【文献推荐】SCM 2025网络安全意识、网络安全供应链风险管理与企业绩效的关系

推荐理由 

本文聚焦中小企业这一在网络安全领域常被忽视却极具重要性的群体，针对当前全球网络攻击频发、中小企业因资源有限更易成为攻击目标的现实背景，首次基于 NIST CSF 2.0 框架实证探究网络安全供应链风险管理（C-SCRM）的作用，采用混合研究方法将定量问卷调查与定性访谈相结合，既保证了研究结论的普遍性与统计严谨性，又通过案例深入挖掘了现象背后的机制，其研究结果不仅为中小企业制定网络安全策略提供了切实可行的指导，也为学术界完善网络安全与企业绩效关系的理论体系填补了关键空白，对企业管理者、政策制定者及相关领域研究者均具有极高的参考价值。

研究框架

研究问题 

这篇文章的研究问题围绕中小企业中网络安全意识（CSAW）、网络安全供应链风险管理与企业绩效三者之间的关系展开，具体可以概括为以下三个核心问题：

RQ1：拥有网络安全意识是否能直接提升企业绩效？

RQ2: 实施网络安全供应链风险管理是否能提升企业绩效？

RQ3: 网络安全意识是否通过促进网络安全供应链风险管理来间接影响企业绩效？

研究假设 

H1：网络安全意识与企业绩效存在直接正向关系。

H1a：网络安全意识与企业财务绩效呈正相关关系。

H1b：网络安全意识与企业商业绩效呈正相关关系。

H2：网络安全供应链风险管理在网络安全意识与企业绩效的关系中起中介作用。 

H2a：网络安全供应链风险管理在网络安全意识与企业财务绩效的正相关关系中起中介作用。

H2b：网络安全供应链风险管理在网络安全意识与企业商业绩效的正相关关系中起中介作用。

研究设计

本研究采用混合研究方法，分为定量问卷调查与定性访谈两个阶段。在问卷调查阶段，研究对象为 2023 年 12 月至 2024 年 2 月期间的丹麦中小型制造企业（NACE 代码 10-33，员工人数≤250 人），从丹麦企业数据库 “Bisnode” 筛选出 1293 家有效企业，向 CEO、供应链经理等关键决策者发送问卷，最终回收 248 份完整问卷，有效回收率 19.2%。

问卷设计中，企业绩效（分为财务绩效与商业绩效）参考 Gonzalez-Benito 和 Chen 等人的量表，采用五点李克特量表衡量过去三年的绩效变化；网络安全供应链风险管理基于 NIST 2.0 框架设计题项，网络安全意识参考 Nwankpaa 和 Datta 的五题项量表，同时将企业规模（员工总数）和技术强度（基于欧盟统计局分类）作为控制变量。

数据分析上，通过探索性因子分析（EFA）和验证性因子分析（CFA）检验测量模型的信度与效度，运用基于协方差的结构方程模型（CB-SEM）检验假设，并通过 5000 次 Bootstrap 抽样评估中介效应。

在定性访谈阶段，从问卷样本中依据网络安全意识和网络安全供应链风险管理水平选取 “低—低”（Alfa、Beta）和 “高—高”（Gamma、Delta）两类极端案例企业，通过 Teams 进行 20-30 分钟的线上访谈，基于预设访谈指南深入了解企业网络安全实践的具体情况，以进一步解释和丰富问卷调查结果。

研究发现

研究结论表明，单纯提升网络安全意识无法直接为企业带来财务或商业绩效收益。定量数据显示，网络安全意识对财务绩效和商业绩效的总效应均不显著，且直接效应也无统计学意义。这意味着仅让企业认知到网络安全威胁，而不转化为具体行动，无法减少运营损失、提升利润或改善客户满意度、品牌声誉，与部分过往将绩效混为一谈的研究结论不同，本研究通过拆分绩效维度，明确了网络安全意识缺乏直接绩效价值。

针对“实施网络安全供应链风险管理是否能在财务绩效和商业绩效层面为企业带来实际收益” 研究结论呈现差异化结果：一方面，络安全供应链风险管理能为企业带来财务绩效收益，定量分析显示络安全供应链风险管理对财务绩效存在显著正向影响，且其内部整合与外部供应商管理需协同作用才能充分发挥效果；另一方面，络安全供应链风险管理无法为商业绩效带来显著收益，其对商业绩效的影响不显著，定性访谈也补充说明，当前客户仍以价格为核心合作考量，尚未成为商业竞争优势，难以提升企业声誉、客户满意度或市场份额。

针对“网络安全意识对网络安全供应链风险管理是否具有积极作用”。研究结论明确，网络安全意识对络安全供应链风险管理具有显著正向驱动作用，是络安全供应链风险管理实践落地的重要前提。定量数据显示，网络安全意识对络安全供应链风险管理的直接效应显著，且对络安全供应链风险管理的两个维度，内部整合和外部供应商管理均有积极影响；定性访谈也印证，低网络安全意识企业（如Alfa、Beta）因缺乏风险认知，更难推进络安全供应链风险管理，而高网络安全意识企业（如Gamma、Delta）更易主动开展供应商风险评估、供应链安全整合等实践，进一步说明网络安全意识是企业从“感知”网络威胁转向“行动”应对风险的关键基础。

研究贡献 

第一，丰富动态能力理论（DCV）在网络安全领域的应用。研究以动态能力理论为基础，揭示企业在网络安全管理中的能力分层——网络安全意识体现企业 “感知” 网络威胁的能力，而网络安全供应链风险管理则涵盖 “获取” 资源与 “转化” 流程的能力。实证发现部分企业仅停留在 “感知” 阶段（提升网络安全意识），却难以推进 “获取” 与 “转化” 以落地络安全供应链风险管理，明确了企业需协同三类动态能力才能实现绩效提升，完善了该理论在网络安全与供应链管理交叉领域的解释力。

第二，细化企业绩效与网络安全因素的关联机制。研究创新性地将企业绩效拆分为财务绩效（投资回报率、销售利润率等）与商业绩效（声誉、客户满意度等），实证发现络安全供应链风险管理仅通过网络安全意识间接提升财务绩效，对商业绩效无显著影响。这一细分结论修正了过往研究中绩效测量模糊的缺陷，揭示了网络安全因素对不同维度绩效的差异化作用，为后续研究提供了更清晰的分析视角。

第三，为中小企业提供明确的网络安全行动路径。研究结果表明，单纯提升网络安全意识无法直接改善绩效，需将意识转化为络安全供应链风险管理实践（如建立供应链安全流程、管控供应商风险）才能提升财务绩效。基于此，为中小企业提供了可操作的行动指南：优先参照 NIST CSF 2.0 框架，同步推进内部流程整合（如制定络安全供应链风险管理制度、整合企业风险管理）与外部供应商管理（如识别关键供应商风险、将供应商纳入事件响应），避免陷入 “只知风险、不做应对” 的困境。

第四，为政策制定者提供靶向支持依据。针对中小企业实施络安全供应链风险管理面临的资源约束问题，研究提出具体政策建议：一是设立专项资助计划，降低中小企业网络安全投入成本；二是搭建行业共享服务平台，提供供应链风险评估、安全培训等集约化服务；三是推动监管框架优化，鼓励企业将络安全供应链风险管理融入跨部门管理，而非仅依赖 IT 部门，同时引导大型客户将网络安全纳入供应链合作评估，倒逼中小企业提升管理水平。

Abstract 

Purpose - The purpose of this paper is to enhance comprehension of the mechanisms by which cybersecurity awareness (CSAW) impact the performance of small- and medium-sized manufacturers. This will be accomplished by testing the mediation effect of cybersecurity supply chain risk management (C-SCRM).

Design/methodology/approach – The paper is based on a mixed-method approach consisting of a questionnaire survey and qualitative interviews. The questionnaire survey involves 248 individual respondents and was conducted from December 2023 to February 2024 among Danish small-and medium-sized enterprises (SMEs). Based on these insights, nuanced interpretations of the survey results have been explored through four qualitative interviews in Danish production SMEs.

Findings – The results reveal that despite a nonsignificant total effect of CSAW on financial performance, there is interestingly a positive indirect effect through C-SCRM. For commercial performance, both the total effect from CSAW and the indirect effect through C-SCRM was insignificant.

Research limitations/implications – Data were collected from Danish companies, each having a single respondent. Further research is necessary to analyze these relationships in other countries and with multiple respondents per company.

Practical implications – The results indicate that it pays off to prioritize cybersecurity in supply chains, initially through increased awareness and subsequently with investments in C-SCRM practices to improve financial firm performance.

Originality/value – To the best of the authors’ knowledge, this paper is the first to empirically investigate C-SCRM based on NIST 2.0 in the context of SMEs.

引用格式 

Stentoft J, Peressotti M, Mayer P, Wickstrøm KA, Schmitt O, Keating VC, Theussen A, Tumchewics LA, Kankam-Boateng J (2025), "The relationship between cybersecurity awareness, cybersecurity supply chain risk management and firm performance". Supply Chain Management: An International Journal, Vol. 30 No. 5 pp. 497–517.

原文链接

https://doi.org/10.1108/SCM-11-2024-0765