HAIS-Q gồm 63 câu hỏi chia thành 7 nhóm: Quản lý mật khẩu, Email, Internet, Mạng xã hội, Thiết bị di động, Xử lý thông tin, Báo cáo sự cố. Mỗi nhóm có 3 khía cạnh: kiến thức, thái độ, hành vi.

   - Nghiên cứu 1: 112 sinh viên đại học tham gia thí nghiệm phishing và hoàn thành HAIS-Q. Kết quả cho thấy điểm HAIS-Q cao tương quan với khả năng nhận diện email phishing tốt hơn → xác thực giá trị hội tụ.

   - Nghiên cứu 2: 505 nhân viên tại Úc hoàn thành HAIS-Q. Phân tích thống kê cho thấy:

     • Độ tin cậy nội tại cao (Cronbach α từ 0.75–0.82)

     • Ít ảnh hưởng bởi xu hướng trả lời xã hội (social desirability bias)

     • Phân phối điểm hợp lý, không bị hiệu ứng trần/sàn

     • Phân tích nhân tố xác nhận 1 nhân tố chính chiếm 48% phương sai → xác thực cấu trúc

   - Các nhóm có điểm thấp nhất: Email (đặc biệt là nhầm lẫn email từ người quen) và Internet (tải file không kiểm tra).

   - Các nhóm có điểm cao nhất: Quản lý mật khẩu và Xử lý thông tin (do đã được đào tạo lâu dài).

   - HAIS-Q có thể dùng để đánh giá hiệu quả chương trình đào tạo bảo mật, so sánh giữa các nhóm nhân viên, hoặc đo lường theo từng nhóm nội dung.

   - Công cụ có thể sử dụng linh hoạt theo từng mục tiêu nghiên cứu (toàn bộ 63 câu hoặc từng nhóm).

   - Đề xuất mở rộng HAIS-Q trong tương lai để đo lường các mối đe dọa mới như IoT, cloud, BYOD, và tích hợp thang đo thiên lệch xã hội.

   - Mô hình ISA tổng hợp: các yếu tố cá nhân, tổ chức, can thiệp → ảnh hưởng đến kiến thức, thái độ, hành vi → ISA.