本文内容如下e-collection /主题问题:

电子邮件通信,基于web的通信,安全消息传递(117)

发表在第22卷,第一名(2020): 1月

为什么员工(仍然)点击网络钓鱼链接:医院调查

为什么员工(仍然)点击网络钓鱼链接:医院调查

为什么员工(仍然)点击网络钓鱼链接:医院调查

本文作者:

穆罕默德·贾拉里1、2 作者:Orcid 迈科勃拉克3. 作者:Orcid 丹尼尔Westmattelmann3. 作者:Orcid 格哈德Schewe3. 作者:Orcid
文章 作者 引自(38) Tweetations (23) 指标

    原始论文

    1麻省总医院技术评估研究所,哈佛医学院,波士顿,马萨诸塞州,美国

    2麻省理工学院斯隆管理学院,剑桥,马萨诸塞州,美国

    3.明斯特大学管理中心,德国明斯特

    通讯作者:

    迈克·布鲁克斯博士

    管理中心

    明斯特大学

    Universitaetsstraße 14 - 16

    门斯特干酪

    德国

    电话:49 2518323539

    电子邮件:maike.bruckes@wiwi.uni-muenster.de


    背景:医院一直是网络钓鱼攻击的主要目标之一。尽管努力提高信息安全合规性,但医院仍然严重遭受此类攻击,影响了护理质量和患者安全。

    摘要目的:本研究旨在通过分析实际点击数据来调查为什么医院员工决定点击网络钓鱼邮件。

    方法:我们首先使用计划行为理论(TPB)和整合信任理论来衡量影响点击行为的因素。然后,我们在医院进行了调查,并使用结构方程模型来研究依从性意愿的组成部分。我们将员工的调查结果与他们在网络钓鱼活动中的实际点击数据进行了匹配。

    结果:我们的分析(N=397)表明,TPB因素(态度、主观规范和感知行为控制)以及集体感觉信任和对信息安全技术的信任与合规意愿呈正相关。然而,合规意愿与合规行为之间的关系并不显著。只有员工的工作量水平与员工点击网络钓鱼链接的可能性呈正相关。

    结论:这是为数不多的通过分析点击数据而不是使用自我报告数据来观察遵从性行为的信息安全和决策制定研究之一。我们表明,在网络钓鱼电子邮件的背景下,意图和合规性可能不像之前假设的那样紧密相关;因此,医院必须对不易管理的脆弱性保持警惕。重要的是,鉴于工作量与违规行为(即点击网络钓鱼链接)之间存在显著关联,医院应更好地管理员工的工作量,以增加信息安全。我们的研究结果可以帮助医疗保健组织增强员工对其网络安全政策的遵从性,并减少点击网络钓鱼链接的可能性。

    [J] .中国医学信息学报,2016;22(1):563 - 567

    doi: 10.2196/16775

    关键字

    信息安全管理 网络钓鱼电子邮件 合规 信任 计划行为理论


    背景

    健康记录的数字化正在极大地改变医疗保健行业,建立更好的治疗效果和医疗保健体验。通过提供和共享信息,数字医疗保健信息系统(IS)在许多方面都是有益的:它们减少了人为错误的机会,对患者进行连续和自主的监测,并提高了效率[1].然而,日益复杂的数字系统也带来了重大的安全挑战。医疗机构尤其容易受到信息安全威胁,因为数据泄露可能对患者的生命造成直接和严重的后果[2-4].针对医院的袭击在数量和复杂程度上都在增加。5].

    网络安全是指保护互联网网络及其机密信息免受不必要的入侵和意外泄露[6].在信息安全管理中,人是最薄弱的环节——任何违反信息安全政策的员工都会使其组织容易受到网络安全攻击[78].发现员工不遵守ISP的“原因”对于保护组织的信息至关重要。

    网络钓鱼邮件证明了这个问题。网络钓鱼是指以虚假身份发送电子邮件,诱使个人泄露信息的行为。这些欺诈性电子邮件是针对那些可以访问系统的人来访问信息系统的。网络钓鱼造成重大网络安全风险的原因有两个:(1)员工通常对组织内的IS有详细的了解,并且在工作期间经常访问数据;(2)即使一个无辜的点击也可能使组织暴露在几乎无法追踪的黑客网络中[9-12].最近的一项研究分析了医疗机构的网络钓鱼活动,发现平均多达14.2%的网络钓鱼邮件被员工点击[5].组织已经采取措施,通过提供培训计划来教育和提高网络安全意识来解决这个问题,但这些努力仍然不够。事实上,研究表明,强制性培训计划并没有对减少网络钓鱼链接的点击率产生太大的影响[13].最近的证据显示,约70%的医院未能建立或维持足够的私隐及保安措施[14].

    为了调查员工的网络服务依从性,以往的研究往往侧重于基于计划行为理论的认知信念[89].TPB经常得到验证,是衡量ISP合规性的不同前因的最常用理论[15-18].然而,以前的研究并没有充分调查这些认知信念的组成部分。其中一个要素就是信任。信任影响个人如何评估成本效益考虑和做出决定,并最终影响他们的行为[1920.].信任已经从广泛的研究方向进行了调查,并已发展成为一个被广泛接受和确立的概念[21-24].

    特别是在网络钓鱼攻击方面,有两个主要问题没有得到解答:(1)信任在预测员工合规意愿方面的作用是什么?(2)合规的程度意图符合法规要求行为?为了解决这些问题,我们借鉴了TPB,并调查了促使人们遵守信息安全指导方针的因素。我们进行了一项调查,并使用来自网络钓鱼活动的数据来强调员工的态度和信念与他们实际的合规行为之间的关系。

    该研究包括两个步骤:首先,作为网络钓鱼测试的一部分,医院员工收到一封虚假的网络钓鱼邮件。其次,大约相隔6周,所有人(点击者和非点击者)都回答了一项调查,调查了他们对网络安全政策的态度和立场。当我们将个人在调查中的定性回答与他们自己的点击数据进行比较时,我们能够观察并比较他们的合规意图与实际行为。

    本文的组织结构如下:首先介绍了本文的理论背景和研究模式。接下来,我们介绍了我们的研究方法,包括网络钓鱼策略的结构和调查。最后,我们给出了我们的数据分析、结果和讨论。

    计划行为理论

    TPB已成为解释人类行为的最具影响力的框架之一[2526].城规会解释态度、主观规范和对行为控制的感知(见Ajzen [27[对于这些要素的定义]形成个人执行某种行为的意图——意图是实际行为的直接前提。假设对ISP的积极态度可以预测合规意愿。Bulgurcu等[9关注员工对合规的态度和他们的合规意愿之间的联系,并发现了一种积极的关系。同样,Ifinedo [28调查了管理人员和信息系统专业人员的ISP合规性。研究结果表明,合规态度、主观规范和反应效能正向影响员工的总体ISP合规意愿。虽然这些发现都表明TPB一般适用于信息安全研究中的意图预测,但具体情境(如网络钓鱼)是对行为意图的主要影响因素,因为情境可能会对结果产生实质性影响。因此,我们在先前研究的基础上提出TPB变量与员工遵守ISP的意愿相关:

    H1a:对ISP的态度与遵守意愿正相关。
    H1b:主观规范与遵守意愿正相关。
    H1c:感知行为控制与服从意愿正相关。
    H2:遵从意愿与遵从行为正相关。

    集体信任

    我们认为影响合规性的第二个因素是集体信任。在他们的综述中,Mayer等人[29[]表明,信任影响员工的行为,因为它会影响人际关系中的冒险行为,并影响组织中的过程和结果。信任的定义是“一种心理状态,包括基于对他人意图或行为的积极期望而愿意接受脆弱”[24].

    以前的研究表明,信任会影响城市规划委员会的态度。Pavlou等[30.调查了信任是否与对某种产品的态度有关。他们发现,对提供产品的人的信任对产品态度有显著影响。一个组织的管理是负责在公司内部提供一个工作环境,使员工能够专注于他们的任务。此外,信任已被证明会影响组织支持和承诺[3132]和组织公民行为[3334].元分析证据表明,通过信任管理层,员工会对公司更加忠诚,也会更愿意遵守组织政策[35].一些研究报告了信任与依从性之间的正相关关系[36-39].除了这种关系,多伊奇·萨拉蒙和罗宾逊[40发现信任感能提高员工的责任规范,进而提高他们的绩效。我们假设这一效应也适用于这种情况:感觉受到管理层信任的员工会更密切地考虑自己的行为,以免违背管理层给予他们的信任。

    基于这些考虑,我们认为集体感觉信任影响员工对ISP的态度和他们感知到的主观规范。因此,我们建议:

    H3a:集体信任感与网络服务提供商态度正相关。
    H3b:集体感觉信任与主观规范正相关。

    信任科技

    虽然信任经常在人际层面上进行研究,但最近的发展表明,对技术的信任同样重要。4142].对技术的信任已被证明可以增加使用技术的接受度和意图[4143],例如资讯及科技产品[44]和云技术[45].

    当个人发现自己处于不得不依赖技术的危险境地时,对技术的信任就变得至关重要了。46].个人对特定技术的功能很敏感——类似于对人的信任,对技术的信任是基于对技术属性的感知而形成的。Lankton等[22建议区分对功能、有用性和可靠性的看法,作为影响对技术信任的因素。在信息安全的背景下,虽然功能和可靠性是高度相关的,但其有用性(例如防病毒)是相当有限的。对技术的高度信任将提高面对网络威胁的信心水平。因此,我们假设:

    H4:对技术的信任,包括(1)可靠性和(2)功能性,与感知行为控制呈正相关。

    在个人感知到更高的网络攻击威胁的情况下,对潜在危害的关注可能会上升。Johnston等[11]讨论了恐惧诉求对IS安全的影响,并认为威胁越严重或越容易受到影响,依赖网络安全软件能力的个人就越少。因此,感知到的风险越高,人们就越希望关注软件没有充分消除威胁的情况,即网络钓鱼邮件。因此,我们建议:

    H5:感知风险与合规行为正相关。

    另一方面,面对高工作量的员工可能无法执行认知考虑来决定遵循ISP。员工甚至可能以他们的高工作量为借口违反ISP [12].在高工作量使员工无法注意电子邮件细节的情况下,无论是有意还是无意,打开潜在危险电子邮件的可能性都可能增加。因此,我们建议:

    H6:高工作量与合规行为呈负相关。

    把这些假设放在一起,图1提出了我们的研究模型。

    图1所示。提出的研究模式。H:假设。
    查看此图

    数据和步骤

    数据收集分两步进行。在第一步中,一家专业的网络安全公司向美国东部三家医院网络的员工发送了网络钓鱼邮件。网络钓鱼活动被设计成类似于真实的网络钓鱼邮件,因此参与者不知道他们正在接受测试,并且会表现得好像他们收到了真正的网络钓鱼邮件。所有的钓鱼邮件都包含一个超链接。收集的数据包括接收电子邮件的个人身份,以及他们是否点击了链接。这一信息当时只提供给各自的医院。

    第二步,我们开发了一个基于网络的调查工具。为了比较点击者和非点击者的结果,我们基于同一份问卷创建了2个不同的调查链接。中列出了具有基础项的键构造表1

    表1。调查项目。
    结构和项目 载荷 克伦巴赫α
    对信息安全政策的态度 .86

    		我相信建立清晰的信息安全政策、实践和技术对我们的组织是有益的。一个 0.891

    		我相信这对我们的组织执行其信息安全策略、实践和技术是有用的。一个 0.756

    		我相信对我们的组织来说,建立清晰的信息安全政策、实践和技术是一个好主意。一个 0.884
    主观规范 公布

    		影响我行为的人会认为我应该遵循政策和程序,使用网络安全技术。一个 0.844

    		那些意见对我很重要的人会认为我应该遵循政策和程序,使用网络安全技术。一个 0.955

    		我尊敬的人会认为我应该遵守政策和程序,使用网络安全技术。一个 0.952
    感知行为控制 .79

    		我能够遵循网络安全政策、程序和技术(例如,防病毒或其他产品)。一个 0.665

    		我有资源和知识来遵循政策和程序,并使用网络安全技术。一个 0.917

    		我接受过充分的培训,能够遵守政策和程序,并使用网络安全技术。一个 0.850
    遵守的意向
    		1

    		我打算在工作中遵守信息安全政策和实践。c 1
    集体信任 .77点

    		管理层让我对他们认为重要的问题产生影响。一个 下降了

    		管理层觉得没有必要这么做留意一下在我身上。一个 0.773

    		即使管理层无法监督我的行为,他们也会很乐意给我分配一项关键任务。一个 0.735

    		管理层相信员工是可以信任的。一个 0.688
    技术信任 .95

    		我工作场所的网络安全软件(例如杀毒软件和防火墙)是可靠的。一个 0.897

    		我工作场所的网络安全软件没有让我失望。一个 0.939

    		我工作场所的网络安全软件提供了精准的服务。一个 0.893
    对技术功能的信任 .95

    		我工作场所的网络安全软件有我需要的功能。一个 0.946

    		我工作场所的网络安全软件具有我的任务所需的功能。一个 0.929

    		我工作场所的网络安全软件有能力做我想让它做的事情。一个 0.909
    感知信息安全风险 公布

    		在我的工作场所,网络安全漏洞给我的电脑和数据带来的风险是d 0.704

    		在我的工作场所,我的电脑在未来12个月内因互联网安全漏洞而中断的可能性是d 0.918

    		在我的工作场所,我的电脑成为互联网安全漏洞受害者的可能性是d 0.967

    		在我的工作场所,我的电脑和数据对互联网安全风险的脆弱性是d 0.910
    工作负载 总共花掉

    		我觉得我在工作中处理的请求、问题或投诉的数量超出了预期。一个 下降了

    		我觉得我的工作量影响了我的工作效果。一个 0.588

    		我觉得工作很忙。(右)e 0.916

    		我感到工作压力很大。(右)e 0.818

    一个非常同意,有点同意,既不同意也不同意,有点不同意,非常不同意。

    b不适用。

    c单项测量;非常同意,同意,有点同意,既不同意也不同意,有点不同意,不同意,非常不同意。

    d非常高,有些高,既不高也不低,有些低,或非常低。

    e(R):反向编码项;总是,大多数时候,大约一半的时候,有时,从来没有。

    由于医院的IT部门知道点击者的身份,他们向点击过钓鱼链接的员工分发了一个调查链接,向没有点击过钓鱼链接的员工分发了另一个调查链接。这种分离有助于促进调查分析的匿名性,因为我们没有要求医院提供任何点击数据。参与者被告知他们参与我们的调查是自愿和匿名的。

    通过结合这两个步骤,我们的目标是独立和系统地评估态度和属性与实际点击行为相关的程度。在第一步收集点击数据的好处是,结果不会被调查扭曲。为了消除人们对点击或未点击钓鱼邮件是否会影响调查行为的担忧,调查在钓鱼邮件发出后约6周进行分发。

    措施

    调查内容包括个人对该公司及其互联网服务提供商的态度。一项由10名研究人员进行的试点测试确保所有问题都很清楚。李克特5分量表(1=从不,强烈反对,或极低;和5=总是,非常同意,或非常高)用于所有项目,除了意图,我们唯一的单项测量,其中7点李克特量表(1=非常不同意,7=非常同意)被使用。参见Fuchs和Diamantopoulos的建议[47和Wirtz和Lee [48用更大的尺度进行单项测量。

    所有的调查项目都是基于先前验证的项目,以最大限度地提高可靠性。调查的9个构念包括态度、主观规范、感知行为控制、意向[825],集体信任[2940],基于可靠性和功能性的安全技术的信任[2241]、感知安全风险[49]和工作量[50].

    除了核心概念之外,作为控制变量,我们还询问了平均每天收到的电子邮件数量、年龄、职位(临床或非临床)和教育水平。

    数据分析

    调查对象是3家医院网络的3169名员工。共有488人参与研究(488/3169,应答率15.40%)。由于所提出的研究模型中必不可少的变量缺少数据(例如,遵守的意向), 58名受试者被排除在分析之外。为了减少外部影响,我们还排除了医院网络C的参与者,因为这家医院(一家小型的当地医院)只有33名员工参与了调查。总之,这导致91名参与者被排除在外,最终样本为397人(397/3100,总反应率12.80%)。在剩下的参与者中,172人来自医院网络A, 225人来自医院网络B。

    表2表示个体响应率,和表3给出了最终样本的被调查者特征。被调查者的特征表明样本是异质的,这对本研究的外部效度有积极的影响(见表3).

    作为测试无反应偏倚的代理,我们遵循了Armstrong和Overton [51并测试了年龄、性别、职位、教育程度和早期和晚期受访者点击行为的差异。t测试结果显示两组间无显著差异。

    为了测试不同结构之间的关系强度及其对实际点击行为的影响,我们在软件SmartPLS (SmartPLS GmbH)中使用了偏最小二乘结构方程模型(SEM)。我们选择PLS而不是基于协方差的SEM,因为它在信息安全研究中得到了广泛的应用[52]并且不假设正态分布,特别适用于复杂模型,其自举方法增加了鲁棒性[53].

    在测试扫描电镜之前,我们评估了构念的负荷和Cronbach alpha来评估测量模型的可靠性。从分析中剔除2个项目后,所有项目的负荷均高于常用阈值0.70 [53].此外,Cronbach alpha均超过0.70,也表明信度良好[53].此外,各因素的平均方差提取(AVE)均在0.68以上,复合信度均在0.70以上,显示出足够的收敛效度。

    判别效度采用Fornell-Lacker标准和异性状-单性状比值进行检验。根据Fornell-Lacker标准,每个构念的AVE的平方根均高于该构念与其他构念的相关性[54].此外,异质性-单性状比率低于0.9的阈值,也证实了测量模型的判别效度[55].最后,所有方差膨胀因子值都小于5,这表明多重共线性不太可能是一个问题[53].结构层面的相关信度和效度拟合指标见表4

    表2。响应率。
    医院网络和目标群体 收到问卷的员工人数(N) 分析中包含的响应,n (%)
    医院网络A


    		总计 2100 172 (8.20)

    		遥控器 1600 122 (7.63)

    		Nonclicker 500 50 (10.0)
    医院网络B


    		总计 1000 225 (22.50)

    		遥控器 500 109 (21.8)

    		Nonclicker 500 116 (23.2)
    样品总数 3100 397 (12.80)
    表3。受访者特征(N=397)。
    类别 计数,n (%)

    		男性 82 (22.09)

    		309 (76.28)

    		2 (0.47)

    		没有回答 4 (1.16)
    年龄(年)

    		18 - 24 28日(7.05)

    		25 - 34 108 (27.20)

    		35-44 70 (17.63)

    		45 - 54 78 (19.65)

    		55 - 64 86 (21.66)

    		65 - 74 19日(4.79)

    		≥75 2 (0.50)

    		没有回答 6 (1.51)
    位置

    		临床 221 (55.67)

    		临床前 172 (43.32)

    		没有回答 4 (1.01)
    教育

    		高中以下 28日(7.30)

    		高中毕业 47 (11.84)

    		一些大学 111 (27.96)

    		2年的学位 43 (10.83)

    		大学本科 120 (30.23)

    		专业学位 41 (10.33)

    		没有回答 6 (1.51)
    每天的电子邮件

    		<10 87 (21.91)

    		11日至20日 133 (33.50)

    		21 - 30 72 (18.14)

    		> 31 101 (25.44)

    		没有回答 4 (1.01)
    回复钓鱼邮件

    		遥控器 231 (58.19)

    		Nonclicker 166 (41.81)
    表4。测量模型的信度和效度。
    构造 克伦巴赫α 提取的平均方差 综合可靠性 Heterotrait-Monotrait比率




    		的态度 主观规范 感知行为控制 遵守的意向 集体信任 可靠性 功能 感知风险
    的态度 多多 0.80 0.92 - - - - - -一个 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    主观规范 总收入 0.89 0.96 0.391 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    感知行为控制 0.76 0.90 0.419 0.381 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    遵守的意向 N/Ab N/A N/A 0.486 0.337 0.621 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    集体信任 .76 0.69 0.87 0.270 0.208 0.270 0.289 - - - - - - - - - - - - - - - - - - - - - - - -
    可靠性 总收入 0.89 0.96 0.298 0.251 0.320 0.466 0.324 - - - - - - - - - - - - - - - - - -
    功能 .95 0.91 0.97 0.289 0.231 0.510 0.382 0.351 0.871 - - - - - - - - - - - -
    感知风险 公布 0.83 0.95 0.117 0.165 0.252 0.270 0.299 0.320 0.196 - - - - - -
    工作负载 结果 0.73 0.89 0.122 0.032 0.224 0.146 0.219 0.161 0.188 0.178

    一个表格是对称的,只有下面的三角形呈现。

    b-不适用。

    表5报告所有潜在变量的均值、标准差和零阶相关性。为了测试扫描电镜,采用了基于5000个自举样本的偏差校正自举[53].标准化路径系数和显著性水平见图2

    假设1预测:(1)对ISP的态度、(2)主观规范和(3)感知行为控制与遵守意愿正相关。这一预测得到支持:对互联网服务提供商的态度(beta= 0.27;P<.001),主观规范(beta=.08;P=.04),感知行为控制(β =.44;P<.001)与依从意愿有显著关系。

    假设2预测服从意愿与服从行为呈正相关。与假设相反,我们的结果表明,在我们的分析中,意图和点击行为并没有显著相关(beta=−.03;P= .57)。因此,假设2不被支持。

    假设3预测集体感觉信任与ISP态度和主观规范正相关。我们的研究结果支持了这一假设:信任与对ISP的态度显著相关(beta=.23;P<.001)和主观规范(beta=.18;P=措施)。

    假设4预测,对安全技术的信任,包括(1)可靠性和(2)功能性,与感知行为控制呈正相关。我们的结果支持假设4a (beta=.42;P<.001),但不是4b (beta=.11;P=酒精含量)。因此,对安全技术的信任完全基于对可靠性的感知。

    假设5预测,更高的网络攻击感知风险与点击网络钓鱼链接的可能性呈负相关。这个假设不能被支持,因为我们的结果表明感知风险和点击网络钓鱼链接的行为之间没有显著的关系(beta=.10;P= . 05)。

    最后,假设6预测,高工作量与点击网络钓鱼链接的可能性呈正相关。我们的结果表明,这种关系确实是显著的,支持这一假设(β =.16;P=措施)。

    我们加入了几个控制变量来测试点击钓鱼链接是否因年龄组、教育水平、职位(临床或非临床)或每天收到的电子邮件数量而不同。这些变量对点击网络钓鱼邮件中的链接的行为都没有显著影响。

    表5所示。零阶相关性和描述性统计。
    构造 值,平均值(SD) 零相关性


    		的态度 主观规范 感知行为控制 遵守的意向 集体信任 可靠性 功能 感知风险
    的态度 4.79 (0.42) - - - - - -一个 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    主观规范 4.42 (0.72) 38b - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    感知行为控制 4.46 (0.38) b b - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    遵守的意向 6.69 (0.572) 票价b b 算下来b - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    集体信任 4.81 (0.88) b . 21b 23)b 29b - - - - - - - - - - - - - - - - - - - - - - - -
    可靠性 4.09 (0.75) 陈霞b 二十五分b 55b .46b b - - - - - - - - - - - - - - - - - -
    功能 4.05 (0.92) 低位b 口径。b b 38b b .87点b - - - - - - - - - - - -
    感知风险 2.46 (0.84) −.10 −16c −。b −点b −29b −收b −.20b
    工作负载 2.76 (0.72) −厚 . 01 −只要c −点d −.19c −.14点d −。c 16c

    一个表格是对称的,只有下面的三角形呈现。

    bP<措施,2-t一个iled.

    cP<。01, 2-tailed。

    dP<。05年,2-tailed。
    图2。结构方程模型结果。
    查看此图

    对整体模型进行评估,我们发现数据与意向拟合良好,符合0.397的R²。Stone-Geisser检验显示,该模型的Q²值为0.377,表明该模型对遵守意愿具有较大的预测相关性。相比之下,该模型解释了点击行为的小方差(R²=0.044),并且对该结构具有小的预测相关性(Q²=0.040)。

    本分析包括来自2个医院网络的员工,其中172名参与者受雇于医院网络A, 225名受雇于医院网络b。进行亚组分析,我们确定医院背景是否影响扫描电镜结果。亚组分析结果显示,在(非)显著路径方面没有组间差异(见表6).假设1b只得到部分支持,因为这里的整体效果是显著的,尽管在A医院和B医院没有发现显著的效果。

    采用多组分析(MGA)来检验这些通径系数是否存在显著差异。测量不变性检验显示A和B医院网络之间的测量模型没有显著差异,这表明潜在差异不是基于测量误差,MGA在构建水平上提供了可靠的结果。在整个样本中,没有控制变量对点击行为有显著影响。然而,MGA显示,位置(临床与非临床)显著影响B医院的点击行为,这种影响与A医院的影响有显著差异(|医院A-B|=0.216;P> 0)。另一方面,在A医院,教育程度对点击行为有显著的负向影响。这种影响在B医院没有观察到,并且有显著性差异(|hospital A-B|=0.184;P= 0)。

    表6所示。结构方程模型及其多组分析结果。
    假设 总体样本 医院 医院B 多组分析 假设评估

    		β一个 P价值 β P价值 β P价值 | |的区别 P价值
    H1a <措施 .367 <措施 .172 .047 .195 支持
    H1b .083 .04点 .105 .09点 .053 .052 部分支持
    H1c .444 <措施 .403 <措施 .490 <措施 .087 .40 支持
    H2 −.037 。45 −.041 算下来 −.021 .76 .020 .85 拒绝了
    H3a .229 <措施 .238 <措施 .234 <措施 04 .97点 支持
    H3b .178 <措施 .179 02 .178 02 措施 获得 支持
    H4a .421 <措施 .424 <措施 <措施 .011 .95 支持
    H4b .112 酒精含量 .144 .20 .087 .41点 .057 拒绝了
    H5 .099 0。 .051 算下来 .091 口径。 .040 拒绝了
    编辑 .157 <措施 .242 <措施 .137 .04点 .105 支持
    控制

    		电子邮件 .063 −.071 .112 .10 .183 公布 - - - - - -b

    		年龄 .013 结果 −.070 36 .027 开市 .097 总共花掉 - - - - - -b

    		位置 .076 .14点 −.083 .10 .133 <措施 .216 >。 - - - - - -b

    		教育 .018 .74点 −.108 . 01 .076 二十五分 .184 获得 - - - - - -b

    一个β=效应大小。

    b不适用。

    主要研究结果

    本研究考察了员工的合规意愿与实际遵守isp(即不点击钓鱼链接)之间的关系。正如H1中的假设,我们发现态度、主观规范和感知行为控制与遵守组织isp的意愿呈正相关。然而,与H2中提出的相反,遵守意愿与遵守行为本身之间没有显著的关系。与这一发现相反,之前的研究已经提供了证据表明5657].然而,由于观察实际行为的困难,这些研究依赖于自我报告的数据来评估意图与实际依从性之间的关系。这个过程为方法偏差留下了空间,因为个人可以给出理想的答案,或者以前的答案可能影响后来的答案[5859].在最近对员工安全行为的回顾中,作者挑战了在信息安全环境中意图预测行为的假设[15].与此相一致的是,我们的研究结果表明,在网络钓鱼电子邮件的背景下,意图和合规性可能并不像之前假设的那样紧密相关。因此,应仔细考虑环境在遵守调查中的作用,因为它可能证明是高度相关的。

    我们还发现集体感觉信任与员工态度和主观规范显著相关,支持H3。较高的集体信任感与较高的积极态度和主观规范相关,积极态度和主观规范反过来正向影响服从意愿。结果表明,管理可以影响员工对安全策略的看法。此外,关于信任和控制的丰富文献指出了另一个好处:对管理层的信任减少了员工将安全策略视为管理层不信任他们和他们能力的标志的风险[60雇员可能会明白,ISP的设计不是为了减少他们的自由,而是为了加强对他们的保护。此外,在高度信任的情况下,员工更有可能内化组织的目标,从而更愿意通过接受政策来保护公司[6162].

    考虑技术信任与感知行为控制之间的关系,我们发现只有基于可靠性的技术信任对员工的感知行为控制有显著影响。基于功能的信任无显著相关。这一发现支持H4a,但不支持H4b。员工对正在使用的信息安全技术有较高的信任度,可能会认为他们更有能力控制自己的行为。对技术的信任已被证明可以增加对新技术的采用,并经常在信息技术文献中使用[6364].这种对技术的依赖和信任也出现在医疗保健领域,因为医疗行业不断引入或利用最方便、最容易获取患者记录的程序[65].这样做是为了确保医生能为病人提供最好的护理。然而,他们不知道的是,这也允许攻击者更容易地访问敏感的个人信息。此外,对信息系统安全的研究尚未纳入这一概念。因此,这些发现不仅有助于安全遵从性,而且还增强了对技术信任的应用程序领域的理解。

    此外,我们发现感知风险对合规行为没有显著影响,这与H5的假设相反。造成这种情况的一个原因可能是风险对员工来说过于抽象,或者在某种情况下的感知利益大于感知风险[49].更具体地说,在医疗保健环境中,点击外国电子邮件或泄露敏感信息的风险很可能超过患者安全、治疗质量、私人信息和数据被盗的风险——这是对这一结果最合理的解释。66].

    正如H6中所假设的那样,我们发现工作负载和遵从性行为之间存在显著影响。由于所有的认知变量都没有显示出与依从行为的显著关系,因此工作负荷是唯一与依从行为相关的变量。这一发现很有趣,因为它提供了对网络钓鱼电子邮件被打开的情况的洞察。任何形式的不遵守行为(在本例中,是处理高工作量的必要性)都可能导致遵循安全策略的热情降低[12].此外,高工作量可能会导致意想不到的违规行为——高工作量可能会导致点击一个网络钓鱼链接,因为过度工作的员工可能已经太忙了,没有注意到强加的威胁[15].这一点尤其令人担忧,因为今天的网络攻击变得极其复杂,很难被发现;它们是根据每个组织的需要精心策划的有针对性的攻击。67].诸如社会工程之类的策略——从心理上操纵人们透露个人信息或允许访问安全服务器的行为——在网络钓鱼中越来越成功。68].更具体地说,鱼叉式网络钓鱼是一种特定类型的攻击,使用针对特定环境的复杂电子邮件,以满足个人和公司的特定需求。这是很难发现的,而且需要很大的注意力来发现,因为读者必须考虑到合理性书面文字的欺骗,而不是视觉或听觉的欺骗[69].对于工作过度、工作繁忙的员工来说,这种复杂的攻击更有可能成功。

    实际意义

    我们的发现提供了许多实际意义。从业者在设计安全策略和培训计划时需要考虑组织因素。我们的研究结果表明,参与信任建设活动可以随后提高员工的遵从性。我们的研究结果还强调了高层管理人员参与的相关性,并暗示管理人员需要表明他们承认与信息系统安全相关的问题,并能够提供安全政策和行为的基础,员工可以在此基础上建立[87071].

    此外,技术信任与感知行为控制之间的正相关关系表明,技术依赖感与更高的服从意愿相关。除了确保安全技术的良好质量外,管理人员还需要沟通并告知员工有关安全技术的信息。如果员工不了解技术,他们就不知道该在多大程度上依赖它。可以通过培训和加强对技术的理解来培养对技术的信任(参见Puhakinen和Siponen [70]和Safa等人[72进行更多的讨论。

    我们的研究结果表明,在网络钓鱼邮件的背景下,合规意图与实际合规行为并不相关,医院必须对不易管理的漏洞保持警惕。

    最后,我们的研究结果显示了工作量和违规行为之间的关系。这一发现表明,医院应该更好地管理工作量,以增加信息安全——例如,大量的电子邮件可能会不必要地增加工作量。我们与企业合作的观察表明,除了通过电子邮件与同事沟通外,个人每天还会收到多封电子邮件,其中包括公告和其他一般注释,这增加了个人的电子邮件负载,使他们更有可能点击网络钓鱼邮件。

    限制

    虽然本研究提供了一些见解,但也存在一些局限性。首先,我们样本中的低回复率和性别失衡可能表明存在选择偏差。选择偏差通常与结果的低普遍性有关,因为它假设只有某一组人对一项研究有反应。先前的研究报告称,这一领域的回应率普遍较低[7374].为了调查由此问题产生的潜在偏倚,我们通过使用主成分和标记变量检验的因子分析来检查非反应偏倚[597576].所有的测试都显示出不显著的结果,尽管这种偏倚的存在永远不能完全排除,但结果表明,偏倚不是我们分析中的问题。我们还将性别作为模型中的控制变量;然而,结果显示没有显著的影响。由于性别不能解释额外的方差,我们从分析中排除了这个控制变量。

    虽然我们的研究结果为意向和行为之间的无关紧要的关系提供了证据,但未来的研究应该在不同的背景下调查这种关系,以验证这些发现。我们使用了一个网络钓鱼邮件的具体案例来调查医院员工的合规情况。正如先前的研究表明,TPB结构和影响变量之间的影响可能取决于潜在的情景。穆迪等人[17]发现在USB使用,工作站注销和密码共享等场景中支持TPB。意向-行为差距可能在某些情况下比在其他情况下更相关。例如,员工可能不打算打开可疑的电子邮件,但由于自发的好奇心或漫不经心,最终还是打开了。此外,我们将重点放在医院行业,以尽可能保持样本的一致性。这个限制可能会限制我们的结果的普遍性。在将这些结果传递到其他行业环境时,应考虑组织因素和治理结构。

    最后,我们使用了一种通用措施来评估遵守ISP的意图,这意味着我们要求遵守一般规定,而不是专注于网络钓鱼电子邮件。我们这样做是因为(1)我们对他们自己遵守意愿的总体评估感兴趣,(2)我们不想通过引起对网络钓鱼的特别关注来影响反应。我们认为在这种情况下采取通用措施是合理的,因为被调查医院的员工应该了解网络钓鱼电子邮件的规定。在我们调查的两家医院网络中,信息安全人员已经提高了员工对这个问题的认识——两家医院网络都进行了反网络钓鱼电子邮件培训。因此,我们不想引起对这个问题的额外注意,而是提出一个关于普遍遵守的更广泛的问题。

    结论

    员工对政策的遵守是信息安全研究中的一个关键问题,特别是因为即使是网络钓鱼攻击造成的意外安全漏洞也可能严重损害敏感的患者信息和医疗保健环境中的安全。本研究主要关注医院员工合规意愿和实际合规(即不点击钓鱼链接)的相关因素。利用TPB的视角,我们研究了集体感觉信任和技术信任对态度、主观规范和感知行为控制的影响。我们发现集体感觉信任与顺从态度和主观规范之间存在正向影响。对技术的信任与感知到的行为控制密切相关。在医疗保健环境中,这种信任甚至更加明显和被利用,因为之前的研究表明,超过一半的信息泄露来自医疗保健组织内部。此外,雇员们表现出对电子记录的强烈信任,而不是纸质记录,因为在线系统很容易远程或异地访问,并且在紧急情况下随时可用。77].

    令人惊讶的是,我们没有发现意愿服从和实际服从行为之间的联系。随着网络攻击技术的重大改进(即根据目标受众或组织的具体需求定制信息),员工和服务器几乎不可能过滤网络钓鱼邮件,因此,有很高意愿遵守的员工可能仍然会落入黑客的陷阱。然而,我们发现较高的工作量与不合规行为呈正相关。这一发现表明,在网络钓鱼邮件的背景下,背景效应是高度相关的。

    这项研究的一个主要优势是,我们将数据收集分为依赖(点击行为)和独立(个人和组织)变量。这是信息安全文献中为数不多的观察合规行为而不是使用自我报告数据的研究之一。考虑到自我报告可能会因感知和情绪等因素而有所不同,这种方法使我们能够获得更可靠的结果。我们希望我们的发现能够激励信息安全社区改进当前的培训计划,并设计有效的干预措施来提高信息安全的合规性。

    致谢

    作者想对匿名医院网络的首席安全官表示感谢,他们为这项研究做出了巨大贡献,并为他们的数据收集过程提供了便利。他们还要感谢所有花时间参加调查的人。本研究的资金支持由麻省理工学院斯隆管理学院(CAMS)的网络安全学院(也称为麻省理工学院(IC))提供。3.-改善关键基础设施网络安全跨学科联盟。MSJ在这项研究的准备工作中得到了CAMS的支持。MB、DW和GS得到了德国研究基金会(German Research Foundation)的部分资助。1712/2)。

    利益冲突

    没有宣布。

    1. 李建军,李建军。网络安全在医疗保健领域的应用。2018年7月;113:48-52。(CrossRef] [Medline]
    2. Jalali MS, Kaiser JP。医院网络安全:系统的、组织的视角。医学互联网研究,2018年5月28日;20(5):e10059 [J]免费全文] [CrossRef] [Medline]
    3. Jalali MS, Razak S, Gordon W, Perakslis E, Madnick S.医疗保健与网络安全:文献计量学分析。中国医学信息学报,2019年2月15日;21(2):e12644 [J]免费全文] [CrossRef] [Medline]
    4. Jalali MS, Russell B, Razak S, Gordon W.对医疗保健网络事件的关注。中华医学杂志,2019,26(1):81-90。(CrossRef] [Medline]
    5. 高文杰,李建军,李建军,等。美国医疗机构员工对网络钓鱼攻击的易感性评估。JAMA网络开放2019年3月1日;2(3):e190393 [免费全文] [CrossRef] [Medline]
    6. Kruse CS, Frederick B, Jacobson T, Monticone DK。医疗保健网络安全:对现代威胁和趋势的系统回顾。科技卫生,2017;25(1):1-10。(CrossRef] [Medline]
    7. Boss SR, Kirsch LJ, Angermeier I, Shingler RA, Boss RW。如果有人监视,我会按照要求去做:强制、控制和信息安全。欧洲信息系统学报,2017;18(2):151-164。(CrossRef]
    8. 胡强,李建平,李建平。信息安全政策的管理:高层管理者和组织文化的关键作用*。中国生物医学工程学报,2012;43(4):615-660。(CrossRef]
    9. 张建军,张建军。信息安全政策遵从性:理性信念与信息安全意识的实证研究。管理信息系统,2010,Sep;34(3):523-548。(CrossRef]
    10. Herath T, Rao HR。鼓励组织中的信息安全行为:惩罚、压力和感知有效性的作用。液压与气动,2009;47(2):154-165。(CrossRef]
    11. 张国强,张国强。恐惧诉求与信息安全行为:实证研究。管理信息系统,2010;34(3):549-566。(CrossRef]
    12. 李建军,张建军。网络环境下企业信息系统安全策略的研究进展。管理信息系统,2010,Sep;34(3):487-502。(CrossRef]
    13. 李建军,李建军,李建军,等。对美国医疗保健系统高风险员工的强制性网络钓鱼培训计划进行评估。中华医学杂志,2019,26(6):547-552。(CrossRef] [Medline]
    14. Uwizeyemungu S, Poba-Nzaou P, Cantinotti M.欧洲医院向全电子系统过渡:信息技术安全和隐私实践是否遵循?中华医学杂志2019年3月25日;7(1):e11211 [j]免费全文] [CrossRef] [Medline]
    15. Lebek B, Uffen J, Neumann M, Hohler B, Breitner MH.信息安全意识与行为:基于理论的文献综述。管理学报,2014;37(12):1049-1092。(CrossRef]
    16. 李建军,李建军。信息安全政策对企业员工行为的影响。中国生物医学工程学报,2014;31(2):557 - 557。(CrossRef]
    17. 王建军,李建军。信息安全策略遵从性的统一模型。管理信息系统,2018;42(1):285-311。(CrossRef]
    18. 李建军,刘建军,李建军,等。信息安全策略遵从性的影响因素分析。信息安全管理,2014;22(1):42-75。(CrossRef]
    19. Fulmer CA, Gelfand MJ。在什么程度上(以及信任谁)我们信任。中国生物医学工程学报,2012;38(4):1177 - 1177。(CrossRef]
    20. 张建军,张建军。创业型企业战略决策:高层管理团队组织和流程对决策速度和综合性的影响。[J]农业科学学报,2005;20(4):519-541。(CrossRef]
    21. Jarvenpaa SL, Shaw TR, Staples DS。迈向情境化的信任理论:信任在全球虚拟团队中的作用。信息系统学报,2004;15(3):250-267。(CrossRef]
    22. 李建军,李建军。技术、人性与信任:对技术信任的再思考。信息学报,2015;16(10):880-918。(CrossRef]
    23. 张建军,张建军。组织研究中信任的测度:综述与建议。[J]信托研究,2011;1(1):23- 26。(CrossRef]
    24. Rousseau DM, Sitkin SB, Burt RS, Camerer C.毕竟没有太大不同:跨学科的信任观。计算机管理学报,1998;23(3):393-404。(CrossRef]
    25. 王晓明,王晓明。态度与社会行为的关系研究。Englewood Cliffs, NJ: Pearson;1980.
    26. 王晓明。信念、态度、意向与行为:理论与研究综述。波士顿,马萨诸塞州:艾迪生-韦斯利;1975.
    27. 计划行为理论。器官行为学进展,1991;50(2):179-211。(CrossRef]
    28. 理解信息系统安全策略遵从:计划行为理论与保护动机理论的整合。计算机安全,2012;31(1):83-95。(CrossRef]
    29. 梅耶RC, Davis JH, Schoorman FD。组织信任的整合模型。科学管理,1995;20(3):709-734。(CrossRef]
    30. 帕夫洛帕,费根森M.理解和预测电子商务的采用:计划行为理论的延伸。管理信息系统,2006;30(1):115-143。(CrossRef]
    31. 陈志祥,李志强。组织支持知觉的中介模型检验。[J] .中文信息学报;2009;31(3):457- 457。(CrossRef]
    32. Whitener EM:“高承诺”人力资源实践会影响员工的承诺吗?使用层次线性模型的跨层次分析。中国生物医学工程学报(英文版);2001;27(5):515-535。(CrossRef]
    33. 马建军,张建军,张建军。冲突情境下的信任:管理者信任行为和组织情境的作用。中华医学杂志;2009;31(2):391 - 391。(CrossRef]
    34. 对管理和绩效的信任:当员工看着老板时,谁来管店?中国农业科学学报,2009;31(5):874-888。(CrossRef]
    35. 德克斯KT,费林DL。领导力信任:元分析结果及其对研究和实践的启示。中华医学杂志2002;16(4):344 - 344。(CrossRef]
    36. Colquitt JA, Scott BA, LePine JA。信任、可信赖性和信任倾向:它们与风险承担和工作绩效的独特关系的元分析测试。[J]中国心理医学杂志;2007;32(4):990 -927。(CrossRef] [Medline]
    37. Davies MA, Lassar W, Manolis C, Prince M, Winsor RD.特许经营关系中的信任与遵从模型。汽车学报,2011;26(3):321-340。(CrossRef]
    38. Kim WC, Mauborgne RA。程序公正、态度与子公司高层管理人员对跨国公司战略决策的遵从。管理学报,1993;36(3):502-526。(CrossRef]
    39. 刘建军,刘建军,刘建军,等。商标与初始遵从:无意识信任的一个重要案例。器官科学2008;19(6):845-859。(CrossRef]
    40. 《约束的信任:集体感觉信任对组织绩效的影响》。中华心理医学杂志;2009;31(3):593- 591。(CrossRef] [Medline]
    41. Mcknight DH, Carter M, Thatcher JB, Clay PF。对特定技术的信任。管理信息系统,2011;2(2):1-25。(CrossRef]
    42. 张建军,张建军。技术压力对工作结果的影响:人格特质的调节作用。信息系统学报,2015;25(4):355-401。(CrossRef]
    43. Hernández-Ortega B.使用后信任在技术接受中的作用:驱动因素和后果。Technovation 2011; 31(- 11): 523 - 538。(CrossRef]
    44. 范思A, Elie-Dit-Cosaque C, Straub DW。检查信息技术工件中的信任:系统质量和文化的影响。管理信息系统学报,2014;24(4):73-100。(CrossRef]
    45. Ho SM, Ocasio-Velázquez M, Booth C.信任还是后果?感知风险和主观规范对云技术采用的因果影响。计算机安全,2017;70:581-595。(CrossRef]
    46. 韩伟,李建军,李建军,李建军。校园紧急通知系统:对影响遵守警报的因素的审查。管理信息系统,2015;39(4):909-929。(CrossRef]
    47. 傅建平,张建平。基于单项度量的管理研究:概念问题与应用指南。生物医学工程学报,2009;69(2):195-210 [j]免费全文]
    48. 李丽娟。顾客满意测评的质量与情境适用性研究。中国生物医学工程学报,2003;5(4):345-355。(CrossRef]
    49. 李宏,张杰,Sarathy R.理性选择理论视角下的网络使用政策遵从性研究。决策支持系统,2010;48(4):635-645。(CrossRef]
    50. Rutner PS, Hardgrave BC, McKnight DH。情绪失调和信息技术专业人士。管理信息系统,2008;32(3):635-652。(CrossRef]
    51. 《邮件调查中非回应偏差的估计》。[J]中国生物医学工程学报,2003;11(3):396- 396。(CrossRef]
    52. Ringle CM, Sarstedt M, Straub DW。编者评论:在“MIS季刊”中使用PLS-SEM的关键观点。管理信息系统,2012;36(1):iii-xiv。(CrossRef]
    53. 毛建军,李建军,李建军,等。偏最小二乘结构方程建模(PLS-SEM)的初步研究。伦敦:Sage publications;2016.
    54. 傅国荣,李建平。具有不可观测变量和测量误差的结构方程模型的评价。[J]中华医学杂志,1981;18(1):39-50。(CrossRef]
    55. 陈建军,张建军,张建军,等。基于方差的结构方程模型的判别效度评价。中国科学(英文版);2015;43(1):115-135。(CrossRef]
    56. Myyry L, Siponen M, Pahnila S, Vartiainen T, Vance A.道德推理和价值观的哪个层次解释了遵守信息安全规则?实证研究。欧洲信息系统学报,2017;18(2):126-139。(CrossRef]
    57. 李建军,李建军,李建军。信息系统安全策略遵从行为研究。参考:第40届夏威夷系统科学国际会议论文集。: IEEE计算机学会;2007年发表于:HICSS'07;2007年1月3日至6日;夏威夷。(CrossRef]
    58. 在存在或不存在社会影响的情况下,个人如何权衡他们之前的估计来做出新的估计。见:Kennedy WG, Agarwal N, Yang SJ,编辑。社会计算,行为文化建模和预测。Cham: Springer International Publishing;2014:67 - 74。
    59. Podsakoff PM, MacKenzie SB, Lee J, Podsakoff NP。行为研究中的常见方法偏差:对文献的批判性回顾和建议的补救措施。中国生物医学工程学报(英文版);2009;31(5):879-903。(CrossRef] [Medline]
    60. 韦伯尔,邓海涛,吉莱斯皮,金金纳。控制因素对员工信任的影响。资源管理,2015;55(3):437-462。(CrossRef]
    61. Deery SJ, Iverson RD, Walsh JT。为了更好地理解心理契约违约:对客户服务员工的研究。中华心理医学杂志;2006;31(1):391 - 391。(CrossRef] [Medline]
    62. 马奎尔S,菲利普斯N。花旗集团的“花旗银行家”:对合并后机构信任丧失的研究。[J]管理学报,2008;45(2):372- 391。(CrossRef]
    63. 兰克顿NK,麦克奈特DH,赖特RT,撒切尔JB。研究笔记-使用期望不确认理论和多项式模型来理解技术信任。信息系统学报,2016;27(1):197-213。(CrossRef]
    64. 张丹,周磊,付霞。文化、社会存在和群体构成对技术支持决策群体信任的影响。信息系统学报,2010;20(3):297-315。(CrossRef]
    65. 谢诺伊A,阿佩尔JM。保障电子健康记录的机密性。中华医学杂志,2017;26(2):337-341。(CrossRef] [Medline]
    66. 牵引DW。网络安全:通过流程和团队文化带来积极的变化。前沿卫生服务管理2018;35(1):3-12。(CrossRef] [Medline]
    67. 张建军,张建军。网络钓鱼攻击中的创造性说服行为与策略研究。前沿心理杂志2018;9:135 [免费全文] [CrossRef] [Medline]
    68. 安德森RJ。安全工程:建立可靠的分布式系统指南。新泽西州霍博肯:威利;2013.
    69. sch兹SW,劳瑞PB,撒切尔JB。防御鱼叉式网络钓鱼:通过恐惧诉求操纵来激励用户。2016亚太信息系统会议论文集,提交于:PACIS'16;2016年6月27日至7月1日;台湾嘉义市
    70. 王晓明,王晓明。信息系统安全培训对企业员工合规行为的影响。管理信息系统,2010;34(4):757-778。(CrossRef]
    71. 张建军,张海涛,张建军,魏凯。信息系统安全有效性的综合研究。国际医学杂志2003;23(2):139-154。(CrossRef]
    72. 张建军,张建军。信息安全策略遵从性模型研究。计算机安全2016;56:70-82。(CrossRef]
    73. 郭洪,袁毅,Archer NP, Connelly CE。理解工作场所中的非恶意安全违规:复合行为模型。管理信息系统学报,2014;28(2):203-236。(CrossRef]
    74. Kotulic AG, Clark JG。为什么没有更多的信息安全研究。中国生物医学工程学报,2004;41(5):597-607。(CrossRef]
    75. 梁辉,萨拉宁,胡强,薛艳。企业制度同化:制度压力的影响及高层管理者的中介作用。管理信息系统,2007;31(1):59-87。(CrossRef]
    76. 林德尔MK,惠特尼DJ。横截面研究设计中常用方法方差的核算。[J]中华心理医学杂志,2001;16(1):1 - 4。(CrossRef] [Medline]
    77. 李建平,李建平,李建平,等。数字健康时代的隐私和安全:翻译研究人员应该了解和做些什么?中国生物医学工程学报,2016;8(3):1560-1580 [J]免费全文] [Medline]

    大街:提取的平均方差
    是:信息系统
    ISP:资讯保安政策
    它:资讯科技
    扫描电镜:结构方程建模
    “:计划行为理论

    G·艾森巴赫编辑;提交23.10.19;M . Goebel, L . Sbaffi的同行评审;对作者19.11.19的评论;修订版本收到11.12.19;接受16.12.19;发表23.01.20

    版权

    ©Mohammad S. S. Jalali, Maike Bruckes, Daniel Westmattelmann, Gerhard Schewe。原载于医学互联网研究杂志(//www.mybigtv.com), 2020年1月23日。

    这是一篇在知识共享署名许可(https://creativecommons.org/licenses/by/4.0/)下发布的开放获取文章,该许可允许在任何媒介上不受限制地使用、分发和复制,前提是原始作品首次发表在《医学互联网研究杂志》上,并适当引用。必须包括完整的书目信息,到//www.mybigtv.com/上原始出版物的链接,以及版权和许可信息。
    Baidu
    map