（整理人：萧文龙、王啸群）

信息技术在给企业带来成功机会的同时，也给企业带来了安全隐患，信息安全事件近年来不断出现，威胁到组织。 Shiau et al. (2023)从最好的信息安全期刊和会议（由计算机科学研究的重要门户research.com发布），以及信息系统协会(AIS)编制的MIS期刊中筛选了发表在1996年至2021年间的8006篇信息安全研究论文进行共被引研究。研究表明：信息安全研究可以划分为八个核心知识群组，包括(1)入侵检测，(2)隐私保护，(3)安全机器学习，(4)密码系统，(5)数据服务安全，(6)恶意软件分析，(7)安全决策，(8)安全管理。与外部攻击相比，内部计算机滥用对安全的威胁更为严重。为了减轻与内部攻击相关的安全风险，一个基本的方法是遵循安全策略。Shiau et al. (2023) 的研究同时识别了信息安全领域内115篇高被引的重要论文。其中，由Herath and Rao (2009)发表在《European Journal of information systems》上的 “Protection motivation and deterrence: a framework for security policy compliance in organisations”构建了一个综合性的模型用于解释组织用户对安全策略遵循的机制。该文章在Google Scholar被引达1683次，而Web of Science平台上的引用也达到了902次，本期我们就介绍这篇论文如下。

信息安全不能仅通过技术工具来实现，大多数组织花费时间和资源来提供、建立和监控计算机安全策略。然而，如果信息系统的最终用户不愿意遵循这些策略，那么这些努力都是徒劳的。为此，作者整合了保护动机理论、威慑理论、组织承诺和分解式计划行为理论, 建立了安全策略遵从的综合保护激励与威慑模型，组织还评估了组织承诺对员工安全合规意愿的影响。借助来自78个组织的312名员工的反馈，作者对所提出的模型进行了实证检验。研究结果表明：(a)对违规严重程度的威胁认知和对反应效能、自我效能和反应成本的认知可能会影响政策态度;(b)组织承诺和社会影响对合规意愿有显著影响;(c)资源可获得性是提高自我效能感的重要因素，而自我效能感又是政策遵从意愿的重要预测因子。

参考文献：

Herath, T., & Rao, H. R. (2009). Protection motivation and deterrence: a framework for security policy compliance in organisations. European Journal of Information Systems, Vol. 18 No. 2, pp. 106-125.

Shiau, W.-L., Wang, X., & Zheng, F. (2023). What are the trend and core knowledge of information security? A citation and co-citation analysis. Information & Management, Vol. 60 No. 3, doi: https://doi.org/10.1016/j.im.2023.103774.