学生论文
|
论文查询结果 |
返回搜索 |
|
|
|
| 论文编号: | 8509 | |
| 作者编号: | 1120120762 | |
| 上传时间: | 2016/6/14 16:49:14 | |
| 中文题目: | 信息安全合法化过程与机制研究——新制度理论视角 | |
| 英文题目: | Process and Mechanism of Information Security Legitimation: A Neo-institutional Theory Perspective | |
| 指导老师: | 林润辉 | |
| 中文关键字: | 信息安全;新制度理论;合法化;制度化; | |
| 英文关键字: | Information security; Neo-institutional theory; Legitimation; Institutionalization; | |
| 中文摘要: | 信息安全得到了前所未有的重视。随着“中央网络安全和信息化领导小组”的成立,对网络安全和信息安全的认识也上升到了“国家安全”的层次。在组织研究领域,企业如何应对信息安全风险也成为近几年的研究热点。本文从信息安全合法化及制度化的角度去探讨这个问题。首先,在新制度理论的基础上,通过对已有相关文献的梳理,提出了信息安全合法化3I(Identification,Implementation,Internalization)模型,并确定以GB/T 22080-2008 / ISO/IEC 27001:2005为研究背景。随后,围绕3I模型,分别探讨了是否(IF)、为何(WHY)以及如何(HOW)进行信息安全合法化三个主要问题。 研究问题一以已经获取GB/T 22080-2008 / ISO/IEC 27001:2005认证的中国企业为研究对象,利用2种问卷和档案数据,运用PLS-SEM方法,探讨了制度压力(包括强制压力、模仿压力和规范压力)对信息安全合法化过程(主要是履行和内化)的影响,以及信息安全合法化与组织绩效(包括竞争优势、经济效益和运维效率)之间的关系。结果表明,强制压力、模仿压力和规范压力对履行存在不同程度的显著正向影响,但只有强制压力对内化影响显著。同时发现,履行过程对竞争优势和经济效益存在显著正向影响,内化过程对运维效率存在显著正向影响。研究问题一验证了信息安全情境中新制度理论的适用性并将作用链延伸至组织绩效层次,为组织是否(IF)进行信息安全合法化的决策提供了实证依据。 研究问题二探讨企业为何进行信息安全合法化。通过对国内10家采纳GB/T 22080-2008 / ISO/IEC 27001:2005的案例组织的深度接触,利用扎根理论等规范性方法,识别出样本组织部署信息安全最佳实践的动机主要为两大类:追求合法性(满足外部制度压力)和追求绩效(满足内部安全需求)。进而按照以上动机将采纳划分为四种模式,依次命名为:战略性采纳(高,高)、合规性采纳(高,低)、仪式性采纳(低,低)和技术性采纳(低,高)。此外,部署动机的开放式调查还扩展了研究问题一中制度压力的三个维度。研究结果表明,满足外部制度压力,典型的动机包括:1)应对政府监管的一种途径;2)组织整体安全战略的一部分;3)作为敲门砖的资质证明;4)兄弟单位部署带来的压力;以及5)照葫芦画瓢的对标管理。满足内部安全需求,典型的动机则包括:1)积极的规范化/制度化/标准化;2)消极的规范化/制度化/标准化;3)争取部门权力或合法性;以及4)控制潜在的信息安全风险。研究问题二通过案例研究归纳了组织通过采纳信息安全最佳实践获取合法性的影响因素及模式分类,解释了组织为何(WHY)进行信息安全合法化及其选择最佳实践的行为模式。 研究问题三探讨信息安全合法化3I模型的具体部署,以及该过程中信息安全与业务流程的结合。由于研究问题的高度实践性,因此选用了时长为1年的一个周期(2014年12月至2015年12月)的行动研究。研究问题三中不但根据FDCC/SCAP的思想,设计了控制措施索引目录(Control,Index List,CIL)合规性方法,也探索出了校准(align)、整合(integrate)和嵌入(embed)三种面向信息安全的流程优化/再造的途径。研究问题三验证了3I模型的实践价值,同时为信息安全控制与组织业务流程结合提供了可行的路径,用以指导组织如何(HOW)进行信息安全合法化。 本文在框架设计与研究方法方面亦有创新。在框架方面,由于信息安全的强监管环境以及高合法性需求,为从新制度理论视角观察组织行为提供了更契合的样本,3I模型虽然是在信息安全情境中的研究发现,但是高度概念化的过程在其他领域也具有普适性。在方法方面,首次将行动研究引入了国内的信息安全研究情境,并改进了行动研究中的过程咨询方法,将完全以研究者视角的7个步骤与PDCA(Plan-Do-Check-Act)模型进行了深度融合,从研究者与当事人的“共同学习”的角度,提出了诊断(Diagnosis)、设计(Design)、实施(Do)和交付(Delivery)的4个过程为主体的“改进的4D过程咨询”。 | |
| 英文摘要: | Information security has received unprecedented attention. In the field of organizational analysis, how to react to regulatory requirements (that is, to meet internal and external compliance) has become a hotspot in recent years. Based on neo-institutional theory and information security literature, information security legitimation 3I model (Identification, Implementation and Internalization) is proposed, and GB/T 22080-2008/ISO/IEC 27001:2005 as the background, through quantitative empirical research, case studies and action research have separately discussed whether, why, and how to legitimation in information security context. The main conclusions are as follows: First, coercive pressure (CP), mimetic pressure (MP) and normative pressure (NP) have significant positive effects on implementation, but only CP has significant positive effects on internalization. Meanwhile, implementation positively impact economic benefit and competitive advantage, and internalization positively impact operational efficiency. Main influence factors on information security legitimation are external institutional pressures and internal security needs, according to which, legitimation adoption modes are named for strategic adoption, compliance adoption, ceremonial adoption and technical adoption. Third, combining information security and business process are the effective way to promote information security legitimation. Main contributions and innovations are as follows: To begin with,this study is the first to verify the applicability of the theory of neo-institutional theory in the context of information security, and extends the effect chain to organizational performance, which provided the theoretical basis for decision-making at the governance level.Second, it explained why organizations carry out information security legitimation process and the behavior patterns of selecting best practices, which provided decision support for selecting information security management path at the management level. Third, it explored the implementation of compliance methods based on control index List (CIL) by 3I in specific organizations, as well as alignment, integration and embeddedness of information security combined with business process approach. In addition, this paper also innovations in frame design and research methods. In the framework, highly conceptual information security legitimation 3I also has applicability in other areas. In terms of methods, introduction of third-party certification organization for the first time to measure information security legitimation and use the improved 4D (Diagnosis, Design, Do, and Deliver) process of consultation. | |
| 查看全文: | 预览 下载(下载需要进行登录) |