劉崇瑞 王 聰

1. 北京電子科技學(xué)院，北京市 100070 2. 防災(zāi)科技學(xué)院，三河市 065201

1 研究背景

《中共中央關(guān)于堅(jiān)持和完善中國(guó)特色社會(huì)主義制度，推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化若干重大問(wèn)題的決定》強(qiáng)調(diào)，要推進(jìn)數(shù)字政府建設(shè)。 “數(shù)字政府”為我國(guó)政府利用數(shù)字技術(shù)提供便捷、高效的公共服務(wù)提供了巨大便利。 然而，信息技術(shù)在提供便捷、高效政務(wù)服務(wù)的同時(shí)，所導(dǎo)致的信息安全問(wèn)題也日益凸顯。 據(jù)中國(guó)互聯(lián)網(wǎng)信息中心《第44 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，2019 年上半年，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測(cè)，發(fā)現(xiàn)被篡改的政府網(wǎng)站有222 個(gè)[1]。 可見(jiàn)，在深入推動(dòng)數(shù)字政府建設(shè)的進(jìn)程中，我國(guó)政府的信息安全保障工作亦日益重要。 隨著我國(guó)信息安全機(jī)制的建立健全，外部威脅的攻擊門檻不斷提高，而內(nèi)部威脅正逐漸增多。 據(jù)威瑞森于2019 年發(fā)布的一份報(bào)告顯示，20%的網(wǎng)絡(luò)安全事件和15%的數(shù)據(jù)泄露事件由內(nèi)部人員引發(fā)[2]。 作為保障和維護(hù)政府運(yùn)轉(zhuǎn)的主體，公務(wù)員負(fù)責(zé)承辦關(guān)系國(guó)家安全和國(guó)家利益的政務(wù)工作，其在日常工作中的信息安全行為對(duì)于維護(hù)政府信息安全、推進(jìn)數(shù)字政府建設(shè)乃至提升政府治理能力的現(xiàn)代化水平具有重要影響。

目前，國(guó)外有關(guān)信息安全行為的研究相對(duì)成熟，已有研究集中于信息安全行為的概念、維度及影響因素。 如，在信息安全行為的概念與維度方面，Guo(2013)指出信息安全行為包括安全保障行為、安全遵循行為、安全風(fēng)險(xiǎn)承擔(dān)行為和安全損害行為[3]；在信息安全行為的影響因素方面，Guhr，Lebek 和Breitner (2019)以全球不同地區(qū)的322 名專業(yè)人員為樣本，通過(guò)實(shí)證研究發(fā)現(xiàn)領(lǐng)導(dǎo)風(fēng)格對(duì)下屬的信息安全行為具有重要影響[4]。 相對(duì)而言，國(guó)內(nèi)學(xué)者對(duì)信息安全行為的探究處于起步階段，相關(guān)研究主要集中于信息安全行為的影響因素[5，6]。 然而，以公務(wù)員為研究對(duì)象的信息安全行為研究匱乏，現(xiàn)有文獻(xiàn)中較典型的研究為，霍明奎、竺佳琪和譚景平(2019)采用扎根理論歸納了我國(guó)公務(wù)員信息安全行為的四類影響因素[7]。

綜上可見(jiàn)，加快推進(jìn)“數(shù)字政府”建設(shè)的背景下引導(dǎo)公務(wù)員信息安全行為具有迫切的現(xiàn)實(shí)需求與實(shí)踐意義。 與此同時(shí)，如何科學(xué)測(cè)量我國(guó)公務(wù)員信息安全行為的當(dāng)前狀況，從而精準(zhǔn)施策以進(jìn)一步引導(dǎo)我國(guó)公務(wù)員信息安全行為，這一問(wèn)題值得引起學(xué)術(shù)界的關(guān)注。 有鑒于此，本文采用成熟量表對(duì)我國(guó)公務(wù)員信息安全行為現(xiàn)狀開(kāi)展問(wèn)卷調(diào)研，通過(guò)深入分析當(dāng)前我國(guó)公務(wù)員信息安全行為現(xiàn)實(shí)狀況，提出進(jìn)一步引導(dǎo)公務(wù)員信息安全行為的對(duì)策。

2 研究方法

2.1 測(cè)量工具

本次調(diào)研從網(wǎng)絡(luò)安全行為與信息安全政策遵從行為兩個(gè)角度探究我國(guó)公務(wù)員信息安全行為現(xiàn)狀。 其中，網(wǎng)絡(luò)安全行為側(cè)重調(diào)研公務(wù)員在日常工作中使用網(wǎng)絡(luò)時(shí)主動(dòng)防范惡意網(wǎng)絡(luò)攻擊的行為；信息安全政策遵從行為側(cè)重調(diào)研公務(wù)員在日常工作中遵從相關(guān)信息安全政策的行為。

本文采用的測(cè)量量表來(lái)自于國(guó)外主流期刊已發(fā)表的文獻(xiàn)，為保證中英文版本的一致性，作者嚴(yán)格遵循標(biāo)準(zhǔn)的雙方翻譯程序，即先將英文量表翻譯成中文，然后請(qǐng)兩名英語(yǔ)專業(yè)人士使用逆向翻譯的方法將其翻譯成英文，最后請(qǐng)一位英語(yǔ)專業(yè)教師共同比較回譯后的問(wèn)卷和原問(wèn)卷間的差異，直到達(dá)成一致。 其中，網(wǎng)絡(luò)安全行為采用Li 等(2019)開(kāi)發(fā)的量表，該量表包括“我在電腦上安裝了最新的殺毒軟件”“我小心留意電腦的異常情況(如，計(jì)算機(jī)變慢或凍結(jié)，彈出窗口等)”“當(dāng)我收到惡意軟件警報(bào)，我總會(huì)采取行動(dòng)”3 個(gè)題項(xiàng)[8]。 信息安全政策遵從行為采用D’Arcy 和Teh(2019)開(kāi)發(fā)的量表，該量表包括“在工作中，我嚴(yán)格遵守信息安全政策的要求?！薄霸诠ぷ髦校腋鶕?jù)信息安全政策的要求保護(hù)信息?！薄霸诠ぷ髦?，當(dāng)我使用信息和技術(shù)時(shí)，我嚴(yán)格履行信息安全政策規(guī)定的職責(zé)?！薄霸诠ぷ髦?，我堅(jiān)持遵守單位的信息安全政策?！? 個(gè)題項(xiàng)[9]。在本研究中，網(wǎng)絡(luò)安全行為量表的Cronbach α系數(shù)為0.98，信息安全政策遵從行為量表的Cronbach α 系數(shù)為0.95，說(shuō)明量表具有較好的信度。

所有測(cè)量題項(xiàng)采用Likert 5 點(diǎn)評(píng)分法，量表范圍從“完全不同意”到“完全同意”，其中1 表示“完全不同意”，5 表示“完全同意”。

2.2 問(wèn)卷收集

為確保調(diào)查樣本的代表性，課題團(tuán)隊(duì)采用分層抽樣法，選取北京市、福建省、河北省、山東省等多地公務(wù)員進(jìn)行調(diào)研，通過(guò)問(wèn)卷星網(wǎng)站創(chuàng)建問(wèn)卷，并基于不同調(diào)研區(qū)域生成不同的問(wèn)卷鏈接，一方面通過(guò)微信交流群、問(wèn)卷星隨機(jī)紅包等方式向公務(wù)員發(fā)放問(wèn)卷，另一方面通過(guò)“滾雪球”的方式發(fā)放問(wèn)卷，利用課題團(tuán)隊(duì)的社會(huì)資源挑選不同地區(qū)的公務(wù)員填寫(xiě)問(wèn)卷，并讓其幫忙在其所在單位和地區(qū)繼續(xù)發(fā)放問(wèn)卷，以獲取更多、更具有代表性的樣本。 在收集問(wèn)卷的過(guò)程中，課題團(tuán)隊(duì)強(qiáng)調(diào)了本次調(diào)研的學(xué)術(shù)研究目的和匿名填寫(xiě)，以確保調(diào)研對(duì)象如實(shí)填寫(xiě)問(wèn)卷，最終回收有效問(wèn)卷525 份。

2.3 樣本描述

調(diào)查樣本的基本信息情況如表1 所示。 可見(jiàn)，有效樣本中，男性占49.5%，女性占50.5%；從年齡看，31－40 歲的公務(wù)員占比超過(guò)三分之一(33.5%)，40 歲以下的公務(wù)員占比超過(guò)60%，這在一定程度上說(shuō)明我國(guó)公務(wù)員年齡結(jié)構(gòu)總體年輕化；從受教育程度看，50%以上公務(wù)員達(dá)到大學(xué)及以上的學(xué)歷水平；從任職時(shí)間看，50%以上的公務(wù)員在本單位的任職時(shí)間超過(guò)5 年，可以推斷對(duì)單位的相關(guān)信息安全政策相對(duì)熟悉；從職務(wù)級(jí)別看，80%以上的公務(wù)員是科級(jí)干部。 可見(jiàn)，調(diào)查樣本的結(jié)構(gòu)分布具有一定的均衡性與代表性，可以保證數(shù)據(jù)分析的科學(xué)性與有效性。

表1 調(diào)查樣本基本信息統(tǒng)計(jì)

3 公務(wù)員信息安全行為的現(xiàn)狀分析

3.1 公務(wù)員信息安全行為的總體分析

本文從網(wǎng)絡(luò)安全行為與信息安全政策遵從行為兩個(gè)角度探究了當(dāng)前我國(guó)公務(wù)員信息安全行為現(xiàn)狀。 調(diào)研結(jié)果顯示，我國(guó)公務(wù)員網(wǎng)絡(luò)安全行為的均值為3.12(標(biāo)準(zhǔn)差為1.33)，信息安全政策遵從行為的均值為3.29(標(biāo)準(zhǔn)差為1.42)。結(jié)果表明，整體而言我國(guó)公務(wù)員的信息安全行為處于中等水平。

由圖1 可見(jiàn)，在網(wǎng)絡(luò)安全行為方面，平均水平在區(qū)間[1.00－2.00)的公務(wù)員占35.81%，在區(qū)間[2.00－3.00)的公務(wù)員占8.57%，網(wǎng)絡(luò)安全行為水平在區(qū)間[3.00－5.00] 的公務(wù)員占55.62%，可見(jiàn)超過(guò)40%的公務(wù)員在日常工作中整體的網(wǎng)絡(luò)安全行為較差。

由圖2 可見(jiàn)，在信息安全政策遵從行為方面，平均水平在區(qū)間[1.00－2.00)的公務(wù)員占35.81%，在 區(qū) 間[2.00－3.00) 的 公 務(wù) 員 占4.95%，信息安全政策遵從行為水平處于區(qū)間[3.00－5.00]的公務(wù)員占59.24%。 可見(jiàn)公務(wù)員的信息安全政策遵從行為水平高于與其網(wǎng)絡(luò)安全行為。

3.2 公務(wù)員信息安全行為的差異性分析

3.2.1 公務(wù)員信息安全行為的性別差異分析

本文運(yùn)用T 檢驗(yàn)來(lái)分析公務(wù)員信息安全行為的性別差異，檢驗(yàn)結(jié)果見(jiàn)表2。 可見(jiàn)，男性公務(wù)員與女性公務(wù)員的信息安全政策遵從行為水平均高于其網(wǎng)絡(luò)安全行為水平。 其中，男性公務(wù)員的網(wǎng)絡(luò)安全行為水平略高于女性公務(wù)員，女性公務(wù)員的信息安全政策遵從行為水平略高于男性公務(wù)員，但以上差異均不顯著。

表2 信息安全行為的性別差異

3.2.2 公務(wù)員信息安全行為的年齡差異分析

本文運(yùn)用單因素方差分析來(lái)檢驗(yàn)公務(wù)員信息安全行為的年齡差異。 差異結(jié)果見(jiàn)表3，不同年齡段的公務(wù)員群體在網(wǎng)絡(luò)安全行為(F ＝15.43，p ＝0.01)與信息安全政策遵從行為(F ＝16.26，p ＝0.01)方面存在顯著差異。

由表3 可知，50 歲以下公務(wù)員群體的網(wǎng)絡(luò)安全行為與信息安全政策遵從行為要顯著高于50 歲以上公務(wù)員群體，這與公務(wù)員在日常工作中接觸的網(wǎng)絡(luò)資源有關(guān)。 相較于50 歲及以上的公務(wù)員，50 歲以下的公務(wù)員接觸網(wǎng)絡(luò)資源的頻次與時(shí)間較多，因此在一定程度上具有較強(qiáng)的信息安全意識(shí)與信息安全行為。

表3 不同年齡段的信息安全行為

3.2.3 公務(wù)員信息安全行為的受教育程度差異分析

本文運(yùn)用單因素方差分析來(lái)檢驗(yàn)公務(wù)員信息安全行為在受教育程度方面的差異。 檢驗(yàn)結(jié)果見(jiàn)表4，不同學(xué)歷的公務(wù)員群體在網(wǎng)絡(luò)安全行為(F ＝15.20，p ＝0.01)與信息安全政策遵從行為(F＝15.63，p ＝0.01)方面存在顯著差異。

由表4 可知，本科學(xué)歷公務(wù)員的網(wǎng)絡(luò)安全行為與信息安全政策遵從行為要顯著地高于其它學(xué)歷公務(wù)員。 而研究生學(xué)歷公務(wù)員的網(wǎng)絡(luò)安全行為與信息安全政策遵從行為均較低，該結(jié)果在一定程度上可能源于樣本中研究生學(xué)歷的公務(wù)員占比較小，從而導(dǎo)致代表性不足。

表4 不同學(xué)歷公務(wù)員的信息安全行為

3.2.4 公務(wù)員信息安全行為的任職時(shí)間差異分析

本文運(yùn)用單因素方差分析來(lái)檢驗(yàn)公務(wù)員信息安全行為在任職時(shí)間方面的差異。 檢驗(yàn)結(jié)果見(jiàn)表5，不同任職時(shí)間的公務(wù)員群體在網(wǎng)絡(luò)安全行為(F＝3.27，p ＝0.05)與信息安全政策遵從行為(F＝5.10，p ＝0.01)方面存在顯著差異，其中，調(diào)研樣本在信息安全政策遵從行為方面的差異顯著高于網(wǎng)絡(luò)安全行為方面的差異。 其中，任職時(shí)間為1－10 年的公務(wù)員群體的信息安全政策遵從行為與網(wǎng)絡(luò)安全行為整體較高，而任職時(shí)間11－15 年的公務(wù)員群體則相對(duì)較低。

表5 不同任職時(shí)間公務(wù)員的信息安全行為

3.2.5 公務(wù)員信息安全行為的職務(wù)差異分析

本文運(yùn)用單因素方差分析來(lái)檢驗(yàn)公務(wù)員信息安全行為在職務(wù)級(jí)別方面的差異。 檢驗(yàn)結(jié)果見(jiàn)表6，不同職務(wù)級(jí)別的公務(wù)員在網(wǎng)絡(luò)安全行為(F ＝46.04，p ＝0.01)與信息安全政策遵從行為(F＝48.69，p ＝0.01)方面存在顯著差異。

不同職務(wù)級(jí)別的網(wǎng)絡(luò)安全行為與信息安全政策遵從行為存在顯著差異，且隨著職務(wù)級(jí)別的升高，網(wǎng)絡(luò)安全行為與信息安全政策遵從行為顯著降低，該結(jié)果在一定程度上可能源于本次調(diào)研的樣本結(jié)構(gòu)，調(diào)研樣本中科員、科級(jí)干部占比超過(guò)80%，而副處級(jí)干部、處級(jí)干部及以上職務(wù)的公務(wù)員群體占比過(guò)低(17.9%)，樣本量較小可能導(dǎo)致其代表性不足。

表6 不同職務(wù)級(jí)別公務(wù)員的信息安全行為

4 引導(dǎo)公務(wù)員信息安全行為的對(duì)策

4.1 加大培訓(xùn)力度，提高公務(wù)員信息安全技能

物聯(lián)網(wǎng)與大數(shù)據(jù)技術(shù)日益普及的大背景下，信息安全技能日益成為公務(wù)員的必備技能，較強(qiáng)的信息安全技能可以提升公務(wù)員識(shí)別、分析及應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力，從而在處理、保存涉及國(guó)家安全的機(jī)密信息時(shí)能夠做好保密工作，為維護(hù)國(guó)家安全與國(guó)家利益保駕護(hù)航。 因此，可通過(guò)完善的培訓(xùn)體系、多元的培訓(xùn)途徑、豐富的培訓(xùn)內(nèi)容提高公務(wù)員的信息安全技能，以更有效維護(hù)政府信息安全。

完善的培訓(xùn)體系是科學(xué)化、結(jié)構(gòu)化和系統(tǒng)化開(kāi)展公務(wù)員信息安全培訓(xùn)的基礎(chǔ)保證。 分析培訓(xùn)需求、制定培訓(xùn)計(jì)劃、開(kāi)展實(shí)施培訓(xùn)、評(píng)估培訓(xùn)效果是確保培訓(xùn)體系完整性與系統(tǒng)性的流程。因此，可通過(guò)問(wèn)卷調(diào)研、在線調(diào)查、訪談等多種途徑廣泛調(diào)研公務(wù)員在信息安全方面的培訓(xùn)需求；進(jìn)一步地，可通過(guò)德?tīng)柗茣?huì)議法、主題專家會(huì)議法等方式科學(xué)、系統(tǒng)制定詳細(xì)的培訓(xùn)計(jì)劃，定期組織公務(wù)員進(jìn)行培訓(xùn)；最后，從行為、意識(shí)、態(tài)度、技能等多個(gè)角度科學(xué)評(píng)估培訓(xùn)效果，從而不斷完善公務(wù)員的信息安全技能培訓(xùn)體系。 如，在分析培訓(xùn)需求方面，可通過(guò)分門別類調(diào)研不同公務(wù)員群體在日常工作中的實(shí)際需求開(kāi)展各有側(cè)重的個(gè)性化培訓(xùn)。 此外，多元化的培訓(xùn)途徑可激發(fā)公務(wù)員的培訓(xùn)熱情乃至提高培訓(xùn)效果，可通過(guò)定期組織外部專家授課、案例討論、情境模擬等途徑構(gòu)建多種培訓(xùn)形式，實(shí)現(xiàn)多種培訓(xùn)方式優(yōu)勢(shì)互補(bǔ)。 同時(shí)，豐富生動(dòng)的培訓(xùn)內(nèi)容有助于公務(wù)員信息安全知識(shí)與技能內(nèi)化于心、外化于行，可通過(guò)教材、真實(shí)案例、宣傳教育片、小程序等立體化、多維度展現(xiàn)培訓(xùn)內(nèi)容，以提升公務(wù)員參與培訓(xùn)的積極性與投入度。

4.2 拓展宣傳廣度，強(qiáng)化公務(wù)員信息安全意識(shí)

本文研究發(fā)現(xiàn)，公務(wù)員的網(wǎng)絡(luò)安全行為與信息安全政策遵從行為相對(duì)較低。 為提高公務(wù)員的網(wǎng)絡(luò)安全行為并嚴(yán)格遵守信息安全相關(guān)制度與規(guī)范，強(qiáng)化公務(wù)員的信息安全意識(shí)迫在眉睫。較強(qiáng)的信息安全意識(shí)能夠使公務(wù)員在頭腦中建立信息化工作的安全觀念，從而在信息化工作中對(duì)于信息本身或信息媒介形成一種警覺(jué)的心理狀態(tài)。 因此，可通過(guò)多樣化的宣傳活動(dòng)，如舉辦一年一度的宣傳周或宣傳日活動(dòng)、開(kāi)展主題競(jìng)賽等，多方面加強(qiáng)公務(wù)員對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如黑客攻擊、計(jì)算機(jī)病毒及其危害性的認(rèn)識(shí)，以提升公務(wù)員的信息安全意識(shí)。

此外，可采用全員科普與重點(diǎn)崗位重點(diǎn)宣傳教育相結(jié)合的方式，兼顧信息安全宣傳教育的廣度與針對(duì)性。 隨著信息化技術(shù)在政務(wù)工作中日益普及，公務(wù)員的信息安全素養(yǎng)正逐漸成為公務(wù)員基本素養(yǎng)的構(gòu)成要素。 因此，開(kāi)展全員化的宣傳教育以提升整個(gè)公務(wù)員隊(duì)伍的信息安全意識(shí)具有現(xiàn)實(shí)緊迫性。 同時(shí)，為確保信息安全宣傳教育的效果，要根據(jù)不同崗位的特點(diǎn)開(kāi)展差異化的宣傳教育，如針對(duì)涉密崗位要開(kāi)展更深入的宣傳教育，以提升涉密崗位公務(wù)員的信息安全意識(shí)乃至信息安全技能。

4.3 強(qiáng)化制度管理，完善網(wǎng)絡(luò)信息安全制度

制度管理通過(guò)規(guī)范化與科學(xué)化的制度條例對(duì)人員的道德規(guī)范、行為準(zhǔn)則進(jìn)行監(jiān)督，從而提高組織的管理水平與管理效率。 為規(guī)范公務(wù)員的信息安全行為，可建立健全公務(wù)員信息安全行為的監(jiān)管制度。 不斷完善各地政府在日常運(yùn)行中的信息安全風(fēng)險(xiǎn)管理制度、信息技術(shù)安全預(yù)警管理制度、數(shù)據(jù)分類管理制度、數(shù)據(jù)強(qiáng)制備份管理制度等，通過(guò)各類制度約束加強(qiáng)公務(wù)員的制度管理意識(shí)，讓制度規(guī)定深入人心，從而固化為行為習(xí)慣。

同時(shí)，為積極引導(dǎo)公務(wù)員的信息安全行為，可進(jìn)一步完善公務(wù)員信息安全行為的評(píng)價(jià)及獎(jiǎng)懲制度。 隨著電子政務(wù)的應(yīng)用日益廣泛與信息技術(shù)的滲透日益深入，公務(wù)員的信息安全行為及能力等要素逐漸成為決定公務(wù)員工作績(jī)效的重要指標(biāo)。 因此，可通過(guò)建立與績(jī)效掛鉤的信息安全行為評(píng)價(jià)及獎(jiǎng)懲制度，將公務(wù)員的信息安全相關(guān)指標(biāo)納入其績(jī)效評(píng)估指標(biāo)體系，并將其作為公務(wù)員職位晉升的重要依據(jù)。 如，針對(duì)政府內(nèi)部的特殊崗位與敏感崗位，建立信息安全“一票否決制”的績(jī)效考核制度，從而確保該類崗位的公務(wù)員在信息安全方面“始終繃緊一根弦”。