ối cảnh:

  + Các chính sách bảo mật thường bị hiểu sai, gây ra vi phạm không chủ ý.

  + Ví dụ: lỗi bảo mật trong bộ xử lý Intel do hiểu sai tài liệu kỹ thuật.

  + Chính sách dài, khó hiểu, thiếu rõ ràng → giảm tuân thủ.

• Phương pháp:
•   + Áp dụng lý thuyết cấu trúc cá nhân (TPC) của Kelly (1955): con người hiểu thế giới qua các cặp khái niệm đối lập.
•   + Kỹ thuật RepGrid: xác định các yếu tố (elements), cấu trúc (constructs), và liên kết (links).
•   + Phân tích nội dung và phân tích cụm để xác định sự hội tụ và phân kỳ trong nhận thức.
• - Thiết kế nghiên cứu:
•   + 5 chính sách con: sử dụng hợp lý, vai trò hệ thống, mật khẩu, email, truy cập từ xa.
•   + 5 nhân viên có kinh nghiệm bảo mật được chọn để tạo cấu trúc (30 cấu trúc).
•   + 26 nhân viên còn lại đánh giá các cấu trúc theo thang điểm 5.
•   + Phân tích bằng Excel và SPSS.
• - Kết quả:
•   + Các cấu trúc được chia thành 3 nhóm: nội dung, hình thức, quy trình.
•   + Quy trình được đánh giá cao nhất: phản ánh tầm quan trọng, rõ ràng trách nhiệm.
•   + Nhân viên có kinh nghiệm cao và thấp đánh giá cao cấu trúc “chính sách phản ánh tầm quan trọng” và “chính sách chi tiết”.
•   + Phân tích cụm cho thấy sự khác biệt lớn giữa các cá nhân: người có 2 cụm → hiểu đơn giản; người có 9 cụm → hiểu phức tạp, có thể nhầm lẫn.
•   + Dendrogram minh họa sự khác biệt trong cách nhóm cấu trúc giữa các cá nhân.
• - Đề xuất:
•   + Proposition 1: Nhận thức về nội dung, hình thức và quy trình ảnh hưởng đến tuân thủ.
•   + Proposition 2: Hiểu sự hội tụ và phân kỳ trong nhận thức là yếu tố then chốt để cải thiện chính sách.
•   + Proposition 3: RepGrid có thể hỗ trợ quản lý vòng đời chính sách bảo mật.
• - Hạn chế:
•   + Chỉ nghiên cứu một tổ chức nhỏ, thiếu dữ liệu lịch sử.
•   + Phân tích RepGrid tốn thời gian nếu áp dụng rộng rãi.