近年來駭客入侵、個人資料遭竊取、智慧財產權被侵犯、重大災害導致企業活動中斷、電腦入侵危害國家安全等資訊安全事件，皆顯示目前資訊安全防護工具的缺乏以及安全防護機制不完善的窘境。過去資訊安全議題之相關研究，大部分皆著重於如何確保資訊安全技術上之應用為主，鮮少學者從管理之角度來探討。因此本研究運用層級分析法(AHP)深入探討企業於選擇資訊安全決策時，其重要考量之關鍵因素，並比較不同產業別之差異。
據此，本研究將企業選擇資訊安全方式的潛藏決策劃分為管理面、人員面、以及設施面，並依據BS7799十個管理要項以及四種替代方案建立成一完整決策架構。研究實證結果發現，各產業特性將決定資訊安全評估方案之首重構面，其次，若產業欲達成資訊安全目標，應首重安全政策之制定。最後，本研究將深入了解企業於資訊安全決策選擇時，其重要考量之關鍵因素，及依照各企業組織進行不同產業特性是否存在不同的認知差異，並提出各產業之最適資訊安全評估決策方案及建議，期望研究結果將作為未來產業採用資訊安全策略時之重要參考，以及協助企業組織針對其內部之資訊安全問題，提出其相關因應之建議。上述各項分析結果所代表之涵義，將在本文有深入之探討。

In recent years, hackers attack, personal information stolen, intellectual property rights violated and huge damages result in business operating break down and other information issues affect the nation’s security have shown the shortage of information security protect and the fault of the technology in protecting system. In the past, the most related researches of information security all focus on the application in information security’s technology, and less doing the research from the point of management. Therefore, this research uses the Analytical Hierarchy Process (AHP) to discuss the difference of the key point when the businesses make the strategies.
According to the list above, this research divides the potential strategy into the management, people and facilities when the business chooses the method of the information security, and set up a perfect decision structure from the 10 key managements of BS7799 and 4 substitute programs. In the research, firstly, it can be found that the characteristic of the business would be the most important part of the evaluation in information security, the second part is the setting of the security policy in order to reach the goal of information security, and finally, it would do the deepest research to know the key point of consideration when the business want to make the decision of information security, and to know that is any difference of cognition between various characteristic of business, and then bring up the best recommendations and decision of the information security to the businesses, and expect the result of this research would be the most important reference to the businesses when they want to make the decision of information security in the future. Moreover, it also hope can provide the related suggestions to help the businesses to deal with the internal information security. All the meaning of analysis result above will have a complete confer in this paper.

目錄
中文摘要 i
英文摘要 ii
目錄 iv
表目錄 vi
圖目錄 vii
第一章 緒論
第一節 研究背景 1
第二節 研究動機 4
第三節 研究目的 5
第四節 研究流程 5
第二章 文獻探討
第一節 資訊安全 7
2.1.1 資訊安全之定義 7
2.1.2 資訊安全需求與原則 10
2.1.3 資訊安全現今所面臨的問題 13
第二節 資訊安全管理 15
2.2.1 資訊安全管理之定義 15
2.2.2 資訊安全管理系統 17
第三節 BS779920
2.3.1 BS7799背景簡介 21
2.3.2 BS7799內容 22
2.3.3 BS7799應用現況 26
第四節 資訊委外策略 27
第三章 研究方法
第一節 分析層級程序法之意義 29
3.1.1 AHP適用的範圍 30
3.1.2 AHP的應用領域 31
3.1.3 AHP與其他方法比較 32
第二節 分析層級程序法(AHP)之內涵特性 33
3.2.1 層級的種類 34
3.2.2 AHP評估尺度之種類 35
3.2.3 分析層級程序法之理論 37
3.2.4 分析層級程序法之應用步驟 39
第三節 資訊安全評估準則 43
第四節 問卷對象與回收 47
第四章 層級程序分析法實證結果
第一節 個案背景簡介 50
4.1.1 電子業 50
4.1.2 醫療業 51
4.1.3 學校或研究機構 52
第二節 多準則權重之評估 53
4.2.1 評估構面之權重 53
4.2.2 評估構面各準則之權重 54
4.2.3 各資訊安全決策選擇方案之權重 57
第三節 各產業企業組織調查結果 58
4.3.1 電子業之分析結果 58
4.3.2 醫療業之分析結果 64
4.3.3 學校或研究機構之分析結果 68
第四節 資訊安全決策選擇評估模式之建立 73
4.4.1 電子業之資訊安全決策選擇評估模式 73
4.4.2 醫療業之資訊安全決策選擇評估模式 74
4.4.3 學校或研究機構之資訊安全決策選擇評估模式 74
第五章 結論與建議
第一節 結論 77
第二節 對實務界的應用 78
第三節 研究建議 79
第四節 研究限制 80
第五節 研究貢獻 81
參考文獻
中文部份 82
英文部份 85
附錄
附錄一BS7799評估要項 89
附錄二本研究問卷 98
表目錄
表1-1 ZoneH監控2003年台灣被駭單位作業系統分類統計 1
表1-2 ZoneH台灣政府單位被駭單位作業系統分類統計 2
表2-1 資訊安全之定義 9
表2-2 資訊安全威脅分析表 13
表2-3 資訊安全管理彙整表 15
表2-4 各資訊安全規範標準彙整表 21
表3-1 AHP 的應用領域區分表 31
表3-2 AHP與其他方法比較 32
表3-3 AHP評估尺度意義及說明 36
表3-4 隨機指標表 39
表3-5 影響資訊安全決策因素 44
表3-6 AHP問卷回收情形 48
表3-7 AHP有效問卷之統計 48
表4-1 階層體系各評估構面之權重表(按組織性質) 53
表4-2 管理構面各準則之權重表(按組織性質) 55
表4-3 設施構面各準則之權重表(按組織性質) 56
表4-4 各資訊安全決策選擇方案排序 57
表4-5 階層體系各評估構面之權重表(電子業) 60
表4-6 管理構面各準則之權重(電子業) 61
表4-7 設施構面各準則之權重表(電子業) 62
表4-8 各資訊安全決策選擇方案排序(電子業) 63
表4-9 階層體系各評估構面之權重表(醫療業) 66
表4-10 管理構面各準則之權重(醫療業) 66
表4-11 設施構面各準則之權重表(醫療業) 67
表4-12 各資訊安全決策選擇方案排序(醫療業) 68
表4-13 階層體系各評估構面之權重表(學校或研究機構) 70
表4-14 管理構面各準則之權重(學校或研究機構) 71
表4-15 設施構面各準則之權重表(學校或研究機構) 72
表4-16 各資訊安全決策選擇方案排序(學校或研究機構) 73
圖目錄
圖1-1 網路攻擊事件報告表 3
圖1-2 網路攻擊弱點報告表 3
圖1-3 本研究流程圖 6
圖2-1 資訊安全方案塑模示意圖 18
圖2-2 資訊安全管理架構 19
圖2-3 建置資訊安全管理系統 20
圖2-4 資訊安全管理安全模型 25
圖2-5 IT活動是否適合委外之策略格道 28
圖3-1 完整層級與不完整層級示意圖 34
圖3-2 AHP階層結構示意圖 35
圖3-3 分析層級程序法應用流程 40
圖3-4 本研究架構 47
圖4-1 電子業之資訊安全選擇方案評估之層級結構 59
圖4-2 電子業之資訊安全選擇決策方案統計比例表 59
圖4-3 醫療業之資訊安全選擇方案評估之層級結構 64
圖4-4 醫療業之資訊安全選擇決策方案統計比例表 65
圖4-5 學校或研究機構之資訊安全選擇方案評估之層級結構 69
圖4-6 學校或研究機構之資訊安全選擇決策方案統計比例表 69
圖4-7 電子業之資訊安全決策選擇評估模式 74
圖4-8 醫療業之資訊安全決策選擇評估模式 75
圖4-9 學校或研究機構之資訊安全決策選擇評估模式 76

中文部分
[1] 鄧振源、曾國雄，1989，”層級分析法(AHP)的內在特性與應用”，中國統計學報，27卷，6期，頁5-22。
[2] 鄧振源、曾國雄，1989，”層級分析法(AHP)的內在特性與應用”，中國統計學報，27卷，7期，頁1-20。
[3] 葉牧青，1989，AHP層級結構設定問題之探討，國立交通大學管理科學研究所，碩士論文。
[4] 黃亮宇， 1992，資訊安全規劃與管理，松崗電腦圖書出版社，台北。
[5] 姜文閔譯，1992，我們如何思維。譯自John Dewey: How we think(1933)，五南出版社，台北。
[6] 刀根薰著，1993，競賽式決策制定法─AHP入門，陳名揚譯，建宏出版社，台北。
[7] 吳瑞明，1994，”系統安全的問題與防護措施”，資訊與教育雜誌，頁6-12。
[8] 劉國昌、劉國興，1995，資訊安全，儒林圖書公司，台北。
[9] 張真誠、婁德權，1995，”資訊系統安全之對策”，資訊與教育，59期，頁41-47。
[10] 王學弘，1995，以分析層級程序法進行彈性系統製造商之評選，中原大學工業工程研究所，碩士論文。
[11] 謝清佳，1998，資訊管理，智勝文化公司，台北。
[12] 黃慶堂，1999，我國行政機關資訊安全管理之研究，政治大學公共行政系，碩士論文。
[13] 謝清佳、吳琮璠，1999，資訊管理─理論與實務，資訊管理智勝文化事業，台北。
[14] 王秉鈞，1999，管理資訊系統，美商普林帝斯霍爾國際出版有限公司，台北。
[15] 佐藤隆博、齊藤昇、長谷川勝久，1999，中學校數學科の教材開發－コンセプトマップ．授業設計．達成度評價問題，明治圖書出版株式會社，東京。
[16] 曾雪卿，1999，提昇我國積體電路產業競爭優勢之關鍵因素，成功大學企業管理研究所，碩士論文。
[17] 國家安全局，2000，建立我國資訊基礎建設安全機制研究報告書(本文)，國家安全局。
[18] 陳祥輝，2000，資訊系統的管理安全與鑑識軌跡設計─基於MIB與資料庫之探討，中國文化大學資訊研究所，碩士論文。
[19] 林傳敏，2000，”電腦稽核─網路世代不能沒有電腦稽核概念(上、下)”，企銀報導，199、200期。
[20] 2001年資通安全報告，2001，http://www.icst.org.tw/template/ncert/2001secbook.doc
[21] 樊國禎、方仁威與徐士坦，2001a，建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書，經濟部標準檢驗局委辦計畫，頁1-52。
[22] 樊國禎、方仁威與林勤經，2001b，”資訊安全管理稽核概要─以電子銀行為例”，資訊系統可信賴作業體制研討會論文集，頁169-185。
[23] 李盈德，2001，”資訊安全防護Part1”，普華資安資訊，Available：www.powerinfosec.com/article/Info%20Policy.PDF。
[24] 吳昊，2001，由醫療資訊隱私之觀點論全民健保IC卡政策，國立台灣大學法律學研究所，碩士論文。
[25] 劉永禮，2001，以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究，元智大學工業工程與管理系，碩士論文。
[26] 樊國禎，2002，資訊安全能力評鑑，行政院國家科學委員會科學技術資料中心。
[27] 葉相妤，2002，運用BS 7799檢測醫療院所資訊安全管理作業文件之研究，陽明大學衛生資訊與決策研究所，碩士論文。
[28] 行政院勞工委員會職訓練局資訊安全管理作業準則，2002，http://www.evta.gov.tw/lawevta/202017.html
[29] 行政院國家資通安全會報技術服務中心，2002，資訊安全管理制度導入手冊，行政院國家資通安全會報技術服務中心，台北。
[30] 鄧振源，2002，計畫評估：方法與應用，海洋大學運籌規劃與管理研究中心，基隆。
[31] 行政院研考會，2002，電子商務風險與管理。
[32] 國家資通安全會報技術服務中心，2003，ICST九十二年執行成果彙編， [online]，Available：www.icst.org.tw。
英文部分
[1] BSI (British Standards Institution), 1999, Information security management- Part 2: Specification for information security management systems, BS 7799-2.
[2] BSI (British Standards Institution), 2000, Information security management- Part 1: Code of paractice for information security management, BS 7799-1.
[3] BS7799Home，2002，http://www.dnv.com/certification/Services/Info_pages/info_bs.htm
[4] Busacker, R. G. & Saaty, T. L., 1965, Finite Graphs and Networks: An Introduction with Applications, McGraw-Hill, New York.
[5] Baskerville, R., 1993, “An Analytical Survey of Information Systems Security Design Methods: Implications for Information Systems Development”, ACM Computing Surveys, vol.25, no.4, pp.375-414, December.
[6] COBIT, 1998, Governance, Control and Audit for Information and Relational Technology, 3rd Edition Control Objectives.
[7] Caelli, W., D. Longley & M. Shain, 1989, Information Security for Managers, Stockton Press, New York.
[8] Finne, T., 2000, “Information Systems Risk Management: Key Concepts and Business Processes” , Computers & Security, vol.19, no.3, pp.234-235.
[9] Gollmann, D., 1999 , Computer Security, John Wiley & Sons Ltd, UK.
[10] Hill, J. D. and Warfield, J. N., 1972, “Intent structures. IEEE Transactions on Systems, Man, and Cybernetics”, SMC-2, pp.133-140.
[11] Hutt, A. E., 1995, Management’s Role in Computer Security, Computer Security Handbook, Wiley, New York.
[12] Hakimi, S. L., 1972, ”To view networks as graphs”, IEEE Circuit Theory Soc.Newsl., pp.2-6.
[13] IBM, 1984, IBM Data Security Support Programs, USA.
[14] ISO/IEC 17799, 2000, ”Information technology-code of practice for information security management”.
[15] ISO 15408, 1999, Introduction to the Common Criteria for IT Security, http://csrc.nist.gov/cc/info/japan-brief-990318.pdf
[16] Kaufmann, A., 1965, The Science of Decision-Making, McGraw-Hill, New York.
[17] Lacity, M. C., Willcocks, L. P. & Frrny, D. F., 1996, “The value of selective IT sourcing”, Sloan management Review, pp. 13-25, Spring.
[18] Moulton, R., 1991, ”A Strategic Framework for Information Security Management”, Proceedings of the 14th Computer Security Conference, Washington D.C , October 1991.
[19] Miller, G.A., 1956, “The Magical Number Seven Plus or Minus Two Some Limits on our Capacity for Processing Information”, Psychological Rev., vol. 63, pp.81~97.
[20] OECD, 1992, Guidelines for the Security of Information System, OECD.
[21] OECD, 2001, “OECD Guidelines for the Security of Information Systems, Information Security Objective”, [online], Available: http://www-oecd.org/oecd /pages/home/displaygeneral/0,3390,EN-document-43-nodirectorate-no-no-10249,FF.html#title.
[22] OECD, 2002, OECD Guideline for the Security of Information System and Networks.
[23] Parker D.B., ”Information Security in a Nutshell”, Information Systems Security, Spring, 16.
[24] Pounder, C., 2001, “The European Union Proposal for a Policy towards Network and Informaion Security”, Computers & Security, vol.20, no.7, pp.573-576.
[25] Russell D. & G..T. Gangemi, 1992, Computer Security Basic, O’Reilly & Associates Inc., California.
[26] Rackham, Lawerence Frifdman & Richard Ruff, 1995, Getting Partnering Right: How Market Leaders Are Creating Long-term Competitive Advantage, McGraw-Hill, New York.
[27] Saaty, T., 1980, The Analytic Hierarchy Process, McGraw-Hill, New York.
[28] Saaty T. L. & Vargas L. G., 1991, Prediction, Projection and Forecasting, Kluwer Academic Publishers.
[29] Saaty T. L., 1994, “How to Make a Decision: The Analytic Hierarchy Process”, Interfaces, vol.24, pp19-43.
[30] Saaty T. L., 1990, Decision Making for Leaders: The Analytic Hierarchy Process for Decision in a Complex World, RWS Publications.
[31] Saaty T. L., Models, Methods, Concepts & Applications of the Analytic Hierarchy Process, Kluwer Academic Publishers, 2001.
[32] Saaty, T.L., 1977, “A scaling method for priorities in Hierarchical structures”, Journal of Mathematical Psychology, vol. 15, no.3, pp.234-281.
[33] Schneider, E. C. & Therkalsen, 1990, “How Secure Are Your System? ”, Avenues To Automation, pp. 68-72, November.
[34] Spruit, M. E. M. & M. Looijen,1996, ”IT Security in Dutch Practice”, Computer & Security , vol. 15, no. 2, pp.157-170.
[35] Van Duyn, J., 1985, The Human Factor in Computer Crime, Petrocelli Books Inc., Princeton, NJ.
[36] Warfield, J. N., 1973a, “On Arranging Elements of a Hierarchy in Graphic Form”, IEEE Transactions on Systems, Man, and Cybernetics, SMC3, vol. 2, pp.121-132.
[37] Warfield, J. N., 1973b, “Binary Matrices in System Modeling”, IEEE Transactions on Systems, Man, and Cybernetics, SMC3, vol.2, pp.133-140.
[38] Warfield, J. N., 1974a, “Toward Interpretation of Complex Structural Models”, IEEE Transactions on Systems, Man, and Cybernetics, SMC4, vol.5, pp.405-417.
[39] Warfield, J. N., 1974b, “Developing Interconnection Matrices in Structural Modeling”, IEEE Transactions on Systems, Man, and Cybernetics, SMC4, vol.1, pp.81-87.
[40] Warfield, J. N., 1977, “Crossing Theory and Hierarchy Mapping”, IEEE Transactions on Systems, Man, and Cybernetics, SMC7, vol. 7, pp.505-523.
[41] Warfield, J. N., 1979, “Some Principles of Knowledge Organization”, IEEE Transactions on Systems, Man, and Cybernetics, SMC9, vol.6.
[42] Wilson, D., 1969, “Forms of hierarchy: a selected bibliography”, Gen. Syst., vol. 14, pp.3-15.
[43] Zahedi F., 1986, “The Analytic Hierarchy Process: A Survey of the Method and its Applications”, Interfaces, vol.16, pp.96-108.