信息安全壓力與員工違規意愿：被調節的中介效應

甄 杰，謝宗曉，董坤祥

1 重慶工商大學 商務策劃學院，重慶 400067

2 中國金融認證中心 信息安全服務部，北京 100054

3 山東財經大學 管理科學與工程學院，濟南 250014

引言

隨著計算機網絡和信息技術的快速發展，企業的正常運轉和市場競爭力的提升愈發依賴于信息技術和信息系統的支持，信息已然成為企業的關鍵資產和重要資源。然而，頻發的信息安全事件卻時常將企業置于各種風險和威脅之中，信息安全也日漸成為企業高度關注的管理問題[1]。企業的信息安全風險由外部威脅(如黑客入侵、網絡間諜活動)和內部威脅構成。其中，70%～80%的信息安全風險是由員工有意或無意的違規行為引發的[2]。因此，員工的信息安全違規行為已經超越外部威脅成為企業信息安全管理中需要重點解決的問題[3]。

事實上，員工的信息安全違規行為往往會對企業的信息安全管理造成巨大威脅[4]，這是因為再先進的信息技術和管理信息系統，如果沒有規范操作作為基本保障，其安全性也會大大折扣[5]。也就是說，即使企業采納了先進的信息技術或部署了完備的管理信息系統，員工如果沒有遵守信息安全管理制度(如重要數據備份、安全的操作規程等)，也很容易引發嚴重的信息安全風險或事件。一般來說，制定科學合理的信息安全管理制度[6]并嚴格的執行是企業信息安全的重要保證[7]，但是企業如果不能有效減少員工的信息安全違規行為，也就不能有效阻斷頻發的信息安全事件[8]。因此，探討員工信息安全違規的關鍵影響因素和作用機制，對于企業預防和管理員工的信息安全違規行為具有重要的理論和現實意義。

1相關研究評述

近年來，借鑒犯罪學、社會心理學、健康學和組織行為學等領域的相關理論探討員工的信息安全行為是國內外行為信息安全研究的熱點[9]，涉及的主要研究問題包括：①企業如何確保員工遵守其內部的信息安全管理策略[10]；②企業如何激發員工的信息安全保護行為；③企業如何設計相應的懲罰措施，以形成對員工信息安全違規行為的有效威懾[11]；④員工產生信息安全違規行為的原因。盡管圍繞上述問題的探討取得一定研究成果，但是已有研究存在以下3個局限。

(1)研究結論不統一。IFINEDO[12]研究發現，感知威脅嚴重性對員工的信息安全遵守行為有正向影響。相反地，VANCE et al.[13]則證明，感知威脅嚴重性對員工的信息安全遵守行為有負向影響。這一研究結論的矛盾，在很大程度上是由于兩項研究使用同一理論中的變量測量維度不一致造成的。由此可見，行為信息安全管理領域內的相關研究還存在較大的改進空間。

(2)精英偏見。已有研究主要基于信息安全專家和高層管理團隊的思維模式，從而導致研究結論往往出現精英偏見[1]。換句話說，信息安全專家和高層管理人員代表了企業的高層管理，即使他們能夠提供員工信息安全行為的有益見解，但是他們幾乎接觸或意識不到一般組織員工感知到的管理信息系統的脆弱性和信息安全管理帶給他們的困惑[14]。因此，相關研究也就無法對員工的信息安全保護及信息安全違規行為做出全面、充分的解讀和分析。

(3)系統分析員工信息安全違規影響因素和作用過程的研究比較匱乏[15]。已有研究較多探討企業如何通過嚴厲的懲罰措施來威懾員工[16]，進而減少信息安全違規行為的發生，但是較少涉及對員工信息安全違規(行為)意愿的影響機制的分析，如內在動機、影響因素和作用過程[17]。只有SIPONEN et al.[18]運用中和技術理論分析員工信息安全違規意愿的形成過程，即員工用否認責任、否認傷害等6種中和技巧來說服自己，以做出信息安全違規行為；D′ARCY et al.[7]從員工遵守信息安全管理策略會產生“額外”工作負荷的角度，解讀員工的道德推脫對信息安全違規行為的影響。然而，上述研究有兩個明顯的局限性：①忽視了信息安全意識的作用。也就是說，上述兩項研究沒有結合企業信息安全管理的實踐，沒有探討員工信息安全意識的影響和作用，因此也就沒有辦法解答為什么越來越多的國內外企業非常重視開展或推動員工的信息安全意識培訓；②在行為信息安全的管理研究中，沒有充分考慮“人”的正向能動可能性。換句話講，員工態度和行為的轉變(如執行一個“壞”的工作行為)需要經歷態度和行為的轉變過程，這個轉變過程需要有合理和充分的理論分析和解讀。只有這樣，才能拓展行為信息安全相關理論的解釋范疇。

信息安全違規行為包括不遵守信息安全管理制度的所有信息資源、技術、系統的不規范使用行為。基于上述分析，本研究對員工信息安全違規行為的影響機制展開分析，基于應對理論和道德推脫理論構建信息安全壓力、道德推脫、信息安全意識和信息安全違規意愿之間的關系模型，采用問卷調查方法對研究模型進行驗證，以期能夠為企業有效減少和控制員工的信息安全違規行為提供有針對性的對策和建議。

2理論基礎和研究假設

本研究的理論基礎是應對理論和道德推脫理論，應對理論主要用來分析員工道德推脫的前因，道德推脫理論主要用來解釋員工如何說服自身的內在道德調控系統以允許信息安全違規行為的發生。

2.1應對理論

應對理論詳細描述了個體心理壓力的認知和行為過程，因此該理論為員工信息安全壓力的產生，即員工為遵守信息安全管理制度所產生的壓力提供了一個合適的理論分析框架[7]。具體來說，應對理論主要分析個體面對壓力時經歷的應對過程和采取的應對策略，以及這些策略為何產生、有何作用[19]。該理論指出，應對過程首先要進行壓力評估，主要包括首要評估和次要評估兩個相關聯的評估環節。在首要評估環節，個體會評價所面臨事件的關聯性，并判斷事件是否會帶來壓力；在次要評估環節，個體會判斷對該壓力事件的駕馭能力。經過上述兩個評估環節，個體會形成對該事件的應對策略[20]。與此相對應，本研究關注的信息安全壓力是員工經過首要評估和次要評估產生的結果，它是指為了滿足企業信息安全管理要求，需要消耗員工認知資源和能力所引發的一種心理壓力。與具有挑戰屬性的工作壓力不同，信息安全壓力往往由員工為了履行工作職責而使用信息技術或操作信息系統的工作負荷過載、復雜性和不確定性所造成[5]。因此，員工的信息安全壓力更多的是一種具有阻斷屬性的工作壓力。

在評估結果的具體應對策略上存在多種不同的反應分類，但是應用最多的應對策略分類是問題聚焦和情緒聚焦。問題聚焦的應對策略包括直接努力或改變所面臨的壓力環境。在特定的工作環境下，基于問題聚焦的努力消除障礙的同時，可以增加人們的工作知識和技能。情緒聚焦的應對策略包括改變思考或體驗壓力的方式，如轉移注意力和逃離特定的壓力情景[21]。也就是說，情緒聚焦的應對策略無法改變客觀存在的壓力環境[22]，而問題聚焦的應對策略可以改變特定的壓力環境[23]。基于上述分析，信息系統領域的學者已經采用該理論來分析相關問題[24]。已有研究已經識別了幾種不同的應對策略，包括精神放松技巧、修改工作任務以及創造或適應技術。同時，還有研究表明，當評估結果威脅到個人發展或工作推進時，如果員工判斷他們對于這些壓力情景的控制非常有限，則他們傾向于采用情緒聚焦的應對策略[25]。

2.2道德推脫理論

BANDURA[26]在社會認知理論的框架下提出了道德推脫的概念，用于解讀個人的不道德行為。道德推脫是指個體會產生一種特定的認知傾向，包括重新定義自己的不道德行為以使其傷害顯得更小[27]，并最大限度地減少自己在某項不道德行為后果中的責任[28]。因此，道德推脫理論往往用于解釋為什么人們在明知錯誤的情況下，仍然會做出某些錯誤行為[29]。該理論認為，當個人在道德上采取推脫時，他就切斷了該行為與其有害后果間的關系[30]。

組織領域的相關研究已經證明，道德推脫為分析員工的消極工作、違規、不道德行為提供了一種全新視角[31]。當某種違規行為產生于組織時，員工往往會將違規行為造成的傷害進行去人性化的認知和解讀，從而使人們擺脫了因違反自身道德標準而產生的內疚和自責情緒，心安理得地做出不道德行為[32]。基于上述分析，本研究采用道德推脫理論分析員工在做出信息安全違規行為時的自我認知調整和自我說服心理過程。

2.3研究假設

2.3.1信息安全壓力對違規意愿的直接效應

在企業的信息安全管理中，當員工嚴格按照信息安全管理制度執行日常工作任務時，有些員工會感知到信息安全壓力，即遵守信息安全管理制度的工作任務負荷過重、管理要求復雜難懂、安全要求不夠具體明確，該過程是應對理論的首先評估過程[5]。已有研究表明，員工往往會將負面情緒(如時間的浪費、精力的耗費和挫折)歸因于為了滿足崗位信息安全需求而付出的“額外”努力[7]。與此同時，員工也會感知到他們對于企業的信息安全管理制度的執行要求沒有任何的控制權或話語權，該過程是應對理論的次要評估過程。也就是說，耗費員工時間和精力的信息安全操作步驟增加了員工的工作負擔，為員工帶來了信息安全壓力，員工自覺執行信息安全管理制度的可能性就會下降[33]。尤其是在企業的信息安全管理制度比較復雜的情況下，員工只有兩種選擇：第一，花費大量的時間和精力充分地理解復雜的管理程序和繁瑣的技術要求，這樣做可能會在一定程度上降低日常工作的進度；第二，不遵守企業的信息安全管理制度，冒著一定風險采取信息安全違規行為，而不會對工作進度產生太大影響。因此，本研究提出假設。

H1信息安全壓力對員工的信息安全違規意愿有正向影響。

2.3.2道德推脫的中介作用

信息安全壓力會引發員工的信息安全違規行為[3]，然而信息安全壓力對違規(行為)意愿的具體作用機制還有待于更加深入的探討。頻發的員工信息安全違規行為顯然違反了企業信息安全管理制度，背離了職業道德準則。員工對規章制度的畏懼心理和對違規懲罰的恐懼心理，以及內心道德準則的自我驅使都沒有促使其遵守企業的信息安全管理制度[9]。這就說明，一方面，道德推脫使員工的信息安全違規行為與外部懲罰之間失去聯系，此時的自我道德調控過程已經失效[34]，員工可以擺脫違規行為造成的內疚和自責；另一方面，當員工的信息安全違規不是一個偶發事件時，即信息安全違規時常發生于企業和團隊的內部，此時員工往往會進行責任分散，以推脫應當承擔的責任[34]。

整體而言，信息安全壓力的存在意味著員工遵守信息安全管理制度有一定難度，當員工沒有辦法理解其重要性時，信息安全管理制度對于企業生存和發展的重要性就會大打折扣[7]。一般來說，信息安全壓力會對員工的正常工作表現產生影響[7]。例如，員工遵守企業信息安全管理制度花費的時間，導致其不能及時完成工作任務或通過加班來完成工作任務。然而，一旦面臨工作任務重或工作周期短的情況，通過拖延或加班沒有辦法完成既定工作。此時，這種累積的信息安全壓力將會觸發員工的負面行為反應[5]。事實上，員工受到的工作規范約束、接受的崗前培訓和職業培訓，以及內心具備的職業道德又不允許員工輕易做出信息安全違規行為。此時，信息安全違規行為的發生需要員工完成道德推脫的過程。進一步，員工的道德推脫通過道德辯護、責備歸因、責任轉移和責任分散等相互關聯的機制產生作用[31]，這就助推了員工不同類型信息安全違規行為的發生。綜上，員工的信息安全壓力通過道德推脫的過程機制最終影響信息安全違規意愿。因此，本研究提出假設。

H2道德推脫在信息安全壓力與員工信息安全違規意愿之間起中介作用，即信息安全壓力通過道德推脫間接正向影響員工信息安全違規意愿。

2.3.3信息安全意識對信息安全壓力與道德推脫的調節作用

信息安全領域的研究表明，員工違規行為導致的信息安全事件已經成為企業信息安全管理的主要威脅[35]，提高員工的信息安全意識尤為重要[36]，這也是國內外眾多企業開展信息安全意識培訓的原因[37]。信息安全論壇(Information security forum，ISF)將信息安全意識定義為組織所有員工理解信息安全的重要性，清楚組織所適用的安全級別[38]，知悉并履行個人在日常工作中的安全職責[39]。

如前所述，員工的信息安全壓力水平越高，越能夠促使其進行道德推脫。但信息安全壓力的產生也存在緩解條件和抑制因素，即信息安全意識[40]。員工高水平的信息安全意識有助于抑制信息安全壓力的產生，從而進一步阻礙道德推脫。DINEV et al.[41]證明員工的信息安全意識越高，越有利于企業信息資源的保護；PUHAKAINEN et al.[42]證明信息安全意識培訓可以顯著提高員工的信息安全意識，提高員工遵守信息安全管理制度的能力，這也在某種程度上減輕了員工的信息安全壓力；謝宗曉等[43]驗證了員工信息安全意識對信息安全管理制度有效性的積極影響。由此可見，員工的信息安全意識越強，越能夠阻礙信息安全壓力的產生，進而減少道德推脫過程的進行。因此，本研究提出假設。

H3信息安全意識負向調節信息安全壓力與道德推脫之間的關系，即員工的信息安全意識水平越高，信息安全壓力對道德推脫的影響越弱。

2.3.4信息安全意識對道德推脫與員工信息安全違規意愿的調節作用

道德推脫與員工信息安全違規意愿密切相關，然而不同員工在信息安全違規方面的表現卻存在很大差異[7]。由前述分析可知，道德推脫能夠切斷員工信息安全違規行為與其內在道德標準的關聯，使員工不會因為信息安全違規而感到自責和內疚[44]。在企業信息安全管理中，如果員工具有強烈的信息安全意識，這就意味著員工理解并熟知日常工作中的信息安全管理制度，并對自身的工作職責有著清楚的認知[45]。此時，員工的道德推脫過程將會受到信息安全意識的“干擾”，不能順利完成，道德推脫與信息安全違規意愿之間的關系就會受到抑制。因此，本研究提出假設。

H4信息安全意識負向調節道德推脫與信息安全違規意愿之間的關系，即員工的信息安全意識水平越高，道德推脫對信息安全違規意愿的影響越弱。

2.3.5被調節的中介作用

在前述分析中，一方面，基于應對理論和道德推脫理論的分析發現，員工的信息安全壓力通過道德推脫的中介機制影響信息安全違規意愿；另一方面，基于信息安全意識的相關研究可知，高水平的信息安全意識可以抑制信息安全壓力與道德推脫、道德推脫與信息安全違規意愿之間的關系。綜合這兩方面的論述，信息安全意識可能會對信息安全壓力-道德推脫-信息安全違規意愿的整個中介機制起調節作用，換句話講，可能存在被調節的中介效應。

員工的高信息安全意識水平為信息安全壓力的產生提供了某種抑制條件，員工由此有更小的可能性將信息安全壓力轉化為道德推脫的過程；而員工道德推脫水平的降低，也降低了員工的信息安全違規意愿。反之，員工的信息安全意識水平較低時，便會有較高的信息安全壓力感知，這就增加了員工道德推脫的可能性，進而導致較高水平的員工信息安全違規意愿。例如，微軟公司在幫助客戶建立信息安全方案時指出，建立信息安全意識培訓方案的主要目標是通過強化大家認可的、與公司業務有關的安全活動，即降低產生信息安全壓力的可能，從而改變全體員工的行為[39]。企業信息安全控制的效果依賴于員工的信息安全意識[35]，信息安全意識的提高有利于員工執行信息安全管理制度以及建立重視信息安全管理的組織文化[46]。上述研究都在一定程度上驗證了信息安全壓力與員工信息安全違規意愿之間存在被調節的中介效應。因此，本研究提出假設。

H5信息安全意識負向調節信息安全壓力通過道德推脫影響員工信息安全違規意愿的中介效應，即員工信息安全意識越強，信息安全壓力通過道德推脫影響員工信息安全違規意愿的中介效應越弱。

綜上所述，提出研究模型，見圖1。與已有相關研究[5,7]相比，本研究模型有兩點創新：①在企業信息安全管理情景下，基于應對理論的兩個評估環節，明確了員工信息安全違規的主要影響因素是信息安全壓力，進而構建信息安全壓力-道德推脫-信息安全違規意愿這一影響路徑；②識別了信息安全意識的調節效應。這就意味著，明確了信息安全管理情景下道德推脫理論和應對理論的限制條件和適用范圍，這對于既定框架下深入理解員工的信息安全違規行為有重要作用。上述兩點創新對于明確企業信息安全管理中員工的重要性，從而更好地從行為信息安全的視角解決企業信息安全管理中“人”的問題有重要意義。

圖1研究模型Figure 1Research Model

3研究方法

3.1樣本選取和數據收集

本研究采用問卷調查的方法進行數據收集，問卷調研對象是中國通過信息安全管理體系認證(GB/T 22080-2008/ISO/IEC 27001:2005)的企業的內部員工，說明被訪者的工作單位正在實施信息安全管理制度，調研對象的工作環境符合本研究的情景要求。問卷調研過程依托專業的調研平臺，采用在線填寫問卷的形式，調研時間為2017年3月1日至2017年3月31日。問卷采用Likert 7點評分法，1為非常不同意，7為非常同意。

為了保證所填寫問卷的有效性，對問卷的收集進行必要的控制。例如，每個IP地址只能對應一份有效問卷進入數據的分析過程；填寫不完整的問卷不能提交等。在此基礎上，對回收的356份問卷進行篩選，剔除惡意回答、前后不一致等的38份無效問卷后，最終得到有效問卷318份，問卷的有效回收率為89.326%。被訪者的描述性統計結果見表1。

表1樣本描述性統計結果Table 1Results for Descriptive Statistics of the Samples

3.2變量及其測量

為了保證測量工具的信度和效度，本研究盡量采用已有研究中被廣泛使用和驗證的研究量表，并結合企業信息安全管理這一特定情景進行調整。對信息安全壓力的測量，根據D′ARCY et al.[7]和LEE et al.[5]的量表修改得到，包括3個題項，涉及工作負荷量、復雜性和不確定性3個維度；對道德推脫的測量，根據BANDURA[28]、MOORE et al.[32]和DETERT et al.[47]的量表改編，概括為3個題項，涉及道德辯護、責任轉移和忽視結果3個維度；對信息安全意識的測量，根據SPEARS et al.[48]和D′ARCY et al.[49]的量表改編，包括3個題項；對員工信息安全違規意愿的測量題項來自于SIPONEN et al.[18]和CHENG et al.[6]的量表，采用密碼管理、工作站注銷和用移動設備拷貝數據3種情景模擬的方式，考察員工的違規意愿。

在控制變量方面，由于不同行業的信息化發展水平以及信息系統的采納程度不同，進而造成不同行業中企業對于員工信息安全知識需求的不同。組織員工從事工作的類型會對其信息安全行為有影響，如市場營銷和數據管理兩種工作類型對于員工信息安全行為的要求完全不同。教育程度會對員工的認知和學習領悟能力有一定影響。一般來說，員工的年齡越大，工作經驗也就越豐富，對于信息安全行為會有影響。基于上述分析，本研究將企業員工所屬行業、工作類型、教育程度、年齡和性別作為控制變量。

本研究問卷量表的測量題項見表2。

4實證結果和分析

4.1共同方法偏差

基于問卷調查的實證研究中，如果觀測變量由相同的被試者填答容易導致共同方法偏差問題。為了排除共同方法偏差的影響，本研究在統計控制環節采用Harman單因素檢驗的方法進行檢驗[50]。檢驗結果表明，第1個因子的方差解釋度為38.933%，小于40%，說明研究數據不存在共同方法偏差問題，可以進行后續的數據分析工作。

4.2信度和效度檢驗

本研究對量表的信度和效度進行檢驗，主要采用組合信度(CR)和項目載荷評價量表的信度；通過驗證性因子分析，檢驗測量量表的結構效度，用潛變量平均變異萃取量(AVE)的平方根是否大于潛變量之間的相關值檢驗區分效度，用AVE評價量表的聚合效度。測量量表的不同指標見表2和表3。

由表2可知，信息安全壓力、道德推脫、信息安全意識和信息安全違規意愿的組合信度分別為0.931、0.882、0.860和0.909，4個潛變量的Cronbach′sα值分別為0.889、0.802、0.758和0.849，均大于0.700的基準值。上述兩個指標說明測量量表具有較好的信度。由表2可知，4個潛變量的AVE分別為0.818、0.714、0.672和0.769，均大于0.500的基準值；每個潛變量所包含測量題項的因子載荷均在0.700的基準值之上，表明量表具有較好的結構效度。對交叉載荷進行檢驗的結果見表3，因子載荷在所屬潛變量一列的值要明顯高于其他潛變量的值，表明本研究測量模型具有較高的聚合效度和區分效度。

表2量表的信度和效度Table 2Reliability and Validity of Scales

表3交叉載荷檢驗結果Table 3Test Results for Cross Loading

4.3描述性統計

信息安全壓力、道德推脫、信息安全意識和信息安全違規意愿4個潛變量的平均值、標準差和相關系數見表4。由表4可知，信息安全壓力與道德推脫顯著正相關，r=0.747，p<0.010；道德推脫與信息安全違規意愿顯著正相關，r=0.542，p<0.010；信息安全壓力與信息安全違規意愿顯著正相關，r=0.645，p<0.010；道德推脫與信息安全意識顯著負相關，r=-0.722，p<0.010；信息安全意識與信息安全違規意愿顯著負相關，r=-0.712，p<0.010。這些相關性與理論預期的關系相一致，為驗證研究假設提供了初步證據。

表4均值、標準差和相關系數Table 4Mean, Standard Deviation and Correlation Coefficients

注：**為p<0.010，下同。

表5回歸分析結果Table 5Results of Regression Analysis

注：*為p<0.050，***為p<0.001，下同。

4.4研究假設檢驗

本研究進行逐步線性回歸，考慮到需要進行調節效應檢驗，在進行回歸分析之前對控制變量以外的所有變量進行中心化處理，具體回歸分析結果見表5。表5中，模型1以道德推脫為因變量，以控制變量為自變量；模型2在模型1的基礎上，增加信息安全壓力為自變量，用來檢驗信息安全壓力與道德推脫之間的關系；模型3在模型2的基礎上，增加信息安全意識以及信息安全壓力與信息安全意識的交互項為自變量，檢驗信息安全意識對信息安全壓力與道德推脫之間關系的調節作用。模型4以信息安全違規意愿為因變量，以控制變量為自變量，模型5在模型4的基礎上，增加信息安全壓力為自變量，模型6在模型5的基礎上增加道德推脫為自變量，模型4、模型5和模型6用來檢驗道德推脫的中介效應。模型7以信息安全違規意愿為因變量，自變量包括控制變量、信息安全壓力、道德推脫、信息安全意識以及信息安全壓力與信息安全意識的交互項、道德推脫與信息安全意識的交互項，檢驗信息安全意識的調節作用。同時，模型3和模型7也是檢驗被調節的中介效應的重要步驟。

(1)檢驗H1。模型5的回歸結果表明，信息安全壓力與信息安全違規意愿顯著正相關，β=0.518，p<0.001，ΔR2=0.216，大于0，表示模型的解釋力增強。因此，H1得到驗證。

(2)檢驗H2。信息安全壓力與信息安全違規意愿顯著正相關，模型2的回歸結果表明，信息安全壓力與道德推脫顯著正相關，β=0.589，p<0.001。以信息安全違規意愿為因變量、以信息安全壓力和道德推脫為自變量進行回歸分析，模型6的回歸結果表明，信息安全壓力與信息安全違規意愿顯著正相關，β=0.434，p<0.001；道德推脫與信息安全違規意愿顯著正相關，β=0.178，p<0.050。對比模型5與模型6的回歸結果可知，信息安全壓力回歸系數由0.518降至0.434，說明信息安全壓力對信息安全違規意愿的影響通過道德推脫的部分中介機制產生作用，H2得到驗證。

(3)檢驗H3和H4。模型3的回歸結果表明，信息安全壓力與信息安全意識的交互項系數為-0.516，p<0.001，說明信息安全意識對信息安全壓力與道德推脫之間關系有負向調節作用，H3得到驗證；模型7的回歸結果表明，道德推脫與信息安全意識的交互項系數為-0.422，p<0.010，說明信息安全意識對道德推脫與信息安全違規意愿之間關系有負向調節作用，H4得到驗證。為了更加準確判斷調節效應的顯著性，以平均數加減標準差為標準，將信息安全意識劃分為高、低兩個水平，然后進行簡單斜率分析，結果見圖2。由圖2可知，在高信息安全意識水平下，信息安全壓力與道德推脫以及道德推脫與信息安全違規意愿的關聯性均較強，簡單斜率分別為0.764(p<0.010)和0.568(p<0.010)；在低信息安全意識水平下，信息安全壓力與道德推脫以及道德推脫與信息安全違規意愿的關聯性較弱，簡單斜率分別為0.143(p>0.050)和0.087(p>0.050)。因此，H3和H4進一步得到驗證。

(4)檢驗H5。本研究采用EDWARDS et al.[51]提出的被調節的路徑分析方法檢驗H5(即被調節的中介效應)，采用Spss的Process插件Bootstrap程序進行檢驗[52]，設定Bootstrap的次數為5 000次，置信區間為95%[53]，運算出不同信息安全意識水平下路徑系數、標準誤差和中介效應的置區間，結果見表6。

由表6可知，在低信息安全意識水平下，間接效應在95%水平上的置信區間包含0，即信息安全壓力通過道德推脫影響信息安全違規意愿的作用不顯著，β=-0.071，p>0.050；在高信息安全意識水平下，間接效應在95%水平上的置信區間不包含0，系數為-0.237，p<0.010，即信息安全壓力通過道德推脫影響信息安全違規意愿的作用顯著。也就是說，隨著信息安全意識水平的提升，道德推脫的中介作用逐漸顯著，H5得到驗證。

圖2信息安全意識的調節作用Figure 2Moderating Effect of Information Security Awareness

表6被調節的中介效應檢驗結果Table 6Test Results for Moderating Mediation Effects

5結論

本研究以應對理論和道德推脫理論為基礎，以中國通過信息安全管理體系認證企業(ISO/IEC 27001)的員工 為對象，采用問卷調查方法，對信息安全壓力與員工信息安全違規意愿之間的作用機制進行研究，研究結果如下。

(1)信息安全壓力對員工信息安全違規意愿有顯著正向影響，并且道德推脫在信息安全壓力與信息安全違規意愿之間起中介作用。員工信息安全壓力越大，其信息安全違規的意愿越強烈。這與D′ARCY et al.[7]和LEE et al.[5]在組織管理情景下得出的信息安全壓力與反生產行為/不道德組織行為關系的研究結論一致。企業內部諸多信息安全的要求造成了員工遵守信息安全管理制度的壓力，這會加大員工信息安全違規的可能性。在此過程中，道德推脫過程切斷了違規行為與負面后果(如愧疚和自責)之間的關系，加大了發生信息安全違規行為的可能性。

(2)信息安全意識對信息安全壓力與道德推脫、道德推脫與信息安全違規意愿之間的關系有負向調節作用。說明員工的信息安全意識越高，信息安全壓力對道德推脫的影響越弱，道德推脫與信息安全違規意愿之間的關系越弱。背后所隱含的內在邏輯是，員工對信息安全管理的重要性越熟悉，越知悉個人在日常工作中的信息安全職責，就越容易創造信息安全違規的屏蔽條件。這與D′ARCY et al.[49]和BULGURCU et al.[40]的研究結論一致，即員工信息安全意識越高，組織內部越不容易產生信息安全的違規行為。

(3)信息安全意識負向調節道德推脫在信息安全壓力與信息安全違規意愿之間的中介作用，即員工信息安全意識越高，上述中介作用越弱，反之越強。也就是說，信息安全意識負向調節從信息安全壓力到信息安全違規意愿的整個間接效應，即存在被調節的中介效應，而且這一被調節的中介效應通過信息安全壓力與道德推脫和道德推脫與信息安全違規意愿之間關系的調節作用實現。這就意味著，信息安全壓力可以通過道德推脫影響信息安全違規意愿，對于高信息安全意識的員工來說，這一影響過程和作用機制將會受到抑制。

本研究證實了信息安全壓力除對信息安全違規意愿有直接的顯著正向影響外，還通過道德推脫的中介機制間接影響違規意愿，信息安全意識對上述中介作用有完全的負向調節效應。在管理實踐中，企業可以通過合理減輕員工的信息安全壓力、提高員工的信息安全意識等手段減少員工信息安全違規行為的發生。

(1)減輕員工的信息安全壓力。企業要求在工作中采用新的技術或系統，以及遵守既定的企業管理制度，往往會增加員工的心理壓力[54]。在信息安全管理中，員工遵守信息安全管理制度，就會在原有工作的基礎上增加工作負荷、復雜性和不確定性。因此，員工自覺執行信息安全管理制度的可能性就會下降。基于此，企業需要降低信息安全管理制度的復雜性，使員工不需要花費大量時間和精力完成系統的操作，從而加快工作進度。此外，企業的信息安全管理部門需要與員工有足夠的溝通和反饋，以及時解決員工在信息安全管理中遇到的問題，減少工作中不清晰和不明確的地方。

(2)提高員工的信息安全意識。企業要明確信息資產和資源與企業的人力、物力和財力等同樣重要，甚至在既定情況下企業信息資產的安全直接關乎企業的生存和發展，這樣的理念應滲透并落實到員工的日常工作中。尤其是，需要以反面案例提醒員工信息安全違規行為的嚴重后果，如泄露企業客戶的信息對客戶造成的嚴重打擊、沒有及時修補企業系統漏洞引發的各種安全事故等。企業需要幫助員工明確和知曉信息安全違規行為造成的嚴重后果和傷害，這對于阻斷員工違規行為的中和技術有重要作用，同樣可以有效減少信息安全違規行為的發生。

(3)加強員工的職業道德培訓。企業應開展或改善員工的信息安全意識培訓，除了強調信息安全管理對于保護企業信息資產的重要性之外，還要突出強調遵守信息安全管理制度是員工職業道德素養的組成部分。與此相對應，員工才會在自我內在道德調節系統中深化遵守信息安全管理制度的必要性和重要性，有效抑制其信息安全違規行為的發生。同時，企業需要明確，員工信息安全意識的培養和提高不是一件一蹴而就的事情，需要在信息安全管理的方方面面有所體現，并且滲透到員工的日常工作中。只有這樣，才能發揮信息安全意識的重要作用。

本研究仍存在不足和需要完善的地方。①為了保證量表的信度和效度，對研究模型中變量的測量均采用已有研究中被廣泛使用和多次驗證的題項。未來研究應該設計和開發更加符合中國企業信息安全管理情景的研究量表，以使研究結論更符合中國企業信息安全管理的實踐。②問卷調查的對象均是中國通過信息安全管理體系認證的企業的內部員工，這在一定程度上限定了樣本所屬行業，而對信息安全管理要求較高行業的企業，往往注重信息安全管理體系的認證，導致研究樣本覆蓋的行業不夠廣泛，后續的研究應擴大樣本量，以使研究結論更加具有代表性。