當網路技術蓬勃發展而所有人都必須倚賴它，但相關的資訊安全機制與標準又無法同時相對的進步且超越時，此時就產生了風險。風險監控是專案管理流程中一項持續持行的活動，如能及早發現風險因子之不確定性的因素行程，將有助於專案經理適時採取應變計畫，降低及分散風險所造成的衝擊，即風險監控，俾利專案成功順遂。然目前相關文獻中較少探討有關風險監控的議題，在實務大都依照個人主觀判斷，無法有效掌控及做好風險管理。
因此本研究期望透過CMMI為主的探討與研究，再參酌PMBOK 內相關模式情況下，推導符合風險管理需求，且適合的能力成熟度階層、流程領域、一般實作、一般目標、特定目標、特定實作，再導入個案校園資訊系統之風險管理研究（以臺北市公立高中學校為例），調製一個較以往嚴謹與「標準化作業」之建置程序、架構或模式，藉此提高風險管理的正確性，以利校園資訊系統任務執行順遂，提昇整體效益與品質。

The more people rely on network technology, the more risk it will be due to lack of advanced and mature information security mechanism. Risk monitoring and control is a continuing activity in project management process. If the uncertainty of risk factor could be identified earlier, the project manager should be able to adopt the contingency plan in a timely manner to diverse and reduce the impact caused by risks. However, the topic of risk monitoring and control is not addressed adequately in available researches. People tend to make decisions based on subjectivity rather than objectivity, which usually lead to ineffectively risk management.
The objective of this paper is to incorporate PMPOK into CMMI framework and to introduce risk management requirements, appropriate CMMI levels, processes, generic practices, generic goals, specific goals, and specific practices. Furthermore, apply this risk management study to implement School information systems for Taipei city public high schools and to develop standardized operations of system build process, framework, or model. In conclusion, the accuracy of risk management will be increased, the implementation of School information system will be more efficient and effective, and overall benefit and quality will be enhanced.

中文摘要 …………………………………………………………… I
英文摘要 …………………………………………………………… II
誌謝 …………………………………………………………… III
目錄 …………………………………………………………… IV
表目錄 …………………………………………………………… VI
圖目錄 …………………………………………………………… VII
一、 緒論……………………………………………………… 1
1.1 研究背景、動機及目的………………………………… 1
1.2 研究目的………………………………………………… 1
1.3 研究範圍及限制………………………………………… 2
1.4 研究方法與步驟………………………………………… 3
二、 文獻探討………………………………………………… 6
2.1 軟體品質………………………………………………… 6
2.2 風險管理………………………………………………… 7
2.2.1 風險分析………………………………………………… 8
2.2.2 專案風險管理…………………………………………… 9
2.3 CMMI模式………………………………………………… 9
2.3.1 CMMI 能力成熟度兩種階層表述………………………… 10
2.3.2 CMMI模式的國內發展現況……………………………… 14
2.4 PMBOK……………………………………………………… 15
三、 CMMI 與PMBOK 導入與「標準作業流程」模式之探討…… 17
3.1 現行作業………………………………………………… 17
3.1.1 CMMI風險管理程序……………………………………… 17
3.2 CMMI 與PMBOK 導入「標準作業流程」模式之探討… 18
3.2.1 目的……………………………………………………… 18
3.2.2 風險管理的重要性……………………………………… 18
3.2.3 CMMI風險管理步驟……………………………………… 18
3.2.4 PMBOK風險管理步驟……………………………………… 20
四、 個案驗證………………………………………………… 32
4.1 將風險管理流程導入…………………………………… 33
4.2 執行風險管理之結果探討……………………………… 34
4.3 啟動風險管理工具……………………………………… 35
五、 結論與未來發展方向…………………………………… 39
5.1 研究發現………………………………………………… 39
5.2 未來發展方向（研究建議）……………………………… 40
參考文獻 …………………………………………………………… 41
附錄 …………………………………………………………… 44
自傳 …………………………………………………………… 65

[1] 牛津學生攻破校園網路遭休學處分，CNET新聞。2004年10月24日，取自http://taiwan.cnet.com/news/software/0,2000064574,20093786,00.htm
[2] 方仁威、余俊賢(2004)。內部網路遭駭客攻擊方式與防護之研究。國防通信電子資訊半年刊，7，2005年5月24日。
[3] 余俊賢(2004)。資安事件處置案例探討，國家資通安全會報資安季刊，7，14-17。
[4] 吳育翰(2004)。以ISO 17799為基礎之國軍資訊安全管理研究—以陸軍總部為例。國防管理學院國防資訊研究所碩士論文。全國博碩士論文摘要，92NDMC1654029。
[5] 吳武明(1994)。資訊管理：邁向二十一世紀的新管理觀念。台北：松崗。
[6] 李忠憲。增進校園網路安全。2005年5月30日。取自http://www.spps.tp.edu.tw/ documents/memo/增進校園網路安全.htm
[7] 宋鎧、范錚強、郭鴻志、陳明德、季延平(1997)。管理資訊系統。台北：華泰出版。
[8] 林宜隆、黃淙澤(2003)。資通安全管理制度風險評估手冊。台北：行政院國家資通安全會報技術服務中心。
[9] 張祚佳、黃世禎(2004)。國防管理學院數位檢索自動化專案軟體風險管理計畫書。
[10] 朱慧德、黃世禎（2004）。IT專案風險管理。台北：中華民國資訊軟體品質協會。
[11] 王慶富（1996），專案管理，聯經出版事業公司。
[12]吳俊德、蘇佳慧譯(2002)，專案管理知識體系導讀指南 2000 Edition，博詰策略顧問公司。

[13] 謝清佳、吳琮璠(2003)。資訊管理：理論與實務。台北：智勝出版社。
[14]美國卡內基美隆大學軟體工程學院（2000），能力成熟度整合模式 上/下冊 CMMI-SE/SW/IPPD V 1.02。台北：財團法人資訊工業策進會資訊系統實驗室譯。
[15]樊國桢（2000,Dec.），資訊安全風險管理。臺北：行政院國家科學委員會科學技術資料中心。
[16]財團法人資訊工業策進會（2001）。CMMI導入指引V1.0（第三級）風險管理流程領域導入指引。經濟部科技專案成果。
[17]經濟部工業局CMMI提升軟體品質計畫網頁http://59.120.48.34/big5/cmmi/htm/index3.html
[18]中華專案管理學會 http://www.npma.org.tw/
[19]維基百科 http://zh.wikipedia.org/w/index.php
[20]美國國防部風險管理計畫
[21]歐世文，2005，SPIN-Taiwan研討會。
[22]IEEE 1540-2001軟體生命週期流程－風險管理
[23] Project Management – Risk Management: Continuous Representation, CMMI-SE/SW/IPPD/SS, version 1.1, 2001, www.sei.cmu.edu/cmmi/products/models.html
[24] Software, Systems Engineering and Product Development Capability Maturity Models (CMMs), www.sei.cmu.edu/cmm/cmms/transition.html
[25] Project Management Institute. 2000. A Guide to the Project Management Body of Knowledge (PMBOK® Guide) – 2000 Edition. Newtown Square, PA: Project Management Institute.
[26]Spotlight: CMMI Model Representations, Sandy Shrum, SEI Interactive, December 1999。
[27]Risk Management in Complex Project Organizations: A Godfather-Driven Approach, G. Getto and D. Landes, Proceedings of the 30th Annual Project Management Institute 1999 Seminars and Symposium, October 1999.
[28]Industry Models of Risk Management and Their Future, K. Artto and D. Hawk, Proceedings of the 30th Annual Project Management Institute 1999 Seminars and Symposium, October 1999
[29]Risk Management Maturity Level Development, RMRP-2002.Version 1.0 ,April 2002.