企業數字化轉型中信息安全治理影響因素研究

摘 要：識別企業數字化轉型中信息安全治理的影響因素以及影響因素間的層次結構關系，有助于企業管控數字化運營的信息安全風險。通過文獻分析、案例總結和專家咨詢等方式識別企業信息安全治理的影響因素，在此基礎上運用解釋結構模型（ISM）對企業信息安全治理的影響因素進行層次結構和運行機理分析。結果表明：企業信息安全治理以風險處置、職責明確、行為塑造、知識共享和反饋改進的治理模式為直接依賴，以合規治理、流程治理、責任治理、契約治理和關系治理的治理機制為中間保障，以CEO決策力、CIO有效性、CFO支持度、TMT凝聚力和問責制的治理結構為高層支持。

關鍵詞：信息安全治理；數字化轉型；解釋結構模型；影響因素；運行機理

中圖分類號：F124；F270

文獻標識碼：A文章編號：1003-3890（2024）05-0033-08

黨的十八大以來，黨中央高度重視數字經濟發展，將其上升為國家戰略，并持續出臺政策來推動數字化轉型。黨的二十大報告再次強調，促進數字經濟和實體經濟的深度融合，實現數字中國建設目標。在此背景下，伴隨數字技術的發展以及市場環境的變化，企業加速將數字技術引入現有架構，推動管理方式、運營機制和生產過程的重塑，逐步實現數字化運營管理[1]。盡管數字化轉型能幫助企業降本增效，顯著提高高質量發展能力，但隨之而來的信息安全風險遍布數字化應用場景，企業面臨更加嚴峻的信息安全挑戰，如若應對不當極有可能危及國家安全和社會穩定[2]。此時傳統補丁式的信息安全管理已不合時宜，企業亟須樹立從被動式防守轉向主動式保護的信息安全管理思路。

信息安全治理是企業有效管控數字化轉型信息安全風險的手段，它以維護企業信息資產安全為目標，通過結構優化、機制選擇和模式匹配將信息安全舉措嵌入數字化運營場景中，有效提升企業信息安全能力。企業信息安全治理是由不同治理要素構成的復雜系統，認識其功能結構、厘清其影響因素、分析其作用機理對充分認識和把握信息安全治理，構建面向數字化轉型的信息安全管理體系至關重要[3]。然而，現階段圍繞信息安全治理的研究存在三方面局限：第一，企業信息安全治理內涵不清晰。有學者將信息安全治理等同于治理機制，導致學界認為信息安全治理不過是具體治理機制在信息安全管理中的應用而已。第二，尚未辨識出企業信息安全治理的影響因素。全流程數字化運營管理的推進，使得企業信息安全風險具有范圍廣泛、對象不確定和高破壞等特征，這需要在明確關鍵影響因素的前提下有的放矢提升信息安全能力。第三，對不同影響因素之間的作用關系缺乏深入分析[4]。已有研究還無法充分解答不同因素之間的關系，這會限制面向企業數字化轉型的信息安全治理體系的構建。上述局限導致既有理論研究無法為企業信息安全管理實踐提供指引，企業信息與數據安全管理缺乏有效理論依據。

基于上述分析，本研究綜合文獻研究、專家訪談、管理案例梳理出企業信息安全治理的影響因素，運用解釋結構模型（Interpretative Structural Model，ISM）分析企業信息安全治理不同影響因素之間的復雜關系并使之條理化、層次化和結構化，進而針對企業信息安全治理的戰略規劃、機制保障和模式實施提出有效治理策略，幫助企業更好地應對和管控信息安全風險。本研究的創新之處體現在兩方面：綜合運用文獻研究、案例研究和專家訪談等多元視角辨識企業信息安全治理影響因素，確保對企業信息安全治理多角度、多層次的深入理解；采用ISM探究企業信息安全治理不同影響因素之間的關系，認識企業信息安全治理系統的多級遞階結構，明晰不同影響因素間的邏輯和作用機理。

一、文獻綜述

目前，信息資源管理領域對企業信息安全治理的研究仍處于探索階段，尚未形成一套完整的理論體系，具有廣闊的研究空間。相關研究主要涉及三個主題：企業信息安全治理的內涵、企業為何進行信息安全治理、企業如何進行信息安全治理。

（一）企業信息安全治理的內涵

現階段學者們對企業信息安全治理的認識尚未達成一致，已有研究主要從技術和管理兩個視角探討企業信息安全治理的內涵。立足技術視角的研究認為，企業信息安全歸根結底是技術問題，因此信息安全治理是IT部門的職責，據此將企業信息安全治理定義為“指導和控制企業信息安全活動的技術體系[5]?！倍⒆愎芾硪暯堑难芯空J為，企業信息安全本質是管理問題，因此需要強調信息安全的戰略定位，據此將企業信息安全治理定義為“為了實現信息安全與組織戰略目標一致而采取的綜合性信息安全解決方案[6]?！?/p>

本文涉及的信息安全范疇幾乎涵蓋企業數字化運營管理的所有業務及流程，因此我們側重從管理視角認識和理解企業信息安全治理。借鑒和參考已有研究對企業信息安全治理的定義，本文認為企業信息安全治理是外部監管環境變化和內部信息安全強化的結構性反應，是在滿足合規要求基礎上將信息安全嵌入企業內部各項要素的數字化中，以實現信息安全與數字化運營管理的匹配，從而為治理者和相關利益主體創造價值，并有效管控數字化運營管理中信息安全風險的一套制度安排。需要強調的是，該定義面向企業數字化運營管理明確了一個前提、一項任務和一個目標，即滿足信息安全合規（前提）、在數字化運營管理中嵌入信息安全要求（任務）、有效防范化解信息安全風險（目標）。

（二）企業為何進行信息安全治理

信息安全是企業數字化運營管理的基本前提，沒有安全作為保障的數字化不僅會導致業務中斷，而且可能危及企業的生存與發展[7]。實際上，企業開展信息安全治理是由數字化的客觀需要以及信息安全特征決定的，這體現在兩方面：第一，企業內部不同部門及流程之間的信息不對稱以及行動不同步嚴重影響企業整體信息安全水平[8]?？绮块T或業務流程之間的溝通不足，將會導致圍繞信息安全的信息不對稱，不同部門以及業務流程之間對信息安全的重視差異進一步造成不同部門與業務流程的信息安全風險管控措施不一致[9]，而薄弱環節將會給企業整體數字化運營管理帶來風險。第二，企業內部不同部門所追求目標的沖突。在企業數字化運營管理中，部分管理者認為企業應該追求運營管理績效，而信息安全管理不僅不能為企業帶來收益，而且要耗費大量的資源和投入，所要防范的風險僅僅是潛在的而已。因此，企業需要在戰略層面上平衡內部追求績效和確保安全之間的沖突。

事實上，企業信息安全治理的主要目的不涉及傳統公司治理的權力分配和代理成本問題，而是在滿足外部合規基礎上，將信息安全的要求嵌入到企業各項業務與流程的數字化中，防范與控制各種新型數字技術應用場景下可能存在的各類信息安全風險，確保企業數字化運營管理的安全可靠，進而借助信息安全管理提升數字化運營管理的效率和效益。

（三）企業如何進行信息安全治理

面向企業數字化運營管理的信息安全治理，一要健全治理結構，二要完善治理機制，三要匹配治理模式[10]。首先，在組織結構方面要形成對信息安全負責的治理結構，明確信息安全相關主體之間的權責利關系。其次，在管理制度方面制定并發布科學、合理的信息安全制度，對包含硬件、軟件和人員的整個企業信息系統進行規范和約束，以減少內部信息安全風險的發生以及明確應對外部信息安全風險的措施。最后，在管理舉措的落地上要遵循合理的安排及步驟。信息安全從來不是一項可以自下而上單純依靠員工自覺就能做好的工作，信息安全管理舉措絕大部分是反人性的，它會給日常工作增加需要遵循的條條框框，這些都不可能讓員工自愿配合，需要輔助或匹配合理的部署模式，從而避免陷入相同或類似信息安全問題重復發生的管理怪圈[11]。

綜上所述，如何優化企業數字化運營管理中的信息安全治理是值得深入研究的議題。已有文獻對企業信息安全治理的探討還處于初級階段，雖涉及企業信息安全治理的基本內容，但對企業信息安全治理的關鍵影響因素還沒有形成充分的理論認識。另外，面向數字化運營管理的企業信息安全治理是一項復雜的系統工程，需要不同治理要素之間的相互配合，非常有必要對關鍵治理要素以及不同關鍵治理要素之間的關系進行說明和分析。因此，本研究基于解釋結構模型（ISM）來挖掘不同治理要素之間的層次關系優化信息安全管理策略，從而借助不同治理要素的功能實現對信息安全風險的有效管控。

二、企業信息安全治理影響因素識別

本研究采用三種方式凝練企業信息安全治理影響因素：第一，通過查閱文獻研究和梳理相關國家標準（如《信息技術-安全技術-信息安全治理》（GB/T 32923—2016）），在理論層面充分獲取企業信息安全治理的影響因素。第二，分析近幾年（2020—2023年）典型的銀行、酒店、社交媒體、電子商務、醫療等不同領域10余個企業信息安全以及數據泄露事件，識別出企業信息安全治理的影響因素。第三，對5位企業信息安全從業者（2位高層管理者、2位技術專家、1位信息安全認證相關人員）進行半結構化深度訪談。訪談提綱的問題包括企業信息安全治理需要得到哪些支持、企業有哪些保障措施、現階段存在什么問題、未來如何進行改進等，在實踐層面充分了解并獲取企業信息安全治理的影響因素。

借助上述三種途徑和方法，本研究總結出企業信息安全治理的20個影響因素，然后邀請9位專家學者（研究方向包括：2位戰略管理、2位信息安全管理、2位數字化轉型管理、2位公司治理、1位風險管理）判定這些因素是否對企業信息安全治理產生影響，超過5人認為備選因素對企業信息安全治理有影響時入選。需要說明的是，這9位學者均長期關注組織管理領域內的研究問題，與項目組圍繞信息安全管理開展過相關合作，認可企業信息安全問題的重要性。專家學者評價的統計結果如表1所示。

為了理解上述影響因素的內涵以及深入分析上述因素對企業信息安全治理的具體影響，本研究采用企業信息安全治理結構、企業信息安全治理機制、企業信息安全治理模式的理論分析框架對影響因素進行分類，下面展開具體論述。

（一）治理結構

結合企業數字化運營中的信息安全管理實踐，識別企業信息安全治理的相關主體，剖析不同治理主體之間的關聯性，對于理解不同治理主體之間的權力配置方式，厘清信息安全治理結構的特點和屬性極為重要。在企業信息安全治理結構中：（1）CEO（Chief executive officer）對信息安全戰略規劃具有決策權。（2）CIO（Chief information officer）對信息安全管理具有執行權。（3）CFO（Chief financial officer）對信息安全軟硬件相關投資具有財務決策權。（4）企業內部高層管理團隊（Top management team，TMT）的其他成員圍繞信息安全管理形成凝聚力和統一共識。（5）TMT針對信息安全管理形成完善的問責機制。上述治理結構的不同維度和屬性任務對構建完善的信息安全組織結構均會產生顯著影響。

（二）治理機制

面對數字化運營管理中信息安全風險的廣泛滲透性，單靠信息安全治理結構的完善還不能有效管控信息安全風險，還需要若干信息安全治理機制。健全的治理機制是企業信息安全有序運行的前提，治理機制作用的發揮需要輔以合理的制度安排，相關制度安排需要從以下維度考慮：（1）合規治理。企業內部信息安全管理需要考慮合規性，即按照國家法律和行業相關標準要求來進行。（2）契約治理。通過企業內部正式的治理規則來實現基于規范的合作，它通過正式的控制機制來規定相關各方應該采取的信息安全行動。（3）關系治理。關系治理注重合作各方信息的溝通和信任的建立，這有助于各方協同制定信息安全制度路線和方針，形成良好的信息安全合作關系。（4）流程治理。企業信息安全治理需要面向業務流程，因為特定的治理手段只有實現與具體業務流程的結合，才能夠有效降低治理要求對業務流程的干擾，以有效、便捷和穩定的方式促進企業信息安全管理水平的提高。（5）責任治理。企業內部對信息安全管理責任歸屬的討論、劃分與說明是責任治理的范疇，往往涉及重大信息安全事項的責任劃分、應急處理等具體事宜。

（三）治理模式

信息安全治理模式決定了信息安全治理實施過程中信息安全風險的處置和責任落實情況，需要對其進行評價以作出適應性改進，從而更好地發揮其價值和效用。這是因為，即便再完美的組織功能設計如果沒有辦法落地，對于信息安全管理來說也毫無價值[12]。在確保信息安全治理有效落地方面，以下環節非常重要：（1）職責明確。每個崗位上的員工明確自己的信息安全職責，尤其是在數字化運營管理中這一點非常有必要。（2）風險處置。不同崗位上的員工知悉工作中潛在的信息安全風險，以及如何處置的具體步驟和措施。（3）行為塑造。伴隨技術和系統升級對信息安全提出的更高要求，面向員工的各類信息安全培訓除了提升信息安全技能之外，要深刻影響員工的信息安全行為。（4）知識共享。不同崗位與流程中員工對信息安全知識的共享有助于提高企業整體的信息安全水平。（5）反饋改進。員工在日常工作中遇到的信息安全問題以及規章制度的不合理之處，也需要及時反饋給信息安全主管領導或部門，以便持續改進信息安全部署中的不合理之處。

三、研究方法及其過程

在識別出企業信息安全治理的影響因素之后，本研究采用解釋結構模型進一步劃分影響因素之間關系的層次結構，目的是明確不同影響因素之間的層級結構以及作用機理。解釋結構模型的主要特點是通過系統元素之間相互影響關系的辨識，將復雜系統分解成多級遞階結構，從而將影響因素之間錯綜復雜的關系變得條理化、層次化和清晰化[13-14]。

（一）建立鄰接矩陣

本研究用15×15矩陣表示企業信息安全治理影響因素之間的邏輯關系，從而獲得鄰接矩陣A。鄰接矩陣中元素aij表示第i行和第j列的元素，即代表企業信息安全治理影響因素Fi和Fj之間的相關關系。其中，i，j=1，2，…，15。鄰接矩陣A表示如下：

為了確保影響因素之間關系的科學性和有效性，本研究采用專家咨詢法、問卷調查法對企業信息安全管理領域的20余位專家學者進行調查（包括前述9位評定信息安全治理影響因素的專家學者），對企業信息安全治理的15個影響因素之間的關系進行比對。最終結果采用大多數專家學者的意見，并形成鄰接矩陣A（見圖1）。

（二）計算可達矩陣

可達矩陣是指在一個結構模型中，根據節點之間的連接關系，通過矩陣表示節點之間的可達性?？蛇_矩陣的使用可以幫助我們分析和描述結構模型的連通性。通過觀察矩陣中的元素，我們可以得知結構模型中的節點是否相互連通，以及它們之間的連接方式。例如：如果可達矩陣中的某些元素值為1，那么對應的節點就是連通的；而如果某些元素值為0，則表示相應的節點之間不存在直接的連通路徑。本研究根據鄰接矩陣計算得出的可達矩陣M如圖2所示。

（三）可達矩陣的層次化處理

可達矩陣層次化處理是為了揭示企業信息安全治理影響因素之間的層次關系。將可達矩陣M劃分為可達集C（Fi）和先行集D（Fi）。其中：可達集表示可達矩陣要素Fi所在行中有“1”對應的列元素集合；先行集表示可達矩陣要素Fi所在的列中有“1”對應的行元素集合。共同集E（Fi）表示可達集C（Fi）和先行集D（Fi）之間的交集所組成的集合，即E（Fi）= C（Fi）∩ D（Fi）= {1}。本研究計算得出的可達集、先行集和共同集見表2。

（四）構造解釋結構模型

企業信息安全治理影響因素的層次分級依據E（Fi）= C（Fi）∩ D（Fi）進行逐級抽取。第一層次化處理后，滿足E（Fi）= C（Fi）∩ D（Fi）的結果有12，13，15，因此L1={12，13，15}為第一層。隨后，將列表中含有12，13，15的元素去掉，發現滿足條件的有11，14，那么L2={11，14}為第二層。以此類推得出第三層為L3={7，8}，第四層為L4={1，2，3，4，5，6，9，10}。依據層次化分析結果、可達矩陣以及原始鄰接矩陣，將變量符號轉化為對應的影響因素，本研究所構造的企業信息安全治理影響因素解釋結構模型如圖3所示。

可以看出，影響企業信息安全治理的15個因素可以劃分成4 個層次。在企業信息安全治理影響因素的L1～ L4等級中，隨著等級升高，影響持續不斷加強。在解釋結構模型中，第一層級和第二層級的因素是最為直接的影響因素，對企業信息安全風險的處置、規范的信息安全行為塑造、對信息安全活動的反饋改進、對于崗位信息安全職責的確立以及具體信息安全知識的共享都能使企業信息安全治理直接見效；處于第四層級的CEO決策力、CIO有效性、CFO支持度、TMT凝聚力和TMT問責制，屬于治理結構方面的因素，尤其是CEO決策力和CIO有效性是影響信息安全治理的關鍵因素。合規治理、流程治理、責任治理屬于治理機制方面的因素，而合規治理在影響效用方面最為關鍵；處于第二層級的契約治理、關系治理是直接影響因素和根本影響因素的承接，是企業推行信息安全治理中需要培育和打通的重要要素。

（五）運行機理分析

由企業信息安全治理的解釋結構模型可以看出，不同的影響因素對企業信息安全治理的影響程度是不同的。對模型的層級關系進行分析對比，可以梳理出企業信息安全治理的運行機理，這有助于定位和明確促進企業信息安全治理的關鍵因素，如圖4所示。

第一，企業信息安全治理直接依賴不同部門及流程各崗位上的信息安全風險處置情況、信息安全責任劃分、信息安全行為的塑造、信息安全知識的共享以及對信息安全活動的反饋改進。這些因素屬于信息安全治理模式范疇，直接關系到信息安全治理的實施與落地。在信息安全治理下沉到具體崗位過程中，尤其要關注風險是否處置、是否塑造正確行為和是否持續反饋改進，以提高信息安全落地的有效性。

第二，企業信息安全治理需要有合規治理、流程治理、責任治理、契約治理和關系治理的保障。這些因素屬于信息安全治理機制范疇，承接信息安全治理結構的決策，并部署信息安全治理模式的具體行動。在面向數字化運營的信息安全治理機制中，尤其要關注合規治理、流程治理和責任治理，在確保信息安全滿足監管要求的基礎上，將信息安全舉措部署到數字化流程之中，并劃分清楚流程的傳導與銜接等管理責任。

第三，企業信息安全治理由CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責制等規劃和推動。這些因素屬于企業信息安全治理結構的范疇，決定著企業信息安全的地位與走向，在企業數字化運營管理中尤其要確保CEO對信息安全以及數字安全的重視，同時要發揮CIO在企業信息安全治理中的專業作用，通過CEO與CIO的良好互動推動信息安全治理結構的完善。

四、研究結論與啟示

（一）研究結論

本研究首先通過文獻研究、案例分析和專家訪談識別出企業信息安全治理的影響因素，在此基礎上運用解釋結構模型分析各種影響因素以及它們相互之間的層次關系，進而得出企業信息安全治理影響因素之間的作用機理，主要得出以下結論：

1.企業信息安全治理主要受到治理結構、治理機制和治理模式三方面因素的影響。其中：治理結構包括CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責制5個因素；治理機制包括合規治理、契約治理、關系治理、流程治理、責任治理5個因素；治理模式包括職責明確、風險處置、行為塑造、知識共享、反饋改進5個因素。

2.企業信息安全治理的影響因素可以劃分為4個層級。第一層包括風險處置、行為塑造、反饋改進，第二層包括職責明確、知識共享，第三層包括契約治理、關系治理，第四層包括CEO決策力、CIO有效性、CFO支持度、TMT凝聚力、TMT問責制、合規治理、流程治理、責任治理。

3.企業信息安全治理影響因素的作用機理。首先，對信息安全治理模式的直接依賴，尤其是風險處置、行為塑造、反饋改進3個影響因素之間的良性互動；其次，需要信息安全治理機制的保障，尤其是契約治理、關系治理要有效承接治理結構的決策并將其落實到具體行動上；最后，需要治理機構的支持，尤其是CEO的決策力、CIO的有效性，以及兩個要素之間的良性互動共同推動信息安全治理的發展。

（二）管理啟示

信息安全治理在企業數字化運營管理中愈發重要，為了更好地推進企業信息安全治理的發展，本研究提出以下管理啟示：

1.在戰略規劃層面上重視信息安全治理結構。企業要在戰略規劃中確定信息安全的長期目標和未來發展方向，這需要在組織結構中完善信息安全治理結構，主要包括明確的信息安全治理角色和責任分配，即有效回答“由誰治理”的問題，通過清晰化信息安全治理相關主體的權責利關系，確保信息安全治理的開展。

2.在制度安排層面上重視信息安全治理機制。企業要在制度安排上建立相應的規章制度和流程以確保信息安全的推動，這需要在管理制度上健全信息安全治理機制，主要包括知悉外部信息安全政策要求、確立內部信息安全管理舉措、完善風險評估和責任說明，有效回答“如何治理”的問題，通過建立各類信息安全治理機制，推進信息安全活動。

3.在實施落地層面上注重信息安全治理模式。企業要在信息安全實施落地中將信息安全的要求和控制措施實際應用到企業員工以及具體崗位的日常運營中，這需要在實施過程中匹配合理的信息安全治理模式，在崗位安全職責、行為引導、員工培訓、風險處置等方面進行精細化管理，有效回答“怎樣落地”的問題，確保信息安全落地且有效。

總而言之，企業信息安全治理需要從戰略上完善治理結構、制度上健全治理機制和實施上匹配治理模式，從而確保企業信息安全管理的全面性和有效性。只有注重不同層面上的信息安全治理影響因素，并將其有機結合起來，企業才能系統推進信息安全治理發展，提高企業應對各類信息安全威脅的管理水平。

（三）研究局限與未來展望

盡管本研究對企業信息安全治理的影響因素進行了系統分析，但仍存在一些不足之處有待未來研究予以完善。第一，雖然我們通過文獻研究、案例分析和專家訪談等不同方法提取了企業信息安全治理影響因素，但這些影響因素較多地集中在相對重視信息安全管理的金融等行業，其他行業中企業信息安全治理影響因素的分析有待進一步開發和探究。第二，雖然我們對企業信息安全治理影響因素進行了結構化分析，并深入探究了影響因素之間的關系及作用機理，但并未對不同影響因素的重要性進行量化分析，未來可以通過給出不同影響因素的權重，實現對不同因素重要性排序的目標。

注釋：

①因2017年。

參考文獻：

[1]劉淑春， 閆津臣， 張思雪， 等．企業管理數字化變革能提升投入產出效率嗎？[J]. 管理世界， 2021（5）： 170-190.

[2]張晨芳， 夏志杰， 王詣銘. 政策工具視角下的我國網絡安全政策內容量化分析——基于2015-2020年的國家政策文本[J]. 信息資源管理學報， 2021， 11（3）： 99-109.

[3]ALGHAMDI S， WIN K T， VLAHU-GJORGIEVSKA E. Information security governance challenges and critical success factors： systematic review[J]. Computers amp; security， 2020， 99： 102030.

[4]甄杰， 謝宗曉， 李康宏， 等. 信息安全治理與企業績效： 一個被調節的中介作用模型[J]. 南開管理評論， 2020， 23（1）： 158-168.

[5]WHITMAN M， MATTORD H J. Information security governance for the non-security business executive[J]. Journal of executive education， 2012， 11（1）： 97-111.

[6]NICHO M. A process model for implementing information systems security governance[J]. Information and computer security， 2018， 26（1）： 10-38.

[7]FAVORETTO C， MENDES G H D S， OLIVEIRA M G D， et al. Digital transformation of business model in manufacturing companies： challenges and research agenda[J]. Journal of business amp; industrial marketing， 2022， 37（4）： 748-767.

[8]甄杰， 謝宗曉， 陳琳， 等. 高管支持對信息安全績效的影響——探討制度化過程的中介效應[J]. 系統管理學報， 2019， 28（5）： 846-856.

[9]甄杰， 謝宗曉， 林潤輝. 治理機制、制度化與企業信息安全績效[J]. 工業工程與管理， 2018， 23（3）： 171-176.

[10]李維安， 張耀偉， 鄭敏娜， 等. 中國上市公司綠色治理及其評價研究[J]. 管理世界， 2019（5）： 126-133.

[11]BALOZIAN P， BURNS A J， LEIDNER D E. An adversarial dance： toward an understanding of insiders’ responses to organizational information security measures[J]. Journal of the association for information systems， 2023， 24（1）： 161-221.

[12]TEJAY G P S， MOHAMMED Z A. Cultivating security culture for information security success： a mixed-methods study based on anthropological perspective[J]. Information amp; management， 2023， 60（3）： 103751.

[13]陳睿君， 謝雅萍， 黃麗清. ISM框架下連續創業行動影響因素分析[J]. 科學學研究， 2020， 38（9）： 1662-1669.

[14]毛義華， 曹家棟， 方燕翎. 基于ISM的新型研發機構影響因素分析[J]. 科研管理， 2022， 43（8）： 55-62.

Influencing Factors of Enterprise Information Security Governance in Enterprise Digital Transformation：

Analysis Based on Interpretive Structural Model

Abstract：

Identifying factors that influence information security governance in enterprise digital transformation and understanding the hierarchical relationships among these factors can help organizations manage the information security risks of digital operations. This article utilizes literature analysis， case summaries， and expert consultations to identify the factors affecting information security governance. Based on this， it applies Interpretive Structural Modeling （ISM） to analyze the hierarchical structure and operational mechanisms of the factors influencing enterprise information security governance. The results show that the governance model of enterprise information security governance relies directly on risk disposal， clear responsibilities， behavior shaping， knowledge sharing， and feedback improvement. It is supported by compliance governance， process governance， responsibility governance， contract governance， and relationship governance mechanisms. It is further supported by the governance structure of CEO decision-making power， CIO effectiveness， CFO support， TMT cohesion， and accountability.

Keywords：

information security governance; digital transformation; interpretive structural model; influencing factors; operational mechanism