本文關(guān)鍵詞： 信息系統(tǒng) 信息安全 信息安全遵從行為 正式控制機(jī)制 激勵(lì)機(jī)制 評(píng)估機(jī)制　出處：《大連理工大學(xué)》2016年博士論文　論文類型：學(xué)位論文

【摘要】：信息安全遵從行為是指組織內(nèi)部雇員在執(zhí)行信息安全制度過程中的具體遵守行動(dòng)。近年來的相關(guān)調(diào)查研究表明,組織內(nèi)部雇員的不遵從信息安全制度的行為導(dǎo)致了非常多的信息安全事件,甚至僅僅一個(gè)雇員的不遵從行為就足以給其組織的資產(chǎn)、聲譽(yù)與競(jìng)爭(zhēng)力等造成災(zāi)難性的危害。目前,關(guān)于信息安全遵從行為的研究大多采用實(shí)證方法,主要論證邏輯前置因素對(duì)此類行為意圖的影響。本研究主要采用基于博弈論等理論建立模型以及數(shù)值模擬的方法來研究信息安全遵從行為的正式控制機(jī)制,即信息安全遵從行為的激勵(lì)機(jī)制和評(píng)估機(jī)制,以期深入理解并科學(xué)管理信息安全遵從行為。主要研究結(jié)果歸納如下：假設(shè)可以低成本地觀測(cè)到信息安全遵從行為的產(chǎn)出結(jié)果,我們得到了如下三種激勵(lì)機(jī)制：1)基于存在道德風(fēng)險(xiǎn)的委托人——代理人理論構(gòu)建了信息安全遵從博弈模型,重點(diǎn)分析論證了懲罰的確定性與適度性對(duì)雇員個(gè)體的信息安全遵從行為的激勵(lì)作用。研究結(jié)果表明：作為委托人的組織(或雇主)可以設(shè)計(jì)出最優(yōu)的信息安全遵從激勵(lì)契約,該契約中所蘊(yùn)含的懲罰確定性與適度性能夠促使作為代理人的雇員去選擇組織所期望的信息安全遵從努力水平,同時(shí)組織也將獲得最優(yōu)的信息安全遵從收益。2)設(shè)計(jì)了一份同時(shí)包含心理收入與貨幣獎(jiǎng)勵(lì)的最優(yōu)契約,用以激勵(lì)雇員個(gè)體選擇雇主所期望的信息安全遵從努力水平。研究結(jié)果表明：如果給予雇員個(gè)體的心理收入越高,那么雇主付給該雇員的貨幣獎(jiǎng)勵(lì)數(shù)額可以越小；當(dāng)支付給雇員個(gè)體的貨幣獎(jiǎng)勵(lì)數(shù)額為某一確定值時(shí),心理收入對(duì)該雇員的信息安全遵從努力水平具有正向的影響作用；如果給予雇員個(gè)體的心理收入越大,那么該雇員的信息安全遵從努力水平就越高；在外部條件有利的情況下,應(yīng)該減少支付給雇員個(gè)體的貨幣獎(jiǎng)勵(lì)與心理收入,而在外部條件不利時(shí)應(yīng)該增加支付給此雇員的貨幣獎(jiǎng)勵(lì)與心理收入。3)在同期內(nèi)承擔(dān)著信息安全遵從和本職工作兩項(xiàng)任務(wù)的雇員個(gè)體可能會(huì)表現(xiàn)出信息安全不遵從行為。我們將表示雇員個(gè)體對(duì)任務(wù)執(zhí)行細(xì)節(jié)的調(diào)度排程的重視程度的時(shí)間觀變量引入多任務(wù)委托人——代理人模型,設(shè)計(jì)了最優(yōu)關(guān)聯(lián)激勵(lì)契約,論證了這種時(shí)間觀變量對(duì)最優(yōu)激勵(lì)強(qiáng)度以及最優(yōu)激勵(lì)策略的關(guān)聯(lián)影響,并采用算例驗(yàn)證了激勵(lì)強(qiáng)度系數(shù)與時(shí)間觀變量之間的關(guān)聯(lián)關(guān)系。該最優(yōu)激勵(lì)契約模型可幫助信息安全管理者來選擇最優(yōu)的激勵(lì)強(qiáng)度以及激勵(lì)策略,以促使雇員既努力去完成其本職工作,又愿意選擇雇主所期望的信息安全遵從努力水平。假設(shè)可以低成本地觀測(cè)到信息安全遵從行為的小樣本數(shù)據(jù),我們得到如下三種評(píng)估機(jī)制：1)構(gòu)建了信息安全遵從伽羅瓦格圖,實(shí)現(xiàn)了遵從模式的可視化表示,從格圖中提取了六類信息安全遵從模式,并將這些遵從模式與利用社會(huì)網(wǎng)絡(luò)分析方法所得到的結(jié)構(gòu)特征進(jìn)行了比較分析。研究結(jié)果表明,該格圖能夠?qū)崿F(xiàn)對(duì)信息安全遵從模式的結(jié)構(gòu)化表征,可被用于評(píng)估雇員群體與個(gè)體的信息安全遵從行為。2)將信息安全遵從非勝任力看作一個(gè)灰色系統(tǒng),構(gòu)建了信息安全遵從非勝任力的灰色模型,設(shè)置了十四個(gè)灰評(píng)估指標(biāo),并給出了相應(yīng)的灰色評(píng)估方法。結(jié)合使用了信息安全遵從非勝任力灰色模型與層次分析方法來計(jì)算各個(gè)灰評(píng)估指標(biāo)的權(quán)重值,并給出了灰分辨系數(shù)的賦值方法。計(jì)算結(jié)果表明了所提出的評(píng)估機(jī)制以及評(píng)估方法是合理的,也是有效的。3)為了量化評(píng)估雇員群體的信息安全遵從行為的整體態(tài)勢(shì),首先構(gòu)建了信息安全遵從行為熵模型,但發(fā)現(xiàn)該模型不能區(qū)分某些序數(shù)型數(shù)據(jù)分布所對(duì)應(yīng)的遵從整體態(tài)勢(shì)。而采用灰熵均衡接近度計(jì)算方法對(duì)遵從整體態(tài)勢(shì)進(jìn)行量化存在同樣的困難。因此,我們改進(jìn)了熵模型和灰熵均衡接近度方法,計(jì)算了各小樣本數(shù)據(jù)所對(duì)應(yīng)的遵從均衡接近度和遵從行為離散熵,并分析驗(yàn)證了所提出的評(píng)估機(jī)制以及評(píng)估方法的合理性、有效性。本文所提出的信息安全遵從行為的正式控制機(jī)制,以及所獲得的定性與定量結(jié)果可為信息安全管理者所采納使用,以期實(shí)現(xiàn)對(duì)組織內(nèi)部雇員的信息安全遵從行為的科學(xué)管理。
[Abstract]:The results of this study are as follows : ( 1 ) The higher the psychological income of the employees , the higher the incentive mechanism and the evaluation mechanism of the employee ' s information security compliance . In order to quantify the overall situation of the information security compliance of the employee group , the paper constructs an information security compliance behavior entropy model , but finds that the proposed evaluation mechanism and the evaluation method are reasonable and effective .

【學(xué)位授予單位】：大連理工大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：F224.32;F272.92;TP309
，

本文編號(hào)：1469692