的相關(guān)值來檢驗區(qū)分效度，用AVE來評價量表的聚合效度。結(jié)果表明，否認(rèn)責(zé)任、否認(rèn)傷害、道德推脫、信息安全意識和信息安全違規(guī)意愿的組合信度分別為0.948、0.945、0.882、0.860和0.909，均大于0.700的基準(zhǔn)值；另外，5個潛變量的Cronbach’sα分別為0.926、0.923、0.802、0.758和0.849，均大于0.700的基準(zhǔn)值。上述兩個指標(biāo)說明問卷的測量量表具有較好的信度。同時，5個潛變量的AVE分別為0.820、0.812、0.714、0.672和0.769，均大于0.500的基準(zhǔn)值；5個潛變量的AVE的平方根均大于潛變量之間的相關(guān)系數(shù)，這表明量表具有較好的聚合效度和區(qū)分效度。此外，本研究還對量表的交叉因子載荷進(jìn)行了檢驗，結(jié)果同樣表明研究量表具有較好的聚合效度和區(qū)分效度。

4.3 描述性統(tǒng)計分析

本研究的描述性統(tǒng)計結(jié)果表明，否認(rèn)責(zé)任和道德推脫顯著正相關(guān)(r=0.59，p<0.01)；否認(rèn)傷害和道德推脫顯著正相關(guān)(r=0.63，p<0.01)；道德推脫與信息安全違規(guī)意愿顯著正相關(guān)(r=0.56，p<0.01)；信息安全意識與信息安全違規(guī)意愿顯著負(fù)相關(guān)(r=-0.69，p<0.01)；否認(rèn)責(zé)任與信息安全違規(guī)意愿顯著正相關(guān)(r=0.72，p<0.01)；否認(rèn)傷害與信息安全違規(guī)意愿顯著正相關(guān)(r=0.71，p<0.01)。上述分析結(jié)果為驗證研究假設(shè)提供了依據(jù)。

4.4 假設(shè)檢驗

本研究運用層次回歸方法來對研究假設(shè)進(jìn)行檢驗，回歸結(jié)果詳見表1。

對假設(shè)H1a(否認(rèn)責(zé)任與違規(guī)意愿之間的直接效應(yīng))和H1b(否認(rèn)傷害與違規(guī)意愿之間的直接效應(yīng))的檢驗，首先以信息安全違規(guī)意愿為因變量，所有控制變量為自變量進(jìn)行回歸分析(見模型4)。結(jié)果表明，所有控制變量的回歸系數(shù)均不顯著，說明控制變量沒有對模型的有效性產(chǎn)生影響。其次，模型5在模型4的基礎(chǔ)上增加了否認(rèn)責(zé)任作為自變量進(jìn)行回歸分析。結(jié)果顯示，否認(rèn)責(zé)任對信息安全違規(guī)意愿有顯著正向影響(β=0.65，p<0.001)，假設(shè)H1a得到驗證；同理，模型6在模型4的基礎(chǔ)上增加了否認(rèn)傷害作為自變量。結(jié)果顯示，否認(rèn)傷害對信息安全違規(guī)意愿有顯著正向影響(β=0.71，p<0.001)，假設(shè)H1b得到驗證。

表1 回歸分析結(jié)果

注：*p<0.05，**p<0.01，***p<0.001。下同。

對假設(shè)H2a和H2b(道德推脫的中介效應(yīng))的檢驗，首先以道德推脫為因變量，以所有控制變量為自變量進(jìn)行回歸分析(見模型1)。結(jié)果顯示，所有控制變量均沒有對模型的有效性產(chǎn)生影響。其次，以道德推脫為因變量，在模型1的基礎(chǔ)上增加否認(rèn)責(zé)任作為自變量進(jìn)行回歸分析(見模型2)。結(jié)果顯示，否認(rèn)責(zé)任對道德推脫有顯著正向影響(β=0.44，p<0.001)。同理，模型3在模型1的基礎(chǔ)上增加了否認(rèn)傷害作為自變量。結(jié)果顯示，否認(rèn)傷害對道德推脫有顯著正向影響(β=0.52，p<0.001)。最后，以信息安全違規(guī)意愿為因變量，以否認(rèn)責(zé)任和道德推脫為自變量進(jìn)行回歸分析(模型7)，以否認(rèn)傷害和道德推脫為自變量進(jìn)行回歸分析(模型8)。結(jié)果顯示，否認(rèn)責(zé)任對信息安全違規(guī)意愿有顯著正向影響(β=0.55，p<0.001)，道德推脫對信息安全違規(guī)意愿有顯著正向影響(β=0.24，p<0.01)；否認(rèn)傷害對信息安全違規(guī)意愿有顯著正向影響(β=0.60，p<0.001)，道德推脫對信息安全違規(guī)意愿有顯著正向影響(β=0.21，p<0.01)。對比發(fā)現(xiàn)，否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的回歸系數(shù)值均變小(0.55<0.65；0.60<0.71)，因此假設(shè)H2a和H2b均得到驗證。

對假設(shè)H3(信息安全意識的調(diào)節(jié)效應(yīng))的檢驗，以信息安全違規(guī)意愿為因變量，以所有控制變量、否認(rèn)責(zé)任、否認(rèn)傷害、道德推脫、道德推脫與信息安全意識的交互項為自變量進(jìn)行回歸分析(模型9)。結(jié)果顯示，道德推脫與信息安全意識交互項對信息安全違規(guī)意愿有顯著負(fù)向影響(β=-0.35，p<0.01)。這就說明信息安全意識對道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)效應(yīng)得到驗證，支持假設(shè)H3。為了更加直觀地理解信息安全意識在道德推脫與信息安全違規(guī)意愿之間起到的調(diào)節(jié)作用，本研究對高信息安全意識和低信息安全意識水平下道德推脫對信息安全違規(guī)意愿影響的差異進(jìn)行分析(見圖2)。由此可見，在員工高信息安全意識情況下，道德推脫對員工信息安全違規(guī)意愿的影響較??；在員工低信息安全意識情況下，道德推脫對員工信息安全違規(guī)意愿的影響較大。

圖2 信息安全意識的調(diào)節(jié)作用

對假設(shè)H4a和H4b的檢驗，采用SPSS 22.0軟件的PPROCESS插件BOOTSTRAP程序?qū)Ρ徽{(diào)節(jié)的中介效應(yīng)進(jìn)行檢驗(見表2)。結(jié)果表明，當(dāng)員工信息安全意識水平較高時(+1SD)，否認(rèn)責(zé)任和否認(rèn)傷害通過道德推脫作用于信息安全違規(guī)意愿的間接效應(yīng)均較為顯著(β=-0.15，p<0.01；β=-0.21，p<0.01)；當(dāng)員工信息安全意識水平較低時(-1SD)，否認(rèn)責(zé)任和否認(rèn)傷害通過道德推脫作用于信息安全違規(guī)意愿的間接效應(yīng)均未達(dá)到顯著性水平(β=-0.03，p>0.05；β=-0.07，p>0.05)。這些結(jié)果說明，信息安全意識越高，道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿之間的中介作用越弱，假設(shè)H4a和H4b得到驗證，存在被調(diào)節(jié)的中介效應(yīng)。

表2 被調(diào)節(jié)的中介效應(yīng)分析

5 結(jié)論與討論

5.1 研究結(jié)論

本研究基于中和技術(shù)理論和道德推脫理論探討了員工信息安全違規(guī)意愿的影響機(jī)制。研究結(jié)果表明：(1)否認(rèn)責(zé)任和否認(rèn)傷害均對信息安全違規(guī)意愿有顯著正向影響。(2)道德推脫在否認(rèn)責(zé)任、否認(rèn)傷害與信息安全違規(guī)意愿的關(guān)系中均起中介作用。(3)信息安全意識負(fù)向調(diào)節(jié)道德推脫與信息安全違規(guī)意愿之間的關(guān)系。也就是說，員工信息安全意識的提高可以有效抑制道德推脫與信息安全違規(guī)意愿之間的正向關(guān)系。(4)信息安全意識降低了道德推脫的中介作用，存在被調(diào)節(jié)的中介效應(yīng)。

5.2 理論貢獻(xiàn)與管理啟示

本研究的理論貢獻(xiàn)包括：(1)驗證了道德推脫的中介作用，深化了已有研究對于信息安全違規(guī)意愿的認(rèn)識。在企業(yè)信息安全管理情境下，已有基于中和技術(shù)的員工違規(guī)行為研究，直接分析中和技術(shù)→信息安全違規(guī)的影響過程，沒有將員工內(nèi)在自我道德調(diào)節(jié)系統(tǒng)的失效機(jī)制考慮進(jìn)去。相比較而言，本研究在分析員工信息安全違規(guī)中，考慮了中和技術(shù)→道德推脫→信息安全違規(guī)意愿的影響路徑，更加詳細(xì)地展現(xiàn)了員工信息安全違規(guī)意愿的內(nèi)在影響過程和作用路徑。(2)明確了信息安全意識對道德推脫與信息安全違規(guī)意愿之間的負(fù)向調(diào)節(jié)效應(yīng)。已有研究沒有考慮信息安全意識的作用，因此也就沒有辦法解讀為什么眾多企業(yè)紛紛開展員工的信息安全意識培訓(xùn)。因此，在研究框架中增加對信息安全意識的分析，有助于從理論上深化對員工信息安全違規(guī)行為的理解和認(rèn)識。

上述研究結(jié)論具有重要的管理啟示：(1)企業(yè)加強員工信息安全意識培訓(xùn)的同時，還需要強化員工的職業(yè)道德教育。企業(yè)需要持續(xù)強調(diào)信息安全管理對于企業(yè)生存和發(fā)展的重要性，還需要突出強調(diào)遵守信息安全管理策略是員工職業(yè)道德的重要構(gòu)成。相對應(yīng)，員工才會在自我內(nèi)在道德調(diào)節(jié)系統(tǒng)中深化遵守信息安全管理策略的必要性和重要性，減少信息安全違規(guī)發(fā)生的可能性。(2)員工信息安全意識的培養(yǎng)和強化需要滲透到企業(yè)信息安全管理的方方面面，并且貫穿到員工的日常工作之中。也就是說，企業(yè)需要幫助員工明確和知曉個人在工作中所承擔(dān)的信息安全職責(zé)，這有利于員工去預(yù)判和衡量信息安全違規(guī)所造成的嚴(yán)重后果，進(jìn)而對于阻斷員工違規(guī)行為的中和技術(shù)有重要促進(jìn)作用，這同樣可以有效減少員工信息安全違規(guī)的發(fā)生。

5.3 研究局限與未來展望

本研究仍然存在不足和需要完善之處：(1)為了保證測量量表的信度和效度，對研究模型中變量的測量均采用已有研究中被廣泛使用和多次驗證的題項。未來研究應(yīng)該設(shè)計和開發(fā)更加符合中國企業(yè)信息安全管理情境的研究量表，以使研究結(jié)論更加符合中國企業(yè)信息安全管理的實踐。(2)問卷調(diào)查對象均是國內(nèi)通過信息安全管理體系認(rèn)證企業(yè)的內(nèi)部員工，這就在一定程度上限定了樣本所屬行業(yè)(對信息安全管理要求較高行業(yè)中的企業(yè)，往往注重信息安全管理體系的認(rèn)證)，導(dǎo)致研究樣本覆蓋的行業(yè)不夠廣泛，后續(xù)的研究應(yīng)該擴(kuò)大樣本量，以使研究結(jié)論更加具有代表性。

[1] Posey C, Roberts T L, Lowry P B, et al.. Bridge thedivide: a qualitative comparison security thought patterns between information security professionals and ordinary organizational insiders[J]. Information & Management, 2014, 51(5): 551-567.

[2] Burton-Jones A, McLean E, Monod E. Theoretical perspectives in IS research: from variance and process to conceptual latitude and conceptual fit[J]. European Journal of Information Systems, 2015, 24(6): 664- 679.

[3] Johnston A C, Warkentin M, Siponen M. An enhanced fear appeal rhetorical framework: leveraging threats to the human asset through sanction rhetoric[J]. MIS Quarterly, 2015, 39(1): 113-134.

[4] Lee C, Lee C G, Kim S. Understanding information security stress: focusing on the type of information security compliance activity[J]. Computers & Security, 2016, 59: 60-70.

[5] Cheng L, Li Y, Li W, et al.. Understanding the violation of IS security policy in organizations: an integrated model based on social control and deterrence theory[J]. Computers & Security, 2013, 39(2): 447- 459.

[6] D’Arcy J, Herath T, Shoss M K. Understanding employee response to stressful information security requirement: a coping perspective[J]. Journal of Management Information Systems, 2014, 31(2): 285-318.

[7] Ifinedo P. Understanding information systems security policy compliance: an integration of the theory of planned behavior and the protection motivation theory[J]. Computers & Security, 2012, 31(1): 83-95.

[8] Vance A, Siponen M, Pahnila S. Motivating IS security compliance: insights from habit and protection motivation theory[J]. Information & Management, 2012, 49(3- 4): 190-198.

[9] 甄杰,謝宗曉,李康宏,等.組織內(nèi)部員工的信息安全保護(hù)行為——基于PMT和FA整合視角的多案例研究[J].管理案例研究與評論,2017,10(2):114-130.

[10] Siponen M. Vance A. Neutralization: new insights into the problem of employee information systems security policy violations[J]. MIS Quarterly, 2010, 34(3): 487-502.

[11] Siponen M, Vance A, Willison R. New insights into the problem of software piracy: the effects of neutralization, shame, and moral beliefs[J]. Information & Management, 2012, 49(7- 8): 334-341.

[12] D’Arcy J, Hovav A, Galletta D. User awareness of security countermeasures and its impact on information systems misuse: a deterrence approach[J]. Information Systems Research, 2009, 20(1): 79- 88.

[13] Puhakainen P, Siponen M. Improving employees’ compliance through information systems security training: an action research study[J]. MIS Quarterly, 2010, 34(4): 757-778.

[14] Dinev T, Hu Q. The centrality of awareness in the formation of user behavioral intention toward protective information technologies[J]. Journal of the Association for Information Systems, 2007, 8(7): 386- 408.

[15] 吳娜,李文立,呂欣,等.泄露他人隱私行為意向的影響要素研究[J].科研管理,2015,36(11):139-147.

[16] Bandura A. Selective moral disengagement in the exercise of moral agency[J]. Journal of Moral Education, 2002, 31(2): 101-119.

[17] Bandura A. Moral disengagement in the perpetuation of inhumanities[J]. Personality and Social Psychology Review, 1999, 3(3): 193-209.

[18] 張艷清,王曉暉,王海波.組織情境下的不道德行為現(xiàn)象:來自道德推脫理論的解釋[J].心理科學(xué)進(jìn)展,2016,24(7):1107-1117.

[19] Moore C, Detert J R, Trevino L K, et al.. Why employees do bad things: moral disengagement and unethical organizational behavior[J]. Personnel Psychology, 2012, 65(1): 1- 48.

[20] Hystad S W, Mearns K, Eid J. Moral disengagement as a mechanism between perceptions of organizational injustice and deviant work behaviours[J]. Safety Science, 2014, 68(10): 138-145.

[21] Barsky A. Investigating the effects of moral disengagement and participation on unethical work behavior[J]. Journal of Business Ethics, 2011, 104(1): 59-75.

[22] Crossler R E, Johnston A C, Lowry P B, et al.. Future directions for behavioral information security research[J]. Computers & Security, 2013, 32(1): 90-101.

[23] 武德昆,官海濱,王興起,等.高管支持對信息安全管理有效性的影響研究:信息安全意識的中介效應(yīng)[J].中國海洋大學(xué)學(xué)報(社會科學(xué)版),2014,(2):44-50.

[24] Spears J L, Barki H. User participation in IS security management[J]. MIS Quarterly, 2010, 34(3): 503-522.

[25] 謝宗曉,林潤輝,王興起.用戶參與對信息安全管理有效性的影響——多重中介方法[J].管理科學(xué),2013,26(3):65-76.

[26] Detert J R, Trevino L K, Sweitzer V L. Moral disengagement in ethical decision making: a study of antecedents and outcomes[J]. Journal of Applied Psychology, 2008, 93(2): 374-391.