在当今大数据时代,信息安全对组织的持续发展起着至关重要的作用。员工作为信息安全链中最薄弱的环节,他们的信息安全政策服从行为将影响组织的信息安全。以往的研究学者主要关注正式管理控制(惩罚、奖励和监控)对员工信息安全政策服从行为的影响。然而,学者对其它类型的控制机制(非正式社会控制和自我控制)的影响关注度较低。因此,了解有哪些控制机制以及哪种控制机制对管理员工的信息安全行为更加有效,对改善组织的信息安全至关重要。在本论文,我们提出了正式控制和非正式控制在信息安全领域的分类,并提出一个在管理控制视角下的整合模型。然后,利用元分析的方法对该模型进行验证。研究结果显示我们提出的模型在很大程度上得到了支持,正式控制和非正式控制可以促使员工服从信息安全政策。相比于正式控制机制,非正式社会控制和自我控制对员工的信息安全管理更加有效。进一步我们发现,在不同情境下,正式控制和非正式控制机制的有效性存在显著差异。我们发现,在东方文化背景下,正式控制和非正式社会控制更加有效;而在西方文化背景下,自我控制更加有效。对于一般的信息安全政策来说,正式控制对员工的信息安全行为更加有效;而对于具体的信息安全政策来说,非正式控制更加有效。与说服员工不要做出信息安全违背行为相比,非正式控制在说服员工服从信息安全政策上更加有效。两种控制机制只能影响员工的信息安全服从意愿,不能促使员工真正做出信息安全服从行为。