信息安全合法化采纳动机与模式研究
——新制度理论与创新扩散理论的整合视角

(1.扬州大学 商学院，江苏 扬州 225127; 2.中国金融认证中心，北京 100054; 3.重庆工商大学 商务策划学院，重庆 400067; 4.南开大学 商学院，天津 300071)

1 引言

信息安全得到了前所未有的重视。随着“中央网络安全和信息化领导小组”的成立，对网络安全和信息安全的认识也上升到了“国家安全”的层次，越来越多的监管制度开始发布。信息安全作为一种强监管制度，对具体组织而言，如何满足信息安全合法性或信息安全监管的要求，已经成为亟待解决的问题[1]，同时，信息安全合法化/制度化过程也成为组织研究领域关注的热点之一[2]。

企业通过部署最佳实践是获取合法性最重要的途径之一[3]。但是，一旦最佳实践与企业的主营业务不一致，就可能呈现脱耦现象[4]，严重程度可能取决于最佳实践与主营业务的关联程度。例如，EMS(environmental management system)呈现的脱耦现象比QMS(quality management system)领域更为严重[5]。在信息安全情境中，以ISMS(information security management system)为例，ISMS对组织主营业务的关联程度一般情况下要低于QMS，但是要高于EMS。与以上最佳实践相比，ISMS还须具备复杂的技术细节。而现有研究中关于最佳实践的采纳文献大多没有关注这一点。现有研究将国内采纳ISMS的组织分成三类，但是，该分类论断缺乏实证。如果将获得GB/T 22080-2008/ISO/IEC 27001∶2005(以下简称27001∶2005)的认证企业以所有制分类，三类企业认证比例并没有呈现显著的差异，但是显然这三类企业面临的制度环境存在很大不同[2]。因此，仅从制度压力的角度去考察信息安全合法化显然不全面，外部制度压力可能只是其中一个维度。

鉴于此，本文基于新制度理论与创新扩散理论的整合视角，通过10个样本组织进行探索性案例研究，探讨除了外部制度压力之外，是否存在着其他的影响组织采纳模式的不可忽视的因素，并且在此基础上探索信息安全合法化采纳模式及动机。

2 相关的最佳实践理论视角及其研究

最佳实践研究的文献更多地集中于全面质量管理领域。据了解，尚未发现专门关于ISMS的信息安全最佳实践的研究。

2.1 管理时尚视角

管理时尚概念最早被定义为管理者在管理方面所共有的审美情趣[6]， 1996年管理时尚理论正式被提出[7]。该理论实际是新制度理论的一个特殊视角，与“正式结构的神话”[4]不同，管理时尚特别强调标签的作用。戴明环、BCG矩阵都是具备高度概念化或显著标签的管理时尚。ISMS的早期版本显著的特征之一也是应用了戴明环，因此，可以用管理时尚的视角去观察ISMS。管理时尚是对已有现象的总结，为我们观察流行的管理方法或技术趋势提供了一个可能的视角。例如“敏捷开发”被作为管理时尚对待[8]。

2.2 管理修辞视角

管理修辞理论是新制度理论的另一个视角，和管理时尚一样，也起源于TQM研究领域。对于TQM作用的持续争论并不是源于其本身，更多的则是源于TQM概念的广泛曲解。有研究指出，除了那些关注获得布德里奇美国国家质量奖的企业的研究，大部分研究并没有确认企业是否部署真正的TQM[9]。TQM从其最初狭窄的技术特点的定义，已经演变成一种广泛传播的思潮，这种思潮正是以修辞夸张和日益模糊的定义为主要特征[9]。

基于修辞理论的修辞性合法化可以认为是广义沟通理论研究的一个分支。相比修辞性TQM，新制度理论框架下的合法化更容易沦落为虚张声势的管理修辞。有诸多文献从修辞分析的角度探讨合法化过程。有学者用案例研究探讨了修辞与新组织形式出现之间的关系，具体而言就是新出现的组织形式或创新如何调整他们的修辞性策略来获取合法性[10]。Harmon等[11]则提出一个修辞性合法化的模型，来识别隐含于制度延续与制度变迁之下的沟通与认知结构。明茨伯格认为管理者有三分之二甚至四分之三的时间用在了口头活动上，其中包括说服员工为共同的目标而努力，采纳与部署最佳实践当然也在此列。与上述TQM研究领域以及组织合法化研究领域类似，在信息安全情境中，ISMS也分化为技术上的ISMS和修辞上的ISMS。

2.3 创新扩散视角

新的实践或结构的扩散存在诸多解释，有研究将其归因为内在的优点与创新性[12]，换言之，组织之所以采纳这些新的实践或结构是因为它们是有效的。显然，这种观点在后续的新制度主义研究中被证明并不尽然。但是，基于“有用性”的创新扩散的视角在信息系统研究领域却得到了充分的研究，并发展成为为数不多的原创理论[13]，即技术接受模型[14]。该模型认为影响个体接受信息系统的因素主要有两个：感知的有用性和易用性。这两个因素会影响个体的认知/态度，最终影响个体/组织行为。

3 研究方法

3.1 研究方法与案例选择

基于本文的研究情境，采用Yin[15]的多案例设计方法，原因在于：(1)案例研究兼具描述、解释和探索的功能[16]，本研究是一个探索“为什么”的理论建构问题；(2)多案例研究可以通过“复制逻辑”相互检验所得到的结论[15]。

在多案例研究中，虽然不存在理想的案例数目，一般4～10个案例效果不错。案例个数少于4，很难产生复杂的理论；多于10，则可能导致数据繁杂难于处理。本文基于上述标准，结合理论抽样原则[17]选择了10家采纳27001∶2005的国内企业作为研究案例。

选择案例企业遵循以下两条原则：(1)在近几年依据27001∶2005部署信息安全管理体系，但不一定申请认证；(2)组织背景尽量多样化，例如，主营业务或所有制等要素。由于信息安全行业的保密性特点，本文隐去了案例样本中的组织名称，样本信息如表1所示。

表1 案例样本的描述性统计

注：*()内年份表示部署的时间。

3.2 数据来源

我们在研究中应用了多个数据源，其中包括列席关于信息安全推进的会议，大量的现场直接观察或参与式观察，高管团队或中层主管人员的访谈，其中包括CEO、信息安全的分管领导、信息安全主管以及具体负责人等，以及相关的文件、档案和二手资料。为了使数据有更高的信效度，我们还对第三方认证组织中负责审核该企业的ISMS审核员组织了访谈，并查阅了保存在第三方认证组织的对应企业的审核记录及档案资料。

3.3 信效度保证策略

本文沿用Yin[15]文献中对案例研究设计质量的四个指标进行了重点关注，其中包括：建构效度、内在效度、外在效度和信度。(1)建构效度：本研究在数据收集阶段通过访谈，二手资料以及大量的实地观察来实现多重证据的交叉验证；在数据收集与分析阶段，用思维导图对证据进行内部整理与讨论；在撰写报告阶段让所有的深度访谈对象对报告草案都进行了逐一核实。(2)内在效度：本文在数据分析部分严格遵守扎根理论所提出的三步编码技术和程序对数据进行主题的提炼、范畴的归纳和模型的构建。(3)外在效度：本文采用多案例研究保证外在效度。(4)信度：本文在数据收集部分，根据Yin[15]设计，并尽可能详细汇报每一步骤。

3.4 数据分析

3.4.1 分析策略

我们沿用了常见的归纳方法，并通过不同数据收集方法、来源，不同对象、情境的“三角验证”，来提高四个主要的信效度指标。除此之外，我们也使用了Yin[15]描述的其他数据分析技术。

以案例ND-C5的分析为例，首先，通过内部人员访谈记录，现场观察记录，收集到的文件、档案等各种记录，组织内部会议描述其信息安全最佳实践的采纳动机以及可能的部署过程，组织讨论会得到结论A。其次，通过第三方认证组织的ISMS审核员的访谈记录，从第三方认证组织获取的文件与档案，以及审核员提交的现场调研报告，通过讨论会得到结论B，并由此与步骤一的结论进行对比。如果结论一致，则建立采纳模式的初步构念，并在此基础上进行跨案例的分析。如果结论不一致，则继续通过讨论会直至所有研究人员达成统一。在分析完案例ND-C5后，通过讨论会确定该案例信息安全最佳实践的采纳模式。借鉴跨案例研究[18]以及Yin[15]的多案例研究复制逻辑要求，对案例进行配对比较，列举每对公司的相似与不同之处。具体的数据分析过程严格遵守扎根理论。

3.4.2 数据分析过程

数据分析过程严格遵守扎根理论所提出的三步编码技术和程序对数据进行主题的提炼、范畴的归纳和模型的构建，以保证研究的信度和模型的效度[16,19]。为方便分类过程，我们使用QSR Nvivo 11定性分析软件作为辅助工具。

开放式编码对数据收集阶段获取的资料(包括部分录音和图片)进行编码和标签，目的是从大量资料中创建和提炼尽可能多的概念范畴来组织、解释和匹配经验数据。本文通过开放式编码初步提取了82个涉及组织采纳27001∶2005的概念范畴。由于所获取的初始概念范畴相对较多，而且不同的概念范畴之间所涵盖的要素存在交叉和重叠，因此需要对82个原始概念范畴进行分解、剖析、提炼与整合。按照上述操作过程，最终提炼和整合了37个概念范畴。

主轴编码主要是为了发现和寻找范畴之间的逻辑关联。经过开放式编码已经提炼了37个概念范畴，在这一步骤中需要分析不同概念范畴之间的关系，目的是对不同的概念范畴做归类处理。本文效仿周江华等[19]的研究，也沿用“条件-行动/互动-结果”[20]这一编码范式，来确定初始范畴之间的联系。通过整合，将37个初始范畴归纳为18个副范畴，并最终整合到5个主范畴中。如表2所示。

表2 主轴编码

选择性编码的目的是选择核心范畴，并将其高度概念化。开放性编码和主轴编码的分析展示了信息安全最佳实践采纳的基本框架，还需通过选择性编码分析来选择概括性较强的核心范畴来整合5个主范畴。经过选择性编码之后，基本可以得出两条清晰的故事线：来自监管(或上级)部门的压力、来自客户的压力以及来自规范或模仿的压力三个主范畴对“外部制度压力”存在显著影响；安全管理规范化或制度化和风险评估的结果(或业务安全要求)对“内部安全需求”存在显著影响。

4 案例分析与发现

在案例编码与分析过程中，本文所得到的研究结论整合了新制度理论与创新扩散理论的视角，为观察组织最佳实践的采纳行为提供了一个更全面的框架。外部制度压力和内部安全需求同时也显现了组织对最佳实践采纳所持的期望，即追求合法性还是追求绩效。本文将结合研究中发现的证据说明案例组织在采纳27001∶2005时的合法性考虑与绩效考虑。

4.1 外部制度压力

在新制度理论视角下，关于合法性的诸多研究都已经表明外部制度压力对于最佳实践/创新等采纳的显著影响[21]，本研究在信息安全情境中探讨了更多的因素，而不是仅仅局限于三维度框架[22]。

4.1.1 应对政府监管的一种途径

由于关系到国家安全和个体隐私等内容，几乎所有的国家对信息安全都实施强监管环境[23]，例如，关系国计民生或公众利益的信息系统都要强制性地实施信息系统安全等级保护[24]。因此，国有企业一般会面临更强的监管环境，无论是中央企业的ZX-C1和ZT-C3，还是地方国企BS-C9。本文阅读并统计了所有的国务院行政性法规以及国资委、银监会、工信部和人民银行等国家部委关于信息安全方面的行政公文。诸多业内专家认为，目前国家在信息安全监管方面还存在诸多不成熟，甚至许多规范性文件之间也不一致，企业的合规性(或符合性)负担较重。

4.1.2 组织整体安全战略的一部分

组织采纳ISO14001时，最大的外部压力不是来自传统的利益相关方，因为公司总部在两者之间充当了缓冲[5]。以上现象更适用于跨国公司在国内的分支，并不是普遍的情形。在深度访谈中发现，越是基层的组织，业务压力越重，所有与业绩没有直接关系的活动都比较消极。公司总部大多只承担管理功能，不背负具体的业绩任务，更容易采纳战略性的革新，而不仅仅关注眼前的形势。

4.1.3 作为技术壁垒的辅助手段

案例中的绝大部分企业都面临较大的生存压力，尤其是主要客户为政府或相关组织，对方一般都会有专门的要求，甚至可能通过标书将没有资质的企业排除在外，这时候27001∶2005可能会成为隐含的技术壁垒。资质是一把“双刃剑”，可能作为排除竞争者的工具，也可能成为被排除的理由。

在采访中有关于安全资质完全不同的视角，已经建立稳定合作关系的，想利用资质将竞争对手排除在外。同时，想进入新领域的企业，则需要先满足资质上的要求，不能存在所谓的“硬伤”，以至于“软件开发领域的资质，我们一般都会拿”，而不是考虑组织具体情况。

4.1.4 其他组织部署带来的压力

我们接触的样本企业中，企业间的横向联系包括如下几种类型：第一类，共同监管导致的联系。例如，都是中央企业，同归属国资委监管，或者都是地方国企。这种关系的建立可能因为业务来往，或参加国资委组织的会议慢慢建立的私人感情，也可能是由于工作调动。第二类，地域关系形成的联系。即使中央企业，由于驻地不同，也会面临不同的地方政府，因此也会形成稳定的联系。第三类，行业关系形成的联系。由于行业协作关系或者同业竞争也可能形成稳定的联系。

当然，更多的联系呈现的不是某一种因素，而是几种因素的结合，例如属于同监管单位以及同驻地，这些形成稳定联系的组织之间，常被称为“兄弟单位”。和个体之间的比较逻辑类似，兄弟单位之间的相似性为比较提供了基础。尤其是在可比较的组织群体内处于较为落后的情况下更加明显。

4.1.5 对标管理导致的消极模仿

对标又叫标杆管理，如果标杆企业部署了27001∶2005，这会对其他相关组织造成模仿压力，尤其是在情境模糊的情形下。样本中ZX-C1就是很典型的例子。

4.2 内部安全需求

重新审视关于最佳实践的三种理论视角，创新扩散理论是趋于褒义的，起源于创新扩散的管理时尚理论则较为中性，起源于新制度理论的管理修辞理论则偏向于贬义。在本研究中，内部安全需求出发的信息安全最佳实践部署，本质是创新扩散视角，这其中隐含的前提是最佳实践是有用的。

4.2.1 规范化/制度化/标准化

几乎访谈的所有人员都提出信息安全管理的规范化、制度化和标准化的需求，只是程度有所不同。但同样是规范化、制度化和标准化，认真分析发现有积极态度的，也有消极态度的。积极态度的是基于组织实际的流程改进或流程再造，目的是提高信息安全管理水平。更多的安全域并不能流程化，而是以安全控制点的形式呈现，在本质上与流程是一致的。有些案例中体现了更广义的管理标准化态度或理念，也是积极的。

在一些情况下，规范化/制度化/标准化已经变成了手段，目的却是“免除责任”，我们称其为“消极的”。消极规范化/制度化/标准化在传统行业中更常见，由于IT是弱势部门，而组织的主要领导都是主营业务出身，对信息化及信息安全的理解能力有限，甚至认为之所以发生信息安全事件，都是因为“管松了”。在这种简单逻辑下，IT或信息安全主管部门并不是为了真正加强信息安全管理能力，而是为可能发生的信息安全事件悄悄转移责任。

在27001∶2005 A.10.1.3责任分割，强调“各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者不当使用组织资产的机会。”但是在案例ND-C5和NG-C6中，他们的理解并不同。消极规范化/制度化/标准化是一个很普遍的现象，出现的本质原因在于最高管理层对信息安全的理解不够，试图用简单粗暴的逻辑解决问题，或者公司的整个管理体系存在问题，最终形成了“上有政策，下有对策”的局面，形如27001∶2005这样的最佳实践，成了事实上的“对策”。

4.2.2 争取部门权力或合法性

由于国家对信息安全强制性的要求，组织会象征性或仪式性地建立某些仪式性的结构，例如，地方政府或国企中的“信息安全领导小组”，这些看起来无关紧要的部门。有研究认为部门内人员为了维护其部门的权益或争取合法性，最终改变了权力的结构[25]。象征性部门转向实质性权力部门，在信息安全领域并不鲜见，业务发展阶段的安全需求应该是最主要的原因之一，部门领导及其人员的利益争取也是原因之一，所以部门看起来是“因人而设”。

4.2.3 控制潜在的信息安全风险

由于风险管理意识的广泛普及，案例中所有的组织，尤其是技术人员，都会详细地谈到自身对风险及其管理的理解。为了更好地区分，在这个问题上，更多地参考案例组织的信息安全风险评估/应对报告。我们组织专家对案例组织中与信息安全风险管理相关的报告或记录进行了评估，以判断案例组织对信息安全风险真实的重视程度。几乎所有的信息安全活动都是为了控制安全风险[26]。换句话说，信息安全的首要目的是为了控制风险，或者保障信息安全有效性，这两者都是一个目的，就是尽量不发生信息安全事件。这意味着风险在信息安全中处于重要的位置，甚至可以说，信息安全围绕控制风险展开。

4.3 信息安全合法化采纳矩阵

按照数据分析策略，沿用Boiral[5]的表述方式，案例发现与主范畴联系的显著性程度如表3。

表3 以主范畴统计的案例发现显著性程度

注：*代表显著程度低；**代表显著程度中等；***代表显著程度高。

确定上述逻辑关系后，我们根据“外部制度压力”和“内部安全需求”两个维度划分信息安全合法化采纳矩阵，四个象限按其最重要的部署动机分别称为：战略性采纳、合规性采纳、仪式性采纳和策略性采纳。如图1所示。

图1 信息安全合法化采纳模式矩阵

4.3.1 战略性采纳

战略性采纳是组织外部制度压力与内部安全需求都高的情况。很长时间以来，27001∶2005都被误认为是一个管理标准，实际上，27001∶2005的一个重要进步是不再区别技术还是管理，而是将控制措施划分为安全控制域，安全控制目标和安全控制点三个层次，其中安全控制点可以增减。也就是说，27001∶2005是围绕控制目标展开的，至于具体实现途径，是通过管理手段还是技术手段，则是另一个层次的问题。

战略性采纳比较符合27001∶2005的原意，在总则中提出“采用ISMS应当是一个组织的一项战略性决策”。在战略性采纳中，认证并不是要考虑的主要因素，因此ZX-C1和ZT-C3都没有获得此认证。ZT-C3中，IT部门CEO将其描述为部署最佳实践的目的是为防止信息安全事件的发生。

4.3.2 合规性采纳

合规性采纳的组织对应低内部安全需求与高外部制度压力。在本研究中ND-C5、ZY-C7和BS-C9都属于合规性采纳，但是对应不同方面的压力，ND-C5的外部压力主要来自兄弟部门的部署，以及上级公司的战略要求。ZY-C7是属于充分竞争领域的软件开发行业，外部压力则主要来自客户要求， 27001∶2005作为显性的安全管理能力证明。作为地方国资委属下的金融企业，BS-C9的外部压力主要来自政府监管，实现“内外合规”。

4.3.3 仪式性采纳

仪式性采纳对应低外部制度压力以及低内部安全需求，本研究JX-C4与HR-C8属于仪式性采纳。仪式性采纳本只是组织脱耦的一种形式，在ISO9001与ISO14001的采纳中都观察到的一种现象[5]。

仪式性采纳模式中，组织为了获取认证可能会设计看起来更为完美的制度以应对ISMS审核。在案例的正式访谈中，这种情形很难得到确认，或者说，相关人员一般不会承认在审核过程中有造假行为。本研究中，我们需要从阅读组织文件、观察或者从第三方认证组织的角度发现问题。

第三方认证组织的ISMS审核员的判断在阅读体系文件时可以得到佐证，例如，HR-C8虽然有咨询公司提供的信息安全风险评估程序，但是风险评估报告却过于简单，与风险应对报告也不能对应。经过专家鉴定，HR-C8并没有进行过完整的风险评估。此外，HR-C8的文件在咨询公司结束服务后的时间内，版本也从未更新过，大部分的文件运行记录也是缺失的。

4.3.4 策略性采纳

策略性采纳对应低外部制度压力和高内部安全需求，在本研究中，NC-C2、NG-C6和FS-C10都属于策略性采纳。策略性采纳并不是强调部署过程中对技术或管理的偏重，而是强调与战略性应用的区别，由于外部压力低，因此在应用中可能出现大量的删减，甚至到不能满足27001∶2005的认证要求。策略性采纳指的是绝大部分的部署都集中在技术层面，战略层的问题反而被忽略。原则上说，这有悖于27001∶2005的基本理念，或者说，这仅仅是部署27001∶2005。

5 结论与讨论

5.1 理论贡献

本文通过10个案例探讨了通过采纳信息安全最佳实践实现合法化过程的动机及其模式。研究结论表明，影响组织采纳模式的最重要的两个维度是外部制度压力和内部安全需求，沿着这两个维度，本文给出了信息安全合法化采纳模式的矩阵，并依次定义为：战略性采纳、合规性采纳、仪式性采纳和策略性采纳。本研究的理论贡献主要有如下几点：

第一，为观察组织采纳最佳实践提供了更全面的视角。已有的研究视角主要从新制度理论或创新扩散理论角度去观察组织行为，这种先入为主的视角并不利于理解组织行为的复杂性，我们通过严格遵守三步编码的扎根理论，得出外部制度压力和内部安全需求两个主要维度，从而将新制度理论或创新扩散理论的视角有机地结合在一起，摆脱了原来非此即彼的观察逻辑。虽然本文限定的研究背景是通过部署27001∶2005获取信息安全合法性的组织，但是研究结论仍然可以推广至所有类似的最佳实践采纳领域。

第二，在信息安全情境中验证了新制度理论与创新扩散理论，也丰富了制度压力理论所包含的具体内容。仪式性采纳的组织脱耦现象[4]在诸多领域得到了验证，作为新兴领域的信息安全，研究则较为匮乏。更重要的是，信息安全与之前的热点领域存在一定的差异，因此有必要进行重新验证。同时，我们通过探索性案例研究，不再局限于三维度框架[22]，使制度压力的应用更加契合国内企业所面临的信息安全情境。

最后，本文在研究方法上也有一定的贡献。我们对案例中已经获取认证的组织，通过档案数据查询到第三方认证组织及其ISMS审核员，通过对双方的深入访谈，二手资料以及观察记录进行比对，使之相互验证，得到了更客观的研究结果。限于样本获取和研究情境等原因，这种“三角验证”的方式在相关文献中属首次使用。

5.2 管理启示

虽然本研究采用的是归纳性方法，但是战略性采纳、合规性采纳、仪式性采纳和策略性采纳的划分，对于实践中的信息安全合法化部署仍然存在较强的预测能力，具有一定的实践意义。

首先，对组织而言，“外部制度压力”和“内部安全需求”可以指导组织据此判断自身应该采取的信息安全合法化模式，并探讨在满足合法化要求的前提下考虑绩效，对企业而言，既要避免“仪式性部署”，又要防止“为了安全而安全”。同时，采纳模式的划分，也有助于组织确定自身信息安全的战略定位，并确定适当的演化路径。例如，随着组织信息化程度的不断提高，由“企业信息化”向“信息化企业”转变的过程中，组织应该同步完成信息安全合法化向战略性采纳的演化和提升。

其次，对监管机构与第三方认证组织而言，采纳模式划分可以促使在监管过程或ISMS审核过程中考虑如何做到“因地制宜”或“因人而异”。尤其是地方政府往往通过认证补贴等途径，促进当地企业的信息安全管理规划化和标准化水平，但更多的企业往往停留于“仪式性采纳”，导致没有起到预期的作用。通过测量本研究所提供的组织采纳动机或影响因素，辨析组织采纳模式的途径，从而更好地做到“有的放矢”，解决文献中所提出的“骗补”等现象。

5.3 研究局限性与展望

但是，本研究依然存在一定的局限性。在选取的10家案例企业中，除NG-C6外，信息安全最佳实践的部署都通过同一个咨询团队，一些研究曾经指出咨询组织是导致新实践或结构广泛传播的重要原因之一，并在一定程度上导致了同形[7,26]。虽然本文的研究问题是为了探讨采纳动机与模式，发生在最佳实践的部署过程之前，但是同一家咨询组织的客户可能存在某些共同的特征，这些特征存在干扰研究结果的可能。

信息安全合法化采纳的四种模式，包括仪式性采纳，本身并没有绝对的好坏。重点在于采纳模式与组织战略是否匹配或一致。此外，信息安全是动态过程，而不是一成不变的状态。因此在信息安全合法化采纳之后，模式之间如何进行演化也是需要深入探讨的问题。对具体组织而言，最好是通过信息安全合法化过程不仅获取了合法性，同时也提高了信息安全有效性。最后，如访谈部分所述，27001∶2005部署过程中，“管理者代表”的定义同时也体现了组织对信息安全的不同定位，这应该属于治理层的问题。在信息安全情境中长期存在“重技术，轻管理”的现象，实际更严重的是“轻治理”[27]，因此，信息安全治理也是今后应该关注的问题之一。