臺灣博碩士論文加值系統

資訊安全問題急速擴散漫延，從資訊科技技術領域延伸至組織管理制度領域，嚴重威脅組織的資訊安全。ISO 27001是資訊安全管理系統的國際驗證標準，組織通過ISO 27001驗證，並不保障擁有優異的資訊安全管理績效。資訊安全管理系統必須在持續有效運作下，才能發揮保護組織資訊安全的效益。如何評估資訊安全管理系統的有效性、並據以改善資訊安全管理系統的績效，乃是組織持續推動資訊安全管理系統的重要核心議題。
本研究以個案研究方式，瞭解檔案管理局資訊安全管理系統的實施情形及需求，並探討資訊安全管理系統及績效評估相關文獻後，運用平衡計分卡績效管理模式，由任務使命、顧客、內部流程及學習與成長4項構面，架構以「健全資安防護能力、提高服務品質、落實資訊安全管理系統、加強資安技術與觀念宣導」為策略的資訊安全管理系統平衡計分卡。
本研究結果發現，運用平衡計分卡，可以由上而下完整的表達資訊安全管理系統的願景、策略、目標及行動計畫之間的因果關係，透過落後指標與領先指標的整合運用，探索關鍵性績效評估指標，達到衡量資訊安全管理系統的有效性。

Information security problems spread rapidly from the information technology domain into the organization management one. They severely threat the information security of an organization. ISO 27001 is an international certification standard of information security management systems(ISMS). An ISO 27001 certified organization, however, doesn’t guarantee that it has superior performance for its information security management. To protect the information assets of an organization, the ISMS must keep operating effectively. A core issue regarding information security is to evaluate and implove the effectiveness of the ISMS.
This study applies the method of case study to realize the requirements and statues of current ISMS in National Archives Administration. Thereafter, this study employs balanced scorecard to construct a model for evaluating the performance of the ISMS for the case. The results show that this model is capable of concatenating the mission, strategies, objectives, and action plans for the ISMS. In addition, helpful critical indicators are developed to evaluate the effectiveness of the ISMS.

目 錄
摘 要 -------------------------------------------------I
Abstract ------------------------------------------------II
誌 謝 -----------------------------------------------III
目 錄 ------------------------------------------------IV
表目錄 ------------------------------------------------VI
圖目錄 -----------------------------------------------VII
第一章 緒論 ----------------------------------------1
1.1 研究背景 ----------------------------------------1
1.2 研究動機 ----------------------------------------2
1.3 研究目的 ----------------------------------------3
1.4 研究方法 ----------------------------------------3
1.5 研究範圍與限制 ----------------------------------5
第二章 文獻探討 ----------------------------------------6
2.1 資訊安全管理系統的定義---------------------------6
2.2 ISO 27001----------------------------------------6
2.2.1 ISO 27001的源起----------------------------------8
2.2.2 ISO 27001 的PDCA過程導向模式--------------------14
2.2.3 ISO 27001的文件要求-----------------------------15
2.3 我國政府機關資訊安全管理系統的推動情形----------16
2.4 績效評估----------------------------------------19
2.4.1 績效評估的意義----------------------------------19
2.4.2 績效評估的目的----------------------------------21
2.4.3 績效評估的方法----------------------------------22
2.5 平衡計分卡--------------------------------------26
2.5.1 平衡計分卡的源起--------------------------------26
2.5.2 平衡計分卡的構面--------------------------------28
2.5.3 平衡計分卡的原則--------------------------------30
2.5.4 平衡計分卡的策略管理架構------------------------31
2.5.5 平衡計分卡的建立--------------------------------32
2.6 資訊安全管理系統的績效評估----------------------33
第三章 研究方法與架構----------------------------------40
3.1 研究方法----------------------------------------40
3.1.1 個案研究----------------------------------------41
3.1.1.1 研究設計----------------------------------------43
3.1.1.2 資料收集----------------------------------------45
3.1.1.3 有效性與可信度----------------------------------46
3.2 個案研究流程設計--------------------------------47
第四章 個案研究----------------------------------------48
4.1 檔案管理局的組織概況----------------------------48
4.2 資訊安全管理系統的推動情形----------------------49
4.3 現行資訊安全管理系統的績效評估指標--------------51
4.4 問題描述----------------------------------------53
4.5 建立平衡計分卡----------------------------------54
4.6 研究結果----------------------------------------69
4.7 結果說明----------------------------------------74
4.8 結果審查----------------------------------------74
第五章 結論與建議--------------------------------------77
5.1 研究結論----------------------------------------77
5.2 研究貢獻與建議----------------------------------78
5.2.1 研究貢獻----------------------------------------78
5.2.2 給檔案管理局之建議------------------------------79
5.3 未來研究方向------------------------------------79
參考文獻-------------------------------------------------80
附錄A、訪談紀錄1-----------------------------------------85
附錄B、訪談紀錄2-----------------------------------------87
附錄C、外部專家審查意見----------------------------------89
附錄D、內部討論會議紀錄----------------------------------94
表目錄
表1 、ISO 27001控制項目----------------------------------10
表2 、各機關(構)依其資安等級應執行之工作事項-------------18
表3 、績效評估方法---------------------------------------23
表4 、平衡計分卡評估ISMS績效指標-------------------------36
表5 、95至97年我國資安關鍵指標表現總表-------------------39
表6 、研究策略選擇參考指標-------------------------------41
表7 、個案研究法的類型-----------------------------------43
表8 、檔案管理局96~97年度ISMS績效評估指標統計表----------52
表9 、檔案管理局資訊安全管理系統平衡計分卡---------------65
表10 、98年度資訊安全推動計畫----------------------------68
表11 、98年度績效評估指標對照表--------------------------72
圖目錄
圖1、西元1988 ~2003年資訊安全事件通報統計數---------------1
圖2、西元2010年5月止ISO 27001通過驗證組織數---------------2
圖3、研究流程圖-------------------------------------------5
圖4、ISO 27001 的PDCA過程導向模式------------------------15
圖5、政府機關績效管理價值體系----------------------------20
圖6、平衡計分卡流程--------------------------------------28
圖7、營利機構的平衡計分卡架構----------------------------30
圖8、政府部門與非營利機構的平衡計分卡架構----------------30
圖9、平衡計分卡的策略行動架構----------------------------32
圖10、個案研究流程---------------------------------------47
圖11、檔案管理局資訊安全管理系統衡量結構-----------------55
圖12、檔案管理局ISMS SWOT矩陣----------------------------57
圖13、檔案管理局ISMS因果關係圖---------------------------59
圖14、資訊安全管理系統績效評估管理制度-------------------69

[1]方鴻春(2004)，企業建置資訊安全管理系統(ISMS)之平衡績效指標研究－以個案單位為例，碩士論文，國立台灣科技大學工業管理系，臺北市。
[2]朱道凱譯(1999)，平衡計分卡：資訊時代的策略管理工具，臉譜文化出版，譯自R. S. Kaplan and D. P. Norton, The Balanced Scorecard: Translating Strategy into Action.
[3]朱道凱譯(2001)，策略核心組織：以平衡計分卡有效執行企業策略，臉譜文化出版，譯自R. S. Kaplan and D. P. Norton, The Strategy-Focused Organization: How Balanced Scorecard Companies Thrive in the New Business Environment.
[4]行政院國家資通安全會報，關於會報－緣起背景，http://www.nicst.nat.gov.tw/content/application/nicst/background/guest-cnt-browse.php?cnt_id=7，民國97年11月11日。
[5]行政院國家資通安全會報(2001)，建立我國通資訊基礎建設安全機制計畫(90年至93年)。
[6]行政院國家資通安全會報(2004)，建立我國通資訊基礎建設安全機制計畫(94年至97年)。
[7]行政院國家資通安全會報(2009)，國家資通訊安全發展方案(98年至101年)。
[8]行政院國家資通安全會報(2006)，政府機關(構)資訊安全責任等級分級作業施行計畫，臺北市。
[9]行政院國家資通安全會報(2009)，政府機關(構)資訊安全責任等級分級作業施行計畫，臺北市。
[10]李允傑(2007)，「公部門績效評估技術與指標」，研考雙月刊，第31卷，第2期，第26-39頁。
[11]吳安妮(2004)，政府績效評估，平衡計分卡在公務機關實施之探討，第五章，行政院研究發展考核委員會，臺北市。
[12]周海濤、李永賢、張衡(2009)，個案研究－設計與方法，五南圖書出版社，譯自R. K. Yin, Case Study Research。
[13]林建煌(2003)，策略管理，智勝文化，第28頁。
[14]柯雅娟(2007)，我國政府機關導入資訊安全管理系統之績效評估指標研究，碩士論文，國立台灣科技大學資訊管理系，臺北市。
[15]高愛琴(2004)，以平衡計分卡為基礎建構資訊安全管理關鍵績效指標，碩士論文，國立中正大學資訊管理學系，嘉義縣。
[16]高翠霜譯(2000)，績效評估：導讀－走向創新時代的組織績效評估，天下遠見出版公司，譯自Harvard Business Review, Measuring Corporate Performance。
[17]孫遜(2004)，資料包絡分析法－理論與應用，揚智文化。
[18]財團法人全國認證基金會，符合性評鑑，http://service.taftw.org.tw/tafweb/assessment.asp，民國99年8月21日。
[19]陳澤義、陳啟斌(2006)，企業診斷與績效評估－平衡計分卡之運用，華泰文化。
[20]郭昱瑩(2005)，「施政績效評估制度之探討」，績效評估之方法與工具學術研討會，國立中正大學公共政策與管理研究中心，嘉義縣。
[21]黃永東(2004)，「國際資訊安全認證之探討」，品質月刊，第40卷，第5期，第52-56頁。
[22]張詠翔(2005)，結合BS 7799與資訊安全藍圖建構資訊安全評估機制之研究，碩士論文，銘傳大學資訊管理學系，臺北市。
[23]經濟部標準檢驗局，最新消息，http://www.bsmi.gov.tw/wSite/lp?ctNode=2919&CtUnit=1585&BaseDSD=7&mp=1，民國98年3月15日。
[24]蒲樹盛(2005)，「資訊安全管理系統(ISMS) ISO 17799/BS 7799國際認證體系與稽核驗證介紹」，研考雙月刊，第29卷，第1期，第91-104頁。
[25]蔡重成、彭家亮、敖先義(2008)，「從企業營運的觀點探討ISO 27001資訊安全管理系統的產業價值」，品質月刊，第43卷，第2期，第67-70頁。
[26]潘淑滿(2009)，質性研究理論與應用，心理出版社，第245頁。
[27]檔案管理局，全球資訊網，http://www.archives.gov.tw,access，民國97年10月16日。
[28]檔案管理局(2009)，資訊安全管理手冊V6.0。
[29]CERT® Coordination Center (CERT/CC), Http://www.cert.org/stats/cert_stats.html, Nov. 20, 2008.
[30]International Accreditation Forum, Inc., Http://www.iaf.nu, Aug. 21, 2010.
[31]ISO/IEC 27001: 2005, Information Security Management Systems― Requirements.
[32]International Register of ISMS Certificates, Http://www.iso27001certificates.com, July 15, 2010.
[33]J. Chen and L. Shen(2009), “E-Government Service Value Assessment with Participation Index and Modified BSC Model,” Proceedings of the 2nd International Symposium on Knowledge Acquisition and Modeling, Vol. 1, pp. 182-185.
[34]R. S. Kaplan and D. P. Norton(1992), “The Balanced Scorecard Measures that Drive Performance,” Harvard Business Review, Jan.-Feb., 1992, pp. 71-79.
[35]R. S. Kaplan and D. P. Norton(1996), The Balanced Scorecard: Translating Strategy into Action, Harvard Business School Press.
[36]R. S. Kaplan and D. P. Norton(2001), The Strategy Focused Orgranization―How Balanced Scorecard Companies Treive in the New Business Environment, Harvard Business School Press.
[37]R. N. Paul(2006), Balanced Scorecard Step-by-Step for Government and Nonprofit Agencies, Second Edition, John Wiley & Sons Inc.
[38]S. Nutley and S. Osbornes(1994), Public Sector Management Handbook: A Practical Guide, Pearson Professional Education.
[39]W. Boehmer(2008), “Appraisal of the Effectiveness and Efficiency of an Information Security Management System Based on ISO 27001,” Proceedings of the Emerging Security Information on Systems and Technologies, pp. 224-231.
[40]Y. Peng, S. Wang, and L. Zhuang(2008), “Balanced Scorecard-Base Management System for Performance Evaluation of Organization,” Proceedings of the Pervasive Computing and Applications in ICPCA, Vol. 1, pp. 236-241.