高佳萌 呂途 國(guó)玉琳

摘要：

為降低工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全風(fēng)險(xiǎn)，提高信息安全防護(hù)能力，結(jié)合工業(yè)互聯(lián)網(wǎng)安全體系框架，構(gòu)建涵蓋制度、協(xié)同、技術(shù)和人員4項(xiàng)能力要素的工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全防護(hù)能力成熟度模型。結(jié)合23個(gè)工業(yè)互聯(lián)網(wǎng)企業(yè)典型安全解決方案，基于模糊集定性比較分析法探究信息安全防護(hù)能力組態(tài)構(gòu)成和提升路徑。研究結(jié)果表明，技術(shù)能力和制度能力是信息安全防護(hù)能力的重要組成部分，存在兩條以技術(shù)能力為核心、以制度能力或人員能力為輔的信息安全防護(hù)能力提升路徑和一條非高信息安全防護(hù)能力提升路徑，能夠有效提升企業(yè)信息安全防護(hù)水平。

關(guān)鍵詞：

工業(yè)互聯(lián)網(wǎng)；信息安全防護(hù)能力；層次分析法；模糊集定性比較分析

中圖分類號(hào)：C931.6???????? 文獻(xiàn)標(biāo)志碼：A

中國(guó)工業(yè)互聯(lián)網(wǎng)正加速向?qū)嶓w經(jīng)濟(jì)滲透，已覆蓋45個(gè)國(guó)民經(jīng)濟(jì)大類，助力制造業(yè)、能源、礦業(yè)、電力等各大支柱產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級(jí)。中國(guó)推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展，高度重視工業(yè)互聯(lián)網(wǎng)安全工作?！都訌?qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》指出“到2025年，制度機(jī)制健全完善，技術(shù)手段能力顯著提升，安全產(chǎn)業(yè)形成規(guī)模，基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系”［1］。相較于傳統(tǒng)工業(yè)，工業(yè)互聯(lián)網(wǎng)信息安全具有責(zé)任邊界不明［2］、波及范圍廣和危害程度重［3］等特征。工業(yè)互聯(lián)網(wǎng)環(huán)境下，企業(yè)設(shè)備與技術(shù)不斷升級(jí)［4］、業(yè)務(wù)模式逐步改變、信息數(shù)據(jù)呈現(xiàn)爆炸式增長(zhǎng)，企業(yè)信息安全水平亟待提升。卡內(nèi)基梅隆大學(xué)軟件工程研究院設(shè)計(jì)開發(fā)的能力成熟度模型（Capability Maturity Model， CMM）最初用于軟件開發(fā)，目前已應(yīng)用數(shù)據(jù)質(zhì)量管理［5］、數(shù)據(jù)主權(quán)安全［6］、企業(yè)數(shù)字化程度［7］、檔案數(shù)據(jù)安全治理能力［8］和數(shù)據(jù)科學(xué)能力［9］等領(lǐng)域，中國(guó)基于CMM制定的GB/T 41400—2022［10］可用于評(píng)估工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度，其他國(guó)家為保障工業(yè)互聯(lián)網(wǎng)安全則將工控安全納入國(guó)家戰(zhàn)略范疇［11］。目前學(xué)者多側(cè)重于研究信息安全的影響因素，本文從組織能力角度出發(fā)，基于成熟度模型，確定信息安全防護(hù)能力要素，探討各要素重要程度及組態(tài)效應(yīng)。

1 研究設(shè)計(jì)

1.1 模型構(gòu)建

工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全防護(hù)能力是指通過采取一系列措施保證工業(yè)互聯(lián)網(wǎng)應(yīng)用、數(shù)據(jù)、控制、網(wǎng)絡(luò)、設(shè)備等方面免受非授權(quán)或意外的訪問、篡改、破壞及損失的能力。本研究基于GB/T 41400—2022，以工業(yè)互聯(lián)網(wǎng)信息安全為核心，以工業(yè)互聯(lián)網(wǎng)信息安全需求為導(dǎo)向，構(gòu)建工業(yè)互聯(lián)網(wǎng)信息安全防護(hù)能力成熟度模型（以下簡(jiǎn)稱“信息安全防護(hù)能力成熟度模型”）包括工業(yè)互聯(lián)網(wǎng)信息安全防護(hù)能力建設(shè)過程、信息安全防護(hù)能力要素、信息安全防護(hù)能力成熟度等級(jí)（圖1）。

參照現(xiàn)行國(guó)家標(biāo)準(zhǔn)中能力成熟度等級(jí)，工業(yè)互聯(lián)網(wǎng)信息安全防護(hù)能級(jí)維度共劃分五級(jí)?？紤]工業(yè)互聯(lián)網(wǎng)安全核心保護(hù)對(duì)象為應(yīng)用、數(shù)據(jù)、控制、網(wǎng)絡(luò)和設(shè)備，過程維度劃分為：應(yīng)用安全包括工業(yè)互聯(lián)網(wǎng)平臺(tái)安全與工業(yè)應(yīng)用程序安全等，數(shù)據(jù)安全包括重要數(shù)據(jù)識(shí)別和數(shù)據(jù)傳輸安全等，控制安全包括控制系統(tǒng)身份校驗(yàn)、授權(quán)與訪問控制、加密算法等，網(wǎng)絡(luò)安全包括企業(yè)內(nèi)網(wǎng)與外網(wǎng)安全，設(shè)備安全包括工廠內(nèi)單點(diǎn)智能器件和成套智能終端等安全。信息安全管理有效性不僅需要管理與技術(shù)相結(jié)合，也需要企業(yè)人員的支持［12-13］，因此能力維度劃分為：制度能力表現(xiàn)為企業(yè)制定并實(shí)施信息安全制度［14-15］，協(xié)同能力指企業(yè)協(xié)調(diào)與整合各類資源，技術(shù)能力指企業(yè)引進(jìn)和應(yīng)用信息安全技術(shù)，人員能力表現(xiàn)為員工信息安全意識(shí)和技能等。

1.2 指標(biāo)體系構(gòu)建

1.2.1 指標(biāo)選取 基于工業(yè)互聯(lián)網(wǎng)信息安全防護(hù)能力成熟度模型能力維度，構(gòu)建信息安全防護(hù)能力評(píng)價(jià)指標(biāo)體系，涵蓋4個(gè)一級(jí)指標(biāo)和12個(gè)二級(jí)指標(biāo)。

制度能力測(cè)度指標(biāo)包括：規(guī)范性，保證信息安全制度制定、發(fā)布、修訂等環(huán)節(jié)必須符合相關(guān)標(biāo)準(zhǔn)及規(guī)范，保障制度體系科學(xué)合理、內(nèi)容完善［16］；適用性，信息安全制度與企業(yè)自身業(yè)務(wù)流程相適應(yīng)、可操作性強(qiáng)，能有效提高管理效率；明確性，制度體系明確合理，能夠有效解決工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部責(zé)任邊界不明、職責(zé)不清等現(xiàn)狀，明確各部門角色和職責(zé)。

協(xié)同能力測(cè)度指標(biāo)包括：安全與業(yè)務(wù)協(xié)同［17］，即信息安全管理相關(guān)部門應(yīng)與業(yè)務(wù)部門保持交流，并基于業(yè)務(wù)需求靈活變動(dòng)；資源吸收與應(yīng)用［18］，企業(yè)不僅要保持內(nèi)部各部門協(xié)同，也應(yīng)積極學(xué)習(xí)與應(yīng)用外部先進(jìn)信息安全管理經(jīng)驗(yàn)；外部多主體協(xié)同［19］，企業(yè)作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵節(jié)點(diǎn)，應(yīng)注意與上下游企業(yè)協(xié)同管理，整合信息安全相關(guān)資源。

技術(shù)能力測(cè)度指標(biāo)包括：升級(jí)傳統(tǒng)技術(shù)，工業(yè)互聯(lián)網(wǎng)企業(yè)許多傳統(tǒng)工業(yè)設(shè)備及信息系統(tǒng)缺乏信息安全相關(guān)設(shè)計(jì)，因此需要在原有基礎(chǔ)上不斷升級(jí)；引入新技術(shù)，外部攻擊手段日益復(fù)雜，傳統(tǒng)信息安全技術(shù)難以滿足企業(yè)安全需求，需要引入新一代信息安全技術(shù)；堅(jiān)持技術(shù)自主創(chuàng)新，加快推進(jìn)應(yīng)用、數(shù)據(jù)、控制、網(wǎng)絡(luò)、設(shè)備等關(guān)鍵核心技術(shù)和基礎(chǔ)理論創(chuàng)新突破，大力支持工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化相關(guān)工作，提高信息安全技術(shù)與自身業(yè)務(wù)需求匹配度。

人員能力測(cè)度指標(biāo)包括：提高信息安全意識(shí)［20］，信息安全管理人員應(yīng)充分了解工業(yè)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)、政策和相關(guān)程序；提升員工信息安全知識(shí)與技能，信息安全管理人員要不斷接受培訓(xùn)以適應(yīng)工作環(huán)境［21］；推進(jìn)人才引進(jìn)、注重人才培養(yǎng)，通過建立安全人才庫(kù)、創(chuàng)新聯(lián)合培養(yǎng)機(jī)制，加快培養(yǎng)復(fù)合型、實(shí)戰(zhàn)型信息人才，打造一支高水平、高質(zhì)量信息安全管理人才隊(duì)伍，為企業(yè)信息安全建設(shè)奠定人才基礎(chǔ)。

1.2.2 指標(biāo)權(quán)重確定 采用層次分析法［22］確定信息安全防護(hù)能力指標(biāo)權(quán)重。為保證數(shù)據(jù)權(quán)威性，邀請(qǐng)工業(yè)互聯(lián)網(wǎng)信息安全專家及學(xué)者共46名?；诰C合打分結(jié)果，以一級(jí)指標(biāo)為例，構(gòu)建判斷矩陣

A=12.47……0.40………………2.37……0.421

計(jì)算判斷矩陣最大特征值λmax=4.21，一致性指標(biāo)CI=0.07，隨機(jī)一致性比率CR=0.08。重復(fù)上述步驟計(jì)算二級(jí)指標(biāo)權(quán)重，計(jì)算結(jié)果顯示指標(biāo)一致性結(jié)果均小于0.1，判斷矩陣滿足一致性檢驗(yàn)。由表1可知，4個(gè)一級(jí)指標(biāo)中，技術(shù)能力占比最大，制度能力其次，協(xié)同能力和人員能力占比較小。12個(gè)二級(jí)指標(biāo)中，規(guī)范性相比適用性和明確性更重要，表明企業(yè)制定信息安全制度應(yīng)符合相應(yīng)國(guó)家標(biāo)準(zhǔn)及政策；安全與業(yè)務(wù)協(xié)同、新技術(shù)引入、信息安全知識(shí)與技能占比較大，表明企業(yè)提升協(xié)同能力時(shí)應(yīng)注重安全與業(yè)務(wù)協(xié)同，技術(shù)能力重點(diǎn)關(guān)注新技術(shù)引入和傳統(tǒng)技術(shù)升級(jí)，人員能力著重提高員工信息安全知識(shí)與技能。

1.3 關(guān)鍵要素分析

1.3.1 研究框架 基于層次分析法，通過專家打分驗(yàn)證信息安全防護(hù)能力評(píng)價(jià)體系，指標(biāo)權(quán)重結(jié)果能夠指導(dǎo)企業(yè)有針對(duì)性地建設(shè)信息安全防護(hù)能力，但難以解決制度能力、協(xié)同能力等一級(jí)指標(biāo)間潛在相互依賴性等問題。模糊集定性比較分析法（fuzzy set Qualitative Comparison Analysis method， fsQCA）［23］可利用組態(tài)思維檢驗(yàn)多要素聯(lián)動(dòng)匹配效應(yīng)，發(fā)現(xiàn)不同組態(tài)中各要素組合方式差異。本研究框架以信息安全防護(hù)能力指標(biāo)體系中一級(jí)評(píng)價(jià)指標(biāo)為條件變量，以信息安全防護(hù)能力為結(jié)果變量，采用fsQCA識(shí)別提升企業(yè)信息安全防護(hù)能力多條等效路徑（圖2）。

1.3.2 數(shù)據(jù)收集及校準(zhǔn) 研究案例選取23個(gè)工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全防護(hù)典型安全解決方案，均來源于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟網(wǎng)站2020—2022年度安全版塊，且均與工業(yè)互聯(lián)網(wǎng)信息安全相關(guān)（表2）。原始資料中部分企業(yè)使用“某”字做信息保護(hù)處理。采取間接校準(zhǔn)法［24］（四分均值錨點(diǎn)賦值）處理數(shù)據(jù)，信息安全防護(hù)能力二級(jí)指標(biāo)作為判斷標(biāo)準(zhǔn)，賦值條件變量標(biāo)準(zhǔn)為：3條均滿足賦值1，滿足兩條賦值0.67，滿足1條賦值0.33，都不滿足賦值0?？紤]案例本身客觀實(shí)際，結(jié)合專家建議，最終得校準(zhǔn)結(jié)果。

2 結(jié)果與討論

2.1 單個(gè)條件必要性分析

組態(tài)分析前，信息安全防護(hù)能力條件變量需要必要性檢驗(yàn)。由表3可知，非高信息安全防護(hù)能力時(shí)，～協(xié)同能力、～技術(shù)能力和～人員能力一致性均高于0.9，是必要條件，表明企業(yè)信息安全防護(hù)能力差時(shí)，企業(yè)協(xié)同能力、技術(shù)能力和人員能力必定沒有達(dá)到要求。高信息安全防護(hù)能力時(shí)，所有變量一致性均低于0.9，不構(gòu)成必要條件，表明高信息安全防護(hù)能力不是依靠單因素作用，而是受多因素組合作用影響。綜上，需從組態(tài)視角討論結(jié)果變量多維度并發(fā)關(guān)系。

2.2 組態(tài)分析

fsQCA4.0軟件標(biāo)準(zhǔn)化分析會(huì)呈現(xiàn)復(fù)雜解、中間解和簡(jiǎn)單解，由于中間解包括所有會(huì)出現(xiàn)的必要性條件分析，且采納部分邏輯余項(xiàng)，更具合理性，本文選取中間解討論變量組態(tài)路徑，發(fā)現(xiàn)高信息安全防護(hù)能力存在2條組態(tài)路徑，總覆蓋率達(dá)0.83，且總一致性為1，高于可接受閾值0.8（表4）。

路徑1為“制度能力”和“技術(shù)能力”組合路徑，其中“技術(shù)能力”為核心條件，“制度能力”為邊緣條件，“協(xié)同能力”和“人員能力”為無關(guān)緊要條件，該路徑表明工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全問題解決方案是以技術(shù)能力為基，輔以信息安全制度。如某石化企業(yè)生產(chǎn)環(huán)境信息安全的解決方案中部署多維度審計(jì)系統(tǒng)，以提升網(wǎng)絡(luò)和數(shù)據(jù)安全技術(shù)能力；依靠管理措施來彌補(bǔ)技術(shù)措施缺陷，調(diào)整原有管理模式和管理策略，遵循信息系統(tǒng)安全管理規(guī)范，明確安全管理責(zé)任部門或責(zé)任人；按照國(guó)家相關(guān)標(biāo)準(zhǔn)制定信息安全事件應(yīng)急處置預(yù)案，定期開展安全自查，最終全方位提升企業(yè)信息安全防護(hù)能力。

路徑2為“～協(xié)同能力”“技術(shù)能力”“人員能力”組合路徑，其中“技術(shù)能力”為核心條件?！叭藛T能力”為邊緣條件，“～協(xié)同能力”為邊緣條件缺失，“制度能力”為無關(guān)緊要條件。如港虹公司安全解決方案中工業(yè)防火墻、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、工控主機(jī)防護(hù)系統(tǒng)均為自主研發(fā)，工控網(wǎng)絡(luò)安全防護(hù)與加固工作比較完備；注重安全管理人員培養(yǎng)，員工日常安全意識(shí)教育及安全技能培訓(xùn)工作完善，對(duì)關(guān)鍵崗位人員在錄用或上崗前采取全面、嚴(yán)格的安全審查和技能考核。企業(yè)信息安全防護(hù)水平有效提升，但該方案未重視協(xié)同能力建設(shè)。

此外，產(chǎn)生非高信息安全防護(hù)能力組態(tài)有1個(gè)，表明若企業(yè)信息安全制度不規(guī)范、不明確，協(xié)同能力缺失，技術(shù)水平落后，相關(guān)人員安全意識(shí)不高、缺乏必備知識(shí)和技能，則無法獲得高信息安全防護(hù)水平。

2.3 穩(wěn)健性檢驗(yàn)

穩(wěn)健性檢驗(yàn)主要采取兩種方法：調(diào)整一致性閾值［25］，0.80上調(diào)至0.85后，發(fā)現(xiàn)中間解路徑組合及相應(yīng)估計(jì)參數(shù)未發(fā)生變化；調(diào)整案例數(shù)，根據(jù)信息安全防護(hù)能力水平，每層級(jí)隨機(jī)刪掉一個(gè)案例，發(fā)現(xiàn)路徑組合未發(fā)生變化。綜上，本研究結(jié)論具備穩(wěn)健性。

3 結(jié)論

本文基于CMM構(gòu)建企業(yè)信息安全防護(hù)能力成熟度模型，以多個(gè)典型信息安全案例為樣本，探討高信息安全防護(hù)能力的多元路徑。研究結(jié)果表明，工業(yè)互聯(lián)網(wǎng)企業(yè)信息安全防護(hù)能力關(guān)鍵要素包括制度能力、協(xié)同能力、技術(shù)能力和人員能力，且技術(shù)能力、制度能力和人員能力的提升能有效提高企業(yè)信息安全防護(hù)水平。建議企業(yè)依據(jù)信息安全防護(hù)能力成熟度模型尋找安全建設(shè)薄弱環(huán)節(jié)，評(píng)價(jià)信息安全防護(hù)能力現(xiàn)狀；加快傳統(tǒng)技術(shù)升級(jí)和新技術(shù)引入，加強(qiáng)信息安全制度建設(shè)，注重人才培養(yǎng)。今后將結(jié)合國(guó)家政策環(huán)境以及行業(yè)標(biāo)準(zhǔn)等外部條件，綜合探討企業(yè)信息安全防護(hù)能力建設(shè)的影響機(jī)制。

參考文獻(xiàn)

［1］工業(yè)和信息化部等. 十部門關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見： 工信部聯(lián)網(wǎng)安〔2019〕168號(hào)［EB/OL］. 北京： 工業(yè)和信息化部， 2019［2023-02-10］. https：//www.gov.cn/xinwen/2019-08/28/content_ 5425389.htm.

［2］任語(yǔ)錚， 謝人超， 曾詩(shī)欽， 等. 工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系綜述［J］. 通信學(xué)報(bào)， 2019， 40（11）： 138-155.

［3］王秋華， 吳國(guó)華， 魏東曉， 等. 工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展態(tài)勢(shì)及路徑研究［J］. 中國(guó)工程科學(xué)， 2021， 23（2）： 46-55.

［4］呂英勝. 工業(yè)互聯(lián)網(wǎng)安全問題分析及對(duì)策［J］. 數(shù)字通信世界， 2023（4）： 80-82.

［5］PAULK M C. A history of the capability maturity model for software［J］. Software Quality Professional， 2010， 12（1）： 5-16.

［6］KIM S， PREZ-CASTILLO R， CABALLERO I， et al. Organizational process maturity model for IOT data quality management［J］. Journal of Industrial Information Integration， 2022， 26： 100256.

［7］黃海瑛， 文禹衡. 數(shù)據(jù)主權(quán)安全能力的成熟度模型構(gòu)建研究［J］. 圖書與情報(bào)， 2021（4）： 29-38.

［8］王核成， 王思惟， 劉人懷. 企業(yè)數(shù)字化成熟度模型研究［J］. 管理評(píng)論， 2021， 33（12）： 152-162.

［9］金波， 楊鵬. 大數(shù)據(jù)時(shí)代檔案數(shù)據(jù)安全治理能力成熟度模型構(gòu)建［J］. 檔案學(xué)通訊， 2022（1）： 29-36.

［10］ GOKALP M O， GKALP E， KAVABAY K， et al. The development of the data science capability maturity model： A survey-based research［J］. Online Information Review， 2022， 46（3）： 547-567.

［11］ 中華人民共和國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局， 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì). 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型： GB/T 41400—2022［S］. 北京： 中國(guó)標(biāo)準(zhǔn)出版社， 2022.

［12］ 劉曉曼， 全湘溶， 李?yuàn)? 國(guó)外工業(yè)互聯(lián)網(wǎng)安全發(fā)展概況［J］. 保密科學(xué)技術(shù)， 2020（5）： 20-26.

［13］ 劉晨暉， 王能民. 組織控制對(duì)信息安全遵從行為的影響—上下級(jí)關(guān)系與組織承諾的調(diào)節(jié)作用［J］. 管理評(píng)論， 2022， 34（9）： 208-220.

［14］ NICHO M. A process model for implementing information systems security governance［J］. Information & Computer Security， 2018， 26（1）： 10-38.

［15］ 陳昊， 李文立， 陳立榮. 組織控制與信息安全制度遵守： 面子傾向的調(diào)節(jié)效應(yīng)［J］. 管理科學(xué)， 2016，29（3）： 1-12.

［16］ CHEN H， LIU M Y. LYU T. Understanding employees′ information security-related stress and policy compliance intention： The roles of information security fatigue and psychological capital［J］. Information and Computer Security， 2022， 30（5）： 751-770.

［17］ 王震， 盧寶周. 平臺(tái)機(jī)制、制度信任與出行意愿： 共享出行的實(shí)證研究［J］. 青島大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2021， 34（3）： 105-110.

［18］ TU C Z， YUAN Y F， ARCHER N， et al. Strategic value alignment for information security management： A critical success factor analysis［J］. Information and Computer Security， 2018， 26（2）： 150-170.

［19］ 綦良群， 王曦研. 先進(jìn)制造企業(yè)外部資源獲取、協(xié)同能力與服務(wù)創(chuàng)新績(jī)效研究［J］. 學(xué)習(xí)與探索， 2022（10）： 113-120.

［20］ LI W Z， ZHU H D. Research on comprehensive enterprise network security［C］//11th International Conference on Electronics Information and Emergency Communication （ICEIEC）. Beijing， 2021： 204-209.

［21］ D′ARCY J ， HOVAY A ， GALLETTA D. User awareness of security countermeasures and its impact on information systems misuse： A deterrence approach［J］. Information Systems Research， 2009， 20（1）： 79-98.

［22］ 馬潤(rùn)飛， 周巖， 孫雨欣. 農(nóng)產(chǎn)品綠色物流評(píng)價(jià)指標(biāo)體系的構(gòu)建研究［J］. 青島大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2020， 33（2）： 63-68.

［23］ 李晚蓮， 蔣化， 曾鋒. 突發(fā)公共事件網(wǎng)絡(luò)輿情反轉(zhuǎn)強(qiáng)度生成機(jī)理研究—基于多案例的fsQCA分析［J］. 情報(bào)雜志， 2022， 41（11）： 129-136+54.

［24］ 郝瑾， 王風(fēng)彬， 王璁. 海外子公司角色分類及其與管控方式的匹配效應(yīng)—一項(xiàng)雙層多案例定性比較分析［J］. 管理世界， 2017（10）： 150-171.

［25］ 張舒寧， 李勇泉， 阮文奇. 接收、共鳴與分享：網(wǎng)絡(luò)口碑推動(dòng)網(wǎng)紅餐飲粉絲效應(yīng)的過程機(jī)理［J］. 南開管理評(píng)論， 2021， 24（3）： 37-51.

Research on the Improvement Path of Information Security ProtectionCapability of Industrial Internet Enterprises

GAO Jia-meng， LYU Tu， GUO Yu-lin

（School of Business， Qingdao University， Qingdao 266061， China）

Abstract：

In order to reduce the information security risks of industrial Internet enterprises and improve information security protection capabilities， the Capability Maturity Model for information security protection of industrial Internet enterprises was constructed in combination with the industrial Internet security system framework including four capability elements： system， collaboration， technology and personnel. Combined with 23 typical security solutions of industrial Internet enterprises， the configuration composition and promotion path of information security protection capability were explored based on the Fuzzy set qualitative comparative analysis method. The research results show that technical ability and institutional ability are important components of information security protection ability. There are two paths to improve information security protection ability with technical ability as the core and institutional ability or personnel ability as the supplement， and one path to improve non-high information security protection ability， which can effectively improve the information security protection level of enterprises.

Keywords：

industrial Internet; information security protection capability; AHP; fsQCA

收稿日期：2023-04-04

基金項(xiàng)目：

國(guó)家社會(huì)科學(xué)基金（批準(zhǔn)號(hào)：22CGL037）資助。

通信作者：

呂途，女，博士，副教授，主要研究方向?yàn)榻M織行為等。E-mail：piko1210@126.com