组织控制与信息安全制度遵守：面子倾向的调节效应

陈 昊，李文立，陈立荣

大连理工大学 管理与经济学部，辽宁 大连 116023

组织控制与信息安全制度遵守：面子倾向的调节效应

陈 昊，李文立，陈立荣

大连理工大学 管理与经济学部，辽宁 大连 116023

员工对于重要数据和计算机设备等信息资产的滥用和误用成为组织信息安全的潜在威胁，越来越多的企业意识到单纯依靠安全技术解决方案难以有效控制这些风险，如何通过有效的机制设计来规范和引导员工的信息安全行为显得尤为重要。

从行为学视角，引入面子倾向探讨中国组织员工的信息安全管理问题。面子是中国人相对稳定的人格特质，相当一部分人对面子得失十分看重，正是这种特殊的面子规范构成了企业中面子管理的重要内容。已有研究将面子看作是一种行为约束机制，然而在信息安全行为管理中，面子是否以及如何起作用尚未被探讨。

整合威慑理论、奖励机制和面子需求理论，在组织控制机制框架下构建研究模型，揭示基于奖励激励和组织威慑的正式控制机制和基于面子需求的非正式控制机制在引导员工遵守信息安全制度中的关键性作用。研究模型围绕员工遵守信息安全制度的意愿，重点解释奖惩机制的有效性、挣面子和护面子两种面子倾向对遵守意愿的作用以及基于奖惩的正式控制机制与基于面子需求的非正式控制机制之间的交互作用。

采用网络问卷调研法，依托专业的数据调研公司，将问卷链接随机推送给在实行了信息安全制度的企业中工作的正式员工。经过3周的数据收集和筛选，最终获取409份有效样本，基于PLS的结构方程和Smart PLS工具对研究模型进行假设验证。

研究结果表明，感知到的奖励和感知到的惩罚对员工的信息安全制度遵守行为决策起控制作用，且奖励激励的作用效果要优于组织威慑；面子倾向引导员工遵守信息安全制度，挣面子倾向和护面子倾向对正式控制机制与行为意愿间关系起负向调节作用。研究结果对中国情景下的信息安全行为管理提供了理论支撑和实践指导。

挣面子倾向；护面子倾向；信息安全行为管理；组织控制；奖惩机制

1 引言

近年来，信息安全事件的频发使企业逐渐意识到信息安全管理的必要性。然而，企业过分依赖安全技术，忽视了员工对信息资产的滥用和误用给信息安全带来的隐患。组织员工的内部威胁已经成为信息安全事件的首要诱因[1]，企业通过规定员工在信息安全中的义务和职责[2]以及信息安全意识的培养和安全知识与技能的灌输[3]等举措规范员工的信息安全行为。但是员工在使用信息资产的过程中总会有意或无意地忽视信息安全制度的规定[4]，从而导致信息安全事件愈演愈烈，信息安全制度的贯彻实施需要构建和完善相应的控制体系。

组织威慑和奖励机制是组织控制体系的组成部分[5]。组织威慑通过惩罚增加违规成本，从而负向强化员工遵守信息安全制度。然而学术界对组织威慑的作用存有争议[6]，组织威慑与信息安全行为之间的关联有待进一步验证[7-9]。奖励机制是激励员工遵守信息安全制度的重要举措，然而实证研究尚未发现两者之间的关联证据。此外，信息安全行为研究主要在西方社会情景下展开，不同文化情景下的研究结论往往不同[10]。儒家文化情景下的员工思维模式和行为方式有其独特性。面子是儒家文化在个体层面的重要表征，且基于面子的管理范式逐步为企业所探讨和应用[11-12]，面子机制对员工信息安全决策的影响作用尚未被探讨和验证。

当前中国信息安全研究主要从技术层面和法律层面开展[13]，缺少基于管理学和行为学视角的实证支持[14]。本研究整合威慑理论、奖励机制和面子需求理论，在组织控制机制框架下构建研究模型，并尝试揭示面子倾向在奖惩机制与信息安全行为决策关系中的调节作用，研究结论可为差别化管理中国员工的信息安全行为提供理论支撑和实际借鉴。

2 理论基础和相关研究评述

2.1 威慑理论

犯罪学领域的威慑理论认为个体是否从事犯罪活动取决于对利弊得失的权衡，如果个体认为从事某行为被惩罚的可能性较高，由此产生的后果的严重性程度较高，且受到惩罚的响应及时，那么该行为会被判定为风险性行为。一旦从事该行为所产生的风险超过了其带来的得益，人们会放弃实施该行为[15]，因为没有人希望被惩罚[6]。

组织威慑是组织控制机制的重要组成部分[5,16]，它通过惩罚手段警示员工的错误行为，从而负向强化员工遵守信息安全制度。而已有研究发现组织威慑并不总能有效地发挥作用[6]，SIPONEN et al.[17]认为威慑对那些使用中和技术的员工失效，因为他们擅长以一些借口(如否认责任、否认受害者等)来合理化自己的行为，为违规行为开脱以逃避惩罚；HU et al.[18]认为威慑仅仅是一种成本，如果违规带来的得益大于其成本，员工往往会参与到违规行为中，从而导致威慑机制形同虚设。因此，越来越多的研究开始探讨如何最大限度地发挥组织威慑对信息安全行为的引导作用。LIANG et al.[16]发现采取预防定向策略的员工更倾向于实施IT遵守行为以避免惩罚；LI et al.[19]和D′ARCY et al.[6]发现道德水平是组织威慑发挥作用的关键性调节变量。

2.2 奖励激励

控制理论认为通过奖励激励可以引导员工实施组织期望的行为[5]。一般认为，当员工履行了角色内行为或达到组织期望时，应该获得相应的奖励[20]，包括奖金、加薪、升职等[15]。奖励激励的关键性作用在于加强政策的约束和控制力[21]，如果信息安全制度的制定没有完善的奖励机制引导员工遵守，那么员工会认为该政策缺乏实施的必要性。BULGURCU et al.[22]的研究证实奖励增加员工的收益认知，对遵守信息安全制度态度的养成起正向促进作用。

奖励机制对员工遵守信息安全制度的激励作用已被实验研究所证实[5]，然而在实证研究中尚没有揭示两者之间的关系。已有研究认为奖励实施的前提是员工在一定时期内持续遵守信息安全制度，相比而言，员工往往会因偶尔一次的违规而受到处罚，从而使奖励化为泡影，因此，奖励的效果没有威慑产生的作用强烈[16]。此外，遵守行为往往体现在一些琐碎的具体工作中，如工作期间经常锁定计算机工作台和防止共享密码等，而这些工作很难通过有效的方式进行一一核查，事实上企业往往也只是通过定期抽查监控的方式进行管理，这也就意味着很难为奖励的实施提供一定的参考标准。尽管如此，部分企业依然重视奖励激励的积极性引导作用，如简伯特公司(Genpact)通过E-mail表扬信的方式对抽检合格的员工进行鼓励，同时依据每月累计的抽检达标成绩折算成积分用以兑换实物奖励等。此外，LIANG et al.[16]发现采取促进定向策略的员工更看重实施IT遵守行为所带来的利益，意味着奖励激励作用效果的发挥与组织威慑类似，同样受到一定条件的制约。本研究将探讨奖励机制在信息安全行为决策中的作用以及其发挥作用的条件。

2.3 面子与面子需求理论

在中国，面子(face)是与精神信念有关的概念，如常说的“人要脸树要皮”“死要面子活受罪”等俗语从一个侧面揭示了国人对面子的追求。胡先晋[23]最早对东西方文化情景下“面子”的概念进行区分，认为中国文化情景下的面子有两个组成部分，即脸和面。脸与个人的道德特质有关，被看作是一种强化道德准绳的社会惩罚机制或自我惩罚机制，而面则代表了通过成功或卖弄所达成的个人对威望和声誉的渴求。华人学者普遍认为中国人的面子包含社会性面子和道德性面子两个相辅相成的部分[24]。社会性面子反映了人们在社会关系中的他律性规范，与羞耻的概念相类似，如SIPONEN et al.[17]在探讨员工的信息安全违规行为时引入了羞耻的概念；道德性面子与个人的道德特质和赢得他人尊重相关，与罪这个概念联系密切，体现了在社会交往中的自我控制力。华人学者一般认为面子是一种人格特质因素，而在西方情景下面子被看作是一种情景因素。GOFFMAN[25]首先将西方情景下的面子看作是一种积极的社会价值，即面子是借由他人认可所产生的一种社会印象。显然，西方情景下的面子旨在寻求社会性面子，而在中国情景下面子这一概念的内涵更广。

根据陈之昭[26]的观点，本研究提出一个机制模型，探讨面子在组织信息安全行为管理中的作用及其与组织正式控制机制的关系，见图1。该金字塔模型由制度(正式控制机制)和面子(非正式控制机制)两部分组成。在底层，强制性的信息安全制度是组织信息安全目标实现的基础。组织通过制定信息安全制度强制性地对员工的信息安全行为进行控制和管理，员工必须在政策允许的范围内合理使用信息资产。组织对遵守制度的员工实施奖励，反之，对违规行为进行处罚。在上层，面子对员工的约束力表现为道德和社会两个层面。通常，违反信息安全制度被认为是不符合道德标准的行为。一旦员工违规，道德的约束力会使其产生内疚感，这种道德性消极情绪实际上是员工自律的表现。为了消除违背自身道德所产生的不良感知，员工会自觉地遵守信息安全制度。同样，面子(脸)对于那些注重社会声誉的员工同样具有约束力，他们往往认为违反信息安全制度是让人感到羞耻的，会被同事、领导等重要他人所耻笑或轻视。为了保持或提升自身在组织中的声誉或个人形象，他们通常不会违反信息安全制度，以防止丢脸的风险。此时，面子通过他律的形式对员工的信息安全行为进行规劝和引导。总而言之，面子作为一种非正式控制机制通过自我约束的自律形式(道德性面子)和社会规范的他律形式(社会性面子)以及由此产生的罪恶感和羞耻感来规劝违规行为和引导遵守行为。面子实质上可归结为一种行为激励，它可以激发、引导并维持社会期望的行为[27]，越是看重面子(特别是他人给的面子)的人，其行为越会受到大众监督，这也就意味着面子的约束力越强。

面子需求是中国人相对稳定的个人特质[26]。当面子受到威胁时，挣取有面子的需求、避免丢面子的需求以及留面子的保护性需求成为一种强大的社会动机，激励人们实施恰当的行为。正是基于这种心理需求促使面子机制发挥作用，由此产生的自我压力和社会劝诫往往比强制性的制度和政策更为有效[28]。本研究把面子需求定义为员工的一种认知性动机，有助于维持和获得面子以及避免在与信息安全相关的行为互动中丢面子。CHOU[29]提出了护面子倾向和挣面子倾向两种面子需求倾向。护面子倾向是一种消极的面子需求倾向，一般认为具有护面子倾向的人往往会对消极评价比较敏感，他们不喜欢过多的在社会大众面前自我曝光，倾向于保守和自我保护，以竭力避免丢面子。与此相反，具有挣面子倾向的人往往是积极的，他们倾向于通过自我营销等措施增加个人名誉并渴望获得社会认可。这两种面子倾向对人们的认知选择和情感反应产生不同效果的影响作用[29]。中国情景下的信息安全行为研究应该考虑文化因素，面子作为一种儒家文化特质对员工的信息安全行为决策有潜在的影响，但尚未有信息安全行为学研究对其进行探讨，本研究将探讨面子在信息安全行为决策研究中的作用路径。

3 研究模型和假设

信息安全制度遵守行为是指在信息安全制度准许的范围内实施的一系列与信息系统和信息资源使用相关的行为，旨在促进信息资产操作的安全、规范和高效。基于组织控制框架，整合威慑理论、奖励机制和面子需求理论，构建本研究的模型，见图2。根据该模型，员工遵守组织的信息安全制度的行为意愿受组织正式控制机制(奖励激励和组织威慑)以及非正式控制机制(面子需求)的共同作用，且非正式控制机制的面子需求对组织控制机制作用的发挥起调节作用。根据已有研究，本研究设置年龄、性别、学历、工作经验、就职部门、行业、计算机使用频率等统计学变量作为控制变量。

图1 面子与信息安全行为管理Figure 1 Face and Information Security Behavioral Management

图2 研究模型Figure 2 Research Model

组织威慑和奖励激励是两种典型的促进遵守行为的组织控制方法，作为组织正式控制机制的组成部分，这两项措施准确把握了员工趋利避害的行为动机，从而通过正、负强化对员工的信息安全行为进行干预，达成员工对信息安全制度的内化和遵守。

惩罚增加生理和心理的成本，会对员工产生消极影响，如收回权限、扣薪或延迟晋升等。作为一种正式的强制性组织控制机制，惩罚可以有效地对员工未来的行为进行控制和管理，以避免可能带来的消极后果[5,30]。理性选择理论认为人们总是愿意从事低成本的活动，因而员工往往会选择纠正自己的偏差行为，并努力与组织期望达成一致，即遵守信息安全制度。此外，期望理论表明，一旦人们认为可能的消极后果超出了预期，他们会采取行动避免这种结果的发生。因此，公平合理的惩罚机制会增加员工的成本认知，从而对违规行为形成威慑力，督促员工遵守信息安全制度的相关规定。因此，本研究提出假设。

H1感知到的惩罚对员工的信息安全制度遵守行为意愿有正向影响。

本研究中的奖励是指由组织给予的激励，如奖金、口头或书面表扬等，以表彰员工为组织信息安全付出的努力。领导者的奖励行为有利于形成员工的承诺、提升任务绩效和产生更多的组织公民行为[31]；同时，奖励的公平性也将提升员工士气，增强他们采取符合组织期望的行为的意愿[32]。根据理性选择理论，人们总是喜欢从事高收益的活动，奖励激励必然会带来更多的个人利益。此外，期望理论认为，当奖励有足够吸引力或想要得到奖励时，人们会参与到这些组织推荐的行为之中。因此，公平合理的奖励激励会增加员工的得益认知，从而督促员工实施遵守信息安全制度的行为。因此，本研究提出假设。

H2感知到的奖励对员工的信息安全制度遵守行为意愿有正向影响。

面子影响个人行为，特别是在组织中，面子被认为是一种非正式的行为控制机制[22,26]。一般而言，丢面子会导致羞愧或窘迫，进而诱发一系列消极情绪，如焦虑、害怕、生气、沮丧、压抑等[33-34]；而挣面子则会激发积极情绪，如高兴、开心等。因此，为了避免丢面子，或出于维持面子或挣面子的需要，人们往往会采取一些预防措施(如撕破脸、限制行为或回避等)或补偿措施(如解释和沟通、修正和补偿等)[25,34]。

遵守信息安全制度的行为符合组织期望和利益。持续性的遵守信息安全制度的行为为组织所提倡和鼓励，员工渴望达成组织期望，并借此塑造积极的自我形象[35]，这会让具有挣面子倾向的员工感觉到有面子。相比之下，违反信息安全制度的行为在一定程度上被组织所诟病并避免，从事违规行为将会面临丢面子的风险，如遭受来自同事或上司的奚落甚至轻视。为了避免丢面子的风险，具有护面子倾向的员工可能会转向实施遵守制度的行为策略。因此，员工的面子需求对信息安全制度的遵守行为有直接影响，故本研究提出假设。

H3护面子倾向对员工信息安全制度遵守行为意愿有正向影响；

H4挣面子倾向对员工信息安全制度遵守行为意愿有正向影响。

HOLLINGER[36]认为员工在组织中表现出的行为是组织规范的内化和外部社会压力交互作用的结果。本研究中规范的内化过程通过惩罚违规行为和奖励遵守行为来实现，外部压力则产生于员工感知到的面子规范对于实施信息安全决策所产生的压力，即员工遵守信息安全制度的行为是正式控制机制与非正式控制机制交互作用的结果。

在本研究情景下，面子是一个相对积极的概念，不包含虚荣、攀比、炫耀等消极层面的含义。如图1所示，个体对于面子的追求实质上是对个人道德信念和外部社会压力的良性感知，这种基于道德的自律性和基于社会压力的他律性的外在表现体现为个体面子的得失，从而产生对自身行为进行约束的动力。

具有较高护面子倾向的个体对负面评价非常敏感，通常行动上偏向保守和谨慎，避免做出违背社会规范的出格举动[29]。对于具有较高程度的护面子倾向的员工来讲，违反信息安全制度的行为对个人形象和声誉产生负面影响，对职业生涯和人际关系造成严重的潜在危害，这种来自个人规范和道德信念的压力会督促员工自觉地远离违规行为，继而实施组织认可的遵守行为。反之，低护面子倾向的人缺少必要的自律和社会压力知觉，他们的行为往往需要借助威慑的力量进行规劝。惩罚措施明确了哪些行为是被严令禁止的，而违反这些行为将增加行为成本，由此预防在未来发生违规行为的可能性。LI et al.[19]和D′ARCY et al.[6]发现个人规范和道德信念负向调节威慑与积极安全行为意愿的关系，表明威慑仅仅对缺乏个人规范或道德信念约束的人发挥作用。因此，本研究提出假设。

H5护面子倾向负向调节感知到的惩罚与信息安全制度遵守行为意愿之间的关系。

具有挣面子倾向的人渴望获得面子[37]，面子得失关系到个人的形象和声誉。特别是在中国的集体主义氛围下，良好的个人形象会获得更多的潜在优势，如得到晋升优势和获得领导的青睐等。因此，具有较高挣面子倾向的员工其行为模式与个人道德水平和社会声望相一致。他们对积极评价较为敏感，往往为自己设置较高的行为标准，并通过努力工作争取获得他人的认可和尊重[29]。然而，低挣面子倾向的人对道德和规范的压力感知程度较低，需要通过外部激励唤起其实施安全行为的动机。奖励激励加强了政策的约束和控制力[21]，特别是对于具有较低挣面子倾向的员工来说，适当的奖励激励有助于他们明确当前信息安全在组织环境下的重要性，对于建立和巩固员工的信息安全责任和义务有重要作用。因此，本研究提出假设。

H6挣面子倾向负向调节感知到的奖励与信息安全制度遵守行为意愿之间的关系。

4 研究方法

4.1 变量测量

测量量表中所有题项均来自已有研究，并针对本研究的特定情景进行适当的修订。护面子倾向和挣面子倾向的题项来源于CHOU[29]编制的面子倾向测量量表(protective and acquisitive face orientations scale,PAS)，该量表用以描述在挣面子和护面子两种动机下个人的普遍性倾向。本研究对该量表题项进行筛选，首先，借鉴前人的研究方法，仅选取与当前研究情景相关度最高的题项[38-39]。其次，借鉴EISENBERGER et al.[40]和NEVES et al.[41]的研究方法，仅选取因子载荷较高的题项。结合前两项筛选原则，构成本研究的测量量表。使用Likert 5级量表进行刻度，表征受访者对描述语句的赞同程度，1为强烈反对，5为完全同意。面子倾向测量量表在针对香港地区的样本研究中显示出良好的信度和效度[29,42]。

基于BOSS et al.[20]和SIPONEN et al.[43]的研究对感知到的奖励进行测量，用来表征员工实施信息安全行为时获得奖励的可能性。根据CHEN et al.[5]的研究对感知到的惩罚进行测量。遵守信息安全制度行为意愿的操作化定义为当员工对使用信息设备或访问数据资料时遵循组织规范或实施组织期望的信息安全行为的看法，基于BULGURCU et al.[22]的研究对该变量进行测量。同样采用Likert 5级量表进行刻度，表征受访者对描述语句的可能性判断，1为完全不可能，5为一定。上述量表内容在已有研究中均显示出良好的信度和效度。

4.2 试测

量表初步开发完成后，通过专家小组讨论，对相关量表的题项表述和内容进行调整。随后对量表进行试测，试测人员是来自实施了信息系统安全制度的IT公司和银行的正式员工。题项的因子载荷一般要求在0.500以上，为了保证收敛效度良好，根据试测检验结果剔除因子载荷小于0.600的题项。此外，根据被试反馈对问卷进行调整和完善，最大程度的保证量表的内容效度。

4.3 数据收集

采用问卷调研法进行数据收集。问卷调研依托专业的调研网站，开始于2015年4月，历时3周完成。问卷填写前，要求受访者回忆当前工作单位中信息安全制度的实施情况以及计算机等信息系统设施在日常工作中的应用情况。如果该受访者所在工作单位没有实施信息安全制度，或计算机等信息系统设施的使用频率和应用范围过低，则终止问卷填写。问卷的发放针对实施信息安全制度的组织，随机向其正式员工推送电子问卷，临时合同人员和离退休人员不包含在此次受访者的范围之内，对于合乎要求的参与者给予一定的现金奖励。此外，调研网站对问卷的收集过程进行必要的控制，如限制每个IP和每台电脑不能重复提交问卷；不允许提交非完整填写的问卷等。

PLS-SEM对样本量并没有严苛的限制，甚至在小样本下同样可以表现出良好的模型拟合效果[44]。经过数据收集，回收样本433份。研究人员对回收的样本数据进行筛选，剔除前后矛盾、明显的恶意回答等数据样本24份，最终得到有效问卷共计409份。回收样本分布特征见表1。

5 数据分析和结果讨论

选用PLS偏最小二乘法和Smart PLS 2.0工具进行数据分析。为了排除共同方法变异的影响，采用单因素检验法进行验证。检验发现未旋转时单个因子最大的累积变异数贡献率低于50%，不存在共同方法变异的问题。

5.1 测量模型检验

对量表的信度和效度进行检验，测量量表内容和各题项结果详见表2和表3。由表2可知，所有构念的组合信度(CR)在0.700以上，表明量表信度良好。平均变量萃取量AVE均大于0.500，且根据表3相关矩阵检验结果，所有题项在各自构念下的载荷值明显高于其他构念下的载荷值，AVE平方根值大于所有的相关系数，表明量表的区分效度良好。基于以上分析结果，量表信度和效度符合基本要求。

5.2 假设检验结果

采用偏最小二乘法进行全模型假设检验的结果见图3，模型的累计解释总体方差变异为44.200%。未发现控制变量对模型结果变量的作用效果，即在p<0.050的置信区间下路径系数不显著。加入控制变量后，模型的累计解释总体方差变异为46.400%。

假设检验结果显示，感知到的惩罚对信息安全制度遵守行为意愿具有显著的正向影响，β=0.135,p<0.001，H1得到验证。该研究结果与CHEN et al.[5]的研究结果相同，表明通过组织威慑手段对信息安全行为进行管理是东西方文化情景下的普遍性对策。感知到的奖励对信息安全制度遵守行为意愿具有显著的正向影响，β=0.344,p<0.001，H2得到验证。此外，通过路径系数比较发现，感知到的奖励的作用效果明显高于感知到的惩罚。表明中国情景下，通过采取奖励激励手段比组织威慑更能激发员工实施信息安全行为的热情。

表1 样本描述性统计Table 1 Descriptive Statistics of Sample

假设检验结果显示，护面子倾向对信息安全制度遵守行为意愿具有显著的正向影响，β=0.133,p<0.050；挣面子倾向对信息安全制度遵守行为意愿具有显著的正向影响，β=0.156,p<0.050。H3和H4得到验证，表明组织可以通过面子规范引导员工的信息安全行为。集体主义情景下的个体往往不是一个独立的实体，而总是将自身与其他人联系起来。多数情况下，个体的行动并不仅仅受制于个人意志，同时也必须满足他人的期望和制约。遵守信息安全制度是符合组织期望的行为，员工通过遵守信息安全制度获得组织的认可，从而在满足感或者成就感中获得面子。对于挣面子导向较高的人来讲，恪守礼仪[34](如遵守信息安全制度)在维护既有面子之余还能增加面子，出于获得面子的需求，员工选择遵守信息安全制度。此外，中国人的面子观念是以社会取向为主的，个人的行为标准依赖于团体或他人评价[34]。在这种他人指向性的面子互动中，人们倾向于极力避免来自他人或团体的不赞同[28]。护面子导向较高的人对这种不赞同的反应较为敏感，往往认为这种不赞同是对面子的极大威胁。由此，实施事先避免丢面子的行为[34]，如遵守信息安全制度的预防性措施，有助于员工降低丢面子的风险。

假设检验结果表明，护面子倾向在感知到的惩罚与信息安全制度遵守行为意愿间的关系中起负向调节作用，β=-0.099,p<0.050。通过F检验计算出H5调节效应的值为0.075(∈(0.020,0.150])，表明护面子倾向对正式控制机制(威慑)与信息安全制度遵守行为意愿关系具有弱调节效应。图4描绘了护面子倾向高(均值加标准差)和低(均值减标准差)两种情况下的调节效果。比较两条线的走势，护面子倾向越高的员工，感知到的惩罚对信息安全制度遵守行为意愿的激励作用越弱，H5得到验证。研究结果表明，处罚措施对于那些具有较低的护面子倾向的员工更具威慑效果。假设检验结果同样表明，挣面子倾向在感知到的奖励与信息安全制度遵守行为意愿间的关系中起负向调节作用，β=-0.128,p<0.050。通过F检验计算出H6调节效应的值为0.055(∈(0.020,0.150])，表明挣面子倾向对正式控制机制(奖励)与信息安全制度遵守行为意愿关系具有弱调节效应。图5描绘了挣面子倾向高(均值加标准差)和低(均值减标准差)两种情况下的调节效果。

注：*为p<0.050，***为p<0.001。

图3假设检验结果
Figure3ResultsofHypothesisTest

图4 护面子倾向的调节作用Figure 4 Moderating Effectof Protective Face Orientation

图5 挣面子倾向的调节作用Figure 5 Moderating Effectof Acquisitive Face Orientation

比较两条线的走势，挣面子倾向程度越高的员工，感知到的奖励对信息安全制度遵守行为意愿的激励作用越弱，H6得到验证。研究发现通过奖励措施激励具有较高挣面子倾向的员工遵守信息安全制度的实际效果要比激励具有较低挣面子导向的员工弱。

面子倾向对奖惩机制与信息安全制度遵守行为意愿之间关系起负向调节作用，该结论表明，尽管基于奖惩的组织正式控制机制和基于面子需求的非正式控制机制均对员工的信息安全行为产生引导作用，但是发挥作用的前提不同。根据面子需求程度的差异，可以将员工分为好面子的员工和不好面子的员工。对于好面子的员工而言，他们看中自身的声誉和个人形象，或者对丢面子有着天然的顾虑，而这种对于面子得失的需求动机激发了他们的自我管理或外部压力体验，从而实施积极的信息安全行为。而对于不好面子的员工而言，他们对于面子的得失缺乏敏感，单纯依靠面子管理无法取得应有的效果，还需要借助奖惩机制激发他们对于个人得利和行动成本的认知，从而引导其遵守信息安全制度。根据图4所示，惩罚机制对于好面子的员工的威慑效果并不明显，这种丢面子的顾虑是驱动其实施遵守行为的重要动机；而对于不好面子的员工而言，通过施加威慑力，其信息安全制度遵守行为意愿得到明显的提升。根据图5所示，奖励对于两种类型的员工均产生不同程度的激励作用，但是相比较而言，激励对于不好面子的员工的行为引导效果更佳，而对于好面子的员工而言，自身对面子的追求同样是其遵守信息安全制度的重要驱动力。

6 结论

行为学视角下的信息安全管理对组织的信息资源配置和员工行为控制具有重要意义。基于组织控制机制框架，整合以奖励激励和组织威慑构成的正式控制机制以及以面子需求为内容的非正式控制机制构建研究模型，探讨增强信息安全行为管理有效性的关键路径。研究结果表明，通过实行有效的奖惩机制，可以达到通过组织强制力规范员工实施信息安全行为的目的；以面子需求为内容的非正式控制机制对员工的信息安全行为起引导作用，面子需求是驱动员工遵守信息安全制度的重要动机。研究发现，面子需求对奖惩机制的调节作用，即护面子倾向负向调节感知到的惩罚与信息安全制度遵守行为意愿之间的关系，挣面子倾向负向调节感知到的奖励与信息安全制度遵守行为意愿之间的关系。研究揭示了信息安全行为管理中实施正式控制机制的重要性和非正式控制的必要性，通过引入面子需求完善当前组织信息安全管理的机制设计，以达到对员工行为的约束和引导。

本研究的创新性和学术意义在于：①揭示基于惩罚的正式控制机制对员工遵守信息安全制度的行为意愿有强制性威慑作用。惩罚能够唤起员工对行为成本的感知和计算，出于成本规避的考虑，促使员工改正自身的违规行为并避免未来违规的发生。组织威慑实质是通过负向刺激的方式督促员工实施恰当的信息安全行为。②证实基于奖励的正式控制机制对员工遵守信息安全制度的行为意愿同样具有正向推动作用，且其作用效果明显优于威慑。尽管已有研究多数认为奖励激励在组织的具体实施过程中会面临诸多困难，但是本研究结果证实，通过口头激励和实物奖励的方式能够促进员工对于实施信息安全行为的得利认知，这种正向激励的方式对实施信息安全行为有良好的推动作用。③面子需求在信息安全行为管理中起积极作用。面子需求作为文化变量被首次引入到信息安全行为管理中，揭示了员工无论是出于挣面子的动机还是护面子的动机，均会为了自身的面子顾虑而遵守信息安全制度。研究表明，这种基于面子需求的非正式控制机制同样可以引导信息安全行为。④揭示了面子需求对正式控制机制的调节路径，发现了基于面子需求的非正式控制机制和基于奖惩的正式控制机制发挥作用的前提条件，奖惩机制的作用力度与员工的面子倾向负相关。尽管奖惩机制对员工的信息安全行为有正向的引导作用，但奖惩措施对面子倾向程度较低的员工更为有效。

研究结论对信息安全行为管理具有重要参考价值和实践意义。①完善组织正式控制机制。对员工信息安全行为的管理不能一味地通过惩罚手段，适时的奖励举措更能激发员工的安全行为。因此，组织应重视奖励手段的积极作用，设置公平合理的奖励考核机制，通过累计积分换购等形式激励员工，以实现信息安全目标。此外，在完善物质激励措施的同时，尝试通过荣誉激励的形式补充现有的奖励方式，如通过树立标兵典型增强员工对于信息安全行为的关注和重视。②重视面子需求的激励作用。对面子的研究有助于组织实现员工的差异化管理，针对不同面子倾向的员工分别采取不同的奖惩刺激，实现对其信息安全行为的控制和引导。同时，对于好面子的员工可通过“给面子”或“留面子”的工具性行为激发他们的自我行为约束。③信息安全管理不能仅仅局限于盲目的引入安全技术，更应该重视对员工行为的引导和规范，通过对奖励激励、组织威慑和面子需求的综合运用，对员工实行差别化管理，引导员工从思想上养成信息安全意识，从行为上自觉维护信息安全，最终实现安全目标。

研究尚存在不够完善和需要拓展之处。①考虑到研究情景，本研究根据前人的经验，对面子倾向量表进行筛选，有选择的保留了因子载荷较高的题项。尽管如此，数据处理过程中仍然有部分题项因因子载荷过低被剔除，未来研究应开发更加符合中国大陆组织文化情景的面子研究量表。②信息安全行为管理需要更多中国情景下的探讨，无论是基于中国样本的验证性研究，还是引入文化要素的探索性研究，都应该积极尝试，以构建符合中国当前组织实际的信息安全管理模式。

[1]PADAYACHEE K.Taxonomy of compliant information security behavior.Computers&Security,2012,31(5):673-680.

[2]WHITMAN M E.Enemy at the gate:threats to information security.CommunicationsoftheACM,2003,46(8):91-95.

[3]D′ARCY J,HOVAV A,GALLETTA D.User awareness of security countermeasures and its impact on information systems misuse:a deterrence approach.InformationSystemsResearch,2009,20(1):79-98.

[4]WORKMAN M,BOMMER W H,STRAUB D.Security lapses and the omission of information security measures:a threat control model and empirical test.ComputersinHumanBehavior,2008,24(6):2799-2816.

[5]CHEN Y,RAMAMURTHY K,WEN K W.Organizations′ information security policy compliance:stick or carrot approach?.JournalofManagementInformationSystems,2012,29(3):157-188.

[6]D′ARCY J,HERATH T.A review and analysis of deterrence theory in the IS security literature:making sense of the disparate findings.EuropeanJournalofInformationSystems,2011,20(6):643-658.

[7]CHENG L,LI W,ZHAI Q,et al.Understanding personal use of the internet at work:an interated model of neutralization techniques and general deterrence theory.ComputersinHumanBehaivor,2014,38:220-228.

[8]JOHNSTON A C,WARKENTIN M,SIPONEN M.An enhanced fear appeal rhetorical framework:leveraging threats to the human asset through sanctioning rhetoric.MISQuarterly,2015,39(1):113-134.

[9] XUE Y,LIANG H,WU L.Punishment,justice,and compliance in mandatory IT settings.InformationSystemsResearch,2011,22(2):400-414.

[10] HOVAV A,D′ARCY J.Applying an extended model of deterrence across cultures:an investigation of information systems misuse in the U.S.and South Korea.Information&Management,2012,49(2):99-110.

[11] 陈炳,高猛.“面子”文化与管理之道:中国式管理的文化生态学视角.管理学报,2010,7(6):797-803.

CHEN Bing,GAO Meng.Golden rules of management in Chinese face culture based on cultural ecosystem theory.ChineseJournalofManagement,2010,7(6):797-803.(in Chinese)

[12] 王庆娟,张金成.工作场所的儒家传统价值观:理论、测量与效度检验.南开管理评论,2012,15(4):66-79,110.

WANG Qingjuan,ZHANG Jincheng.Confucian traditional values at workplace:theory,measurement and validation.NankaiBusinessReview,2012,15(4):66-79,110.(in Chinese)

[13] 惠志斌.国内信息安全研究发展脉络初探:基于1980-2010年CNKI核心期刊的文献计量与内容分析.图书情报工作,2012,56(6):14-19.

HUI Zhibin.Development of domestic information security researches:based on the literature methological analysis and content analysis in the core journals of CNKI(1980-2010).LibraryandInformationService,2012,56(6):14-19.(in Chinese)

[14] 林润辉,谢宗晓,刘琦.信息安全管理研究回顾、脉络梳理及未来展望.信息系统学报,2015,15:76-88.

LIN Runhui,XIE Zongxiao,LIU Qi.Information security management research review,carding and future prospects.ChinaJournalofInformationSystems,2015,15:76-88.(in Chinese)

[15] BARLOW J B,WARKENTIN M,ORMOND D,et al.Don′t make excuses!Discouraging neutralization to reduce IT policy violation.Computers&Security,2013,39(B):145-159.

[16] LIANG H,XUE Y,WU L.Ensuring employees′ IT compliance:carrot or stick?.InformationSystemsResearch,2013,24(2):279-294.

[17] SIPONEN M,VANCE A.Neutralization:new insights into the problem of employee systems security policy violations.MISQuarterly,2010,34(3):487-502.

[18] HU Q,XU Z,DINEV T,et al.Does deterrence work in reducing information security policy abuse by employees?.CommunicationsoftheACM,2011,54(6):54-60.

[19] LI H,ZHANG J,SARATHY R.Understanding compliance with internet use policy from the perspective of rational choice theory.DecisionSupportSystems,2010,48(4):635-645.

[20] BOSS S R,KIRSCH L J,ANGERMEIER I,et al.If someone is watching,I′ll do what I′m asked:mandatoriness,control,and information security.EuropeanJournalofInformationSystems,2009,18(2):151-164.

[21] FREDERICKSON J R,WALLER W.Carrot or stick?Contract frame and use of decision-influencing information in a principal-agent setting.JournalofAccountingResearch,2005,43(5):709-733.

[22] BULGURCU B,CAVUSOGLU H,BENBASAT I.Information security policy compliance:an empirical study of rationality-based beliefs and information security awareness.MISQuarterly,2010,34(3):523-548.

[23] 胡先晋.中国人的脸面观∥翟学伟.中国社会心理学评论(第二辑).北京:社会科学文献出版社,2006:1-17.

Hsien Chin HU.The Chinese concepts of “face”∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:1-17.(in Chinese)

[24] 金耀基.“面”、“耻”与中国人行为之分析∥翟学伟.中国社会心理学评论(第二辑).北京:社会科学文献出版社,2006:48-64.

KING Ambrose Yeo-chi.Social interactions among the Chinese:on the issue of face∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:48-64.(in Chinese)

[25] GOFFMAN E.On face-work:an analysis of ritual elements in social interaction.PsychiatryInterpersonal&BiologicalPrecesses,1955,18(3):213-231.

[26] 陈之昭.面子心理的理论分析与实际研究∥翟学伟.中国社会心理学评论(第二辑).北京:社会科学文献出版社,2006:107-160.

CHEN Zhizhao.Theoretical analysis and empircal study of the face issue∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:107-160.(in Chinese)

[27] 赵卓嘉.面子作用于知识型员工任务冲突选择的内在机理:基于期望理论的实证研究.财经论丛,2013(4):101-106.

ZHAO Zhuojia.Impact of face on knowledge workers′ task conflict handling choices:an empirical research based on the expectancy theory.CollectedEssaysonFinanceandEconomics,2013(4):101-106.(in Chinese)

[28] 赵卓嘉.面子理论研究评述.重庆大学学报:社会科学版,2012,18(5):128-137.

ZHAO Zhuojia.A literature review of mianzi.JournalofChongqingUniversity:SocialScienceEdition,2012,18(5):128-137.(in Chinese)

[29] CHOU M L.Protectiveandacquisitivefaceorientations:apersonbysituationapproachtofacedynamicsinsocialinteraction.Hong Kong:The University of Hong Kong,1996:93-110.

[30] ARVEY R D,IVANCEVICH J M.Punishment in organizations:a review,propositions,and research suggestions.AcademyofManagementReview,1980,5(1):123-132.

[31] PODSAKOFF P M,BOMMER W H,PODSAKOFF N P,et al.Relationships between leader reward and punishment behavior and subordinate attitudes,perceptions,and behaviors:a meta-analytic review of existing and new research.OrganizationalBehaviorandHumanDecisionProcesses,2006,99(2):113-142.

[32] JACKSON E M,ROSSI M E,HOOVER E R,et al.Relationships of leader reward behavior with employee behavior:fairness and morale as key mediators.Leadership&OrganizationDevelopmentJournal,2012,33(7):646-661.

[33] REDDING S G,NG M.The role of “face” in the organizational perceptions of Chinese managers.InternationalStudiesofManagement&Organization,1983,3(3):92-123.

[34] 朱瑞玲.中国人的社会互动:论面子的运作.中国社会学刊,1987,11:23-53.

CHU Rueyling.Social interactions among the Chinese:on the issue of face.ChineseJournalofSociology,1987,11:23-53.(in Chinese)

[35] KIM J Y,NAM S H.The concept and dynamics of face:implications for organizational behavior in Asia.OrganizationScience,1998,9(4):522-534.

[36] HOLLINGER R C.Acts against the workplace:social bonding and employee deviance.DeviantBehavior,1986,7(1):53-75.

[37] LAU Y,FU KEUNG WONG D.Are concern for face and willingness to seek help correlated to early postnatal depressive symptoms among Hong Kong Chinese women?A cross-sectional questionnaire survey.InternationalJournalofNursingStudies,2008,45(1):51-64.

[38] D′ARCY J,HERATH T,SHOSS M K.Understanding employee responses to stressful information security requirements:a coping perspective.JournalofManagementInformationSystems,2014,31(2):285-318.

[39] DETERT J R,TREVIO L K,SWEITZER V L.Moral disengagement in ethical decision making:a study of antecedents and outcomes.JournalofAppliedPsychology,2008,93(2):374-391.

[40] EISENBERGER R,STINGLHAMBER F,VANDENBERGHE C,et al.Perceived supervisor support:contributions to perceived organizational support and employee retention.JournalofAppliedPsychology,2002,87(3):565-573.

[41] NEVES P,EISENBERGER R.Perceived organizational support and risk taking.JournalofManagerialPsychology,2014,29(2):187-205.

[42] WANG H.Helpseekingtendencyinsituationofthreattoself-esteemandface-losing.Hong Kong:The University of Hong Kong,2002:189-193.

[43] SIPONEN M,ADAM MAHMOOD M,PAHNILA S.Employees′ adherence to information security policies:an exploratory field study.Information&Management,2014,51(2):217-224.

[44] REINARTZ W,HAENLEIN M,HENSELER J.An empirical comparison of the efficacy of covariance-based and variance-based SEM.InternationalJournalofResearchinMarketing,2009,26(4):332-344.

OrganizationControlandInformationSecurityPolicyCompliance:TheModeratingEffectofFaceOrientation

CHEN Hao，LI Wenli，CHEN Lirong

Faculty of Management and Economics, Dalian University of Technology, Dalian 116023, China

Intentional insiders′ misuse and abuse of information systems resources(i.e. confidential data, computer equipment) represent significant potential threats to organizational information security. Increasingly, corporations realize that technology-based solutions alone cannot reduce these information security risks. Thus it has become important to understand how to discipline and guide employees in their information security behaviors through effective managerial mechanism design.

From the behavioral perspective, this study introduces face orientation factors to the literature of Chinese employee′s information security behavior decision-making. Face(or Mianzi) is one type of relatively stable personality for Chinese people, and a significant number of people have face-saving related considerations. For example, they instinctively fear of face-losing and pleased to have face-gaining. It is this special rule relating to face that drives entrepreneurs to develop face management practices. Prior studies believed that face can be deemed as behavior-restraining mechanism, however, whether and how this mechanism work on information security management have not yet discussed.

Drawing upon deterrence theory, reward and face orientation theory, we develop a research model following the organizational control framework, to investigate the key roles of perceived reward and perceived punishment in affecting employee′s compliance with information security policies through formal or informal control mechanism. This research model deals with three important questions in employee′s ISPs compliance intention: ①The effectiveness of the reward and punishment mechanism; ②The effect of two kinds of face orientation on compliance intention; and ③The interaction effect between formal(reward and punishment) and informal mechanisms(face orientations).

Data were collected through a web-based survey. We delegated the processes of survey issuance and data collection to a professional data research firm. The data research firm randomly pushed the survey link to the employees who are regulated by their companies′ ISPs. After a three-week data collection period and necessary screening, 409 valid surveys were completed and used for further data analysis. The research model and hypotheses were tested using PLS-based structural equation modeling with Smart PLS 2.0.

The results show that both perceived reward and perceived punishment are strong determinants of ISPs compliance intention, whereas perceived reward shows a stronger effect than perceived punishment. We also find that face orientation affects employee′s ISPs compliance intention positively. Besides, this study uncovers that protective face orientation and acquisitive face orientation negatively moderate the relationship between formal control mechanism and ISPs compliance intention. These findings extend our understanding of information security management in Chinese context and provides academical and practical implications.

acquisitive face orientation；protective face orientation；information security behavioral management；organization control；punishment and reward

Date:December 19th, 2015

DateMay 5th, 2016

FundedProjectSupported by the National Natural Science Foundation of China(71272092,71431002)

Biography:CHEN Hao is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. His research interests cover the information security management and behaviors. His representative paper titled “Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence” was published in the 18thPacific Asia Conference on Information Systems(PACIS 2014). E-mail：ch9569@mail.dlut.edu.cn LI Wenli, doctor in engineering, is a professor in the Faculty of Management and Economics at Dalian University of Technology. His research interests include information security management, reputation and trust management in e-commerce. He is the principal investigator of the project titled “Research on participant′s reputation and trust in social commerce: mechanisms and trading decision” , funded by the National Natural Science Foundations of China(71431002). E-mail：wlli@dlut.edu.cn CHEN Lirong is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. Her research interests cover e-commerce and information management, consumer behavior decision making. E-mail：lrchen10@126.com

C931.6

A

10.3969/j.issn.1672-0334.2016.03.001

1672-0334(2016)03-0001-12

2015-12-19修返日期2016-05-05

国家自然科学基金(71272092,71431002)

陈昊，大连理工大学管理与经济学部博士研究生，研究方向为信息安全管理与行为等，代表性学术成果为“Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence”，发表在PACIS 2014，E-mail：ch9569@mail.dlut.edu.cn 李文立，工学博士，大连理工大学管理与经济学部教授，研究方向为信息安全管理、电子商务信誉和信任管理等，主持国家自然科学基金重点项目“社会化商务中参与者的信誉和信任机理及交易决策研究”(71431002)，E-mail：wlli@dlut.edu.cn 陈立荣，大连理工大学管理与经济学部博士研究生，研究方向为电子商务与信息管理、用户行为决策等，E-mail：lrchen10@126.com