臺灣博碩士論文加值系統

本研究探討台灣著名Y公司導入「資訊安全管理制度」(BS7799)後對於組織之資訊安全文化的影響程度，以及兩者之間的關聯性。本研究採取BS7799的管控領域為自變項，以及OECD所提出資訊安全文化概念為依變項，向該公司123位成員發送問卷進行調查，以因素分析、逐步多元迴歸分析等統計方法進行分析。研究結果發現，導入BS7799標準對於資訊安全文化的發展有顯著影響，其中以「安全政策」對於資訊安全文化整體發展的影響最重要；導入BS7799資訊安全管理制度對於資訊安全認知與責任的建立、反應與應變能力的強化、安全設計與執行上與存取控管的落實以及資訊倫理的內化等方面，皆有明顯的成效。

This paper tends to study the influence of information security management system (BS7799) on information security culture of an organization and the correlation between them in a famous Taiwan company named ‘Y’. The research chose management sections of BS7799 as independent variables and the conception of information security culture defined by OECD as dependent variable. Questionnaires were sent to 123 employees in Y company and the collected data were analyzed with statistical methods such as factor analysis and stepwise multiple regression analysis. The result shows that the introduction of BS7799 system has significant influence on the development of information security culture. Particularly, security policies have the most important influence on the development of information security culture as a whole. The introduction of information security management system (BS7799) also has significant influence on establishment of awareness and responsibility of information security, strengthening the capability of response and solving an emergency, security design and application, management of access control, endogenesis of ethics of information, etc.

ABSTRACT IN CHINESE….…………………………...…………….….i
ABSTRACT IN ENGLISH ….…………………………...……….……..ii
Acknowledgement……………………………….………...……….……..iii
Table of Contents ….………………………...…………...……….……..iv
List of Tables….……………………………………………………….….vi
List of Figures….…………………………………….………………….….vii
Chapter 1 Introduction………………………………………………….….1
Chapter 2 Literature Review……………….........…………………………...4
2.1 Definition of information security…….……………………………..4
2.2 Why adopts the information security system ‘BS7799’?.……………………..5
2.3 Culture of information security…….…………………………………………6
Chapter 3 Study Design and Implementation………….………….………8
3.1 Study Objects………………………………….…..……..………….………...8
3.2Study Framework………….…..……..………….………...9
3.3 Hypothesis…………………..…………………………….………9
3.4 Research methodology………………………....……………….………….....11
Chapter 4 Data Analysis and Discussion…………………...…………….14
4.1 Analysis of the influence of information security management system on information security culture………….………….…….….….……14
4.2 Summary…………………………………………………………………….21
Chapter 5 Conclusion and Suggestions……………………..…….………24
5.1 Research discovery…………………………….……….………………24
5.2 Research suggestions……………………..……………………………....28
Bibliography……………………………………………………….…...31
Appendix A……………………………………………………….…...34

中文部份
1.王百川(2002)，資訊安全管理系統的導入與管理模式之研究，中國文化大學資訊管理研究所碩士在職專班碩士論文。
2.李慶民(2000)，以BS 7799為基建構資訊安全評選模式之研究--以虛擬私有網路系統為例，國防管理學院國防資訊研究所。
3.林勤經,樊國楨,方仁威,黃景彰(2002)，資訊安全管理系統建置工作之研究，資訊管理研究。
4.吳俊德(2002)，ISO 17799資訊安全管理關鍵重點之探討，國立中正大學企業管理研究所碩士論文。
5.洪國興、季延平、趙榮耀(2005)，資訊安全政策對資訊安全之影響，資安人。
6.侯皇熙(2003)，植基於BS7799探討政府部門的資訊安全管理─以海關資訊部門為例，國立成功大學工程科學系在職專班碩士論文。
7.孫淑景(2002)，內控處理準則電腦資訊循環之個案研究－以BS7799資訊安全及COBIT控制目標為例，中原大學/會計研究所碩士論文。
8.葉相妤(2001)，國立陽明大學衛生資訊與決策研究所，國立陽明大學/衛生資訊與決策研究所碩士論文。
9.曾淑惠(2002)，以BS7799為基礎評估銀行業的資訊安全環境，淡江大學資訊管理研究所碩士論文。
10.陳連枝(2002)，國內金融控股公司資訊安全管理系統之探討，長庚大學企業管理研究所碩士論文。
11.陳信章(2003)，服務業推動BS7799認證關鍵因素之研究，國立中正大學/資訊管理學系碩士論文。
12.劉永禮(2001)，以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究，元智大學工業工程與管理學系碩士論文。
13.劉智敏(2003)，運用BS 7799建構資訊安全風險管理指標，國立台北大學企業管理學系碩士論文。
14.魏文科(2003)，電信產業導入資訊安全管理系統風險管理之探討-以中華電信區分公司為例，東海大學管理碩士學程在職進修專班碩士論文。
15.蘇耿弘(2002)，以BS7799為基礎探討石化產業導入資訊安全管理機制之關鍵因素，國立中正大學資訊管理學系碩士論文。







英文部分
16. Baggett, W. O., (2003), “Creating a Culture of Security”,The Internal Auditor (60), pp.37-39.
17.Barnes, Arthur.(2005),“Take the initiative on security certification to meet the demands of corporate partners”,Computer Weekly , 3/22/2005 , pp.32-32.
18.BSI.(2000),“Information technology-Code of practice for information security management”, British Standards Institution.
19.BSI.(2002),“Information security management system-Specification with guidance for use”，British Standards Institution.
20. Jacqui Chau. (2005),“Skimming the technical and legal aspects of BS7799 can give a false sense of security”,Computer Fraud & Security Volume.
21.Cooper, M. D. (2000), “Towards a model of safety culture”,Safety Science 36, no. 2, pp.111-136, Elsevier (Newyork)
22.Cox, S., & Cox, T. (1991),“The structure of employee attitudes to safety: An European example”,Work and Stress, 5(2), pp.93-106.
23.Eiff, G. (1999), “Organizational safety culture” , Proceedings of the Tenth International Symposium on Aviation Psychology , pp.1-14.
24.Flin, R., Mearns, K., Gordon, R., & Fleming, M. T. (1998), “Measuring safetyclimate on UK offshore oil and gas installations” , Paper presented at the SPEInternational Conference on Health, Safety and Environment in Oil and GasExploration and Productio. Caracas, Venezuela.
25.Fumy, Walter.( 2004), “IT security standardisation,Network Security”, Dec2004 , pp.6-11.
26. GlenKitte, R. (2004),“Security Structure Should Match the Corporate Culture”, Access Control & Security System (47/4), pp18.
27.IAEA. (1986), Summary Report on the Post-Accident Review Meeting on the Chernobyl Accident (Safety Series 75-INSAG-4). Vienna: International Safety Advisory Group.
28.IAEA. (2002), Key Practical Issues in Strengthening Safety Culture INSAG-15. Vienna, Austria: International Atornic Energy Agency.
29.Ian Barraclough , Annick Carnino.(1998),Safety Culture Keys For Sustaining Progress,Iaea Bulletin.
30.Ioannis V. Koskosas.(2004),“The interrelationship and effect of culture and risk communication in setting internet banking security goals”, ACM International Conference Proceeding Series; Vol. 60 archive,pp. 341 – 350.
31.Mauro Marchitto.(2005),“Safety culture assessment as crucial phase for tailoring human factors training: the case of an Italian refinery”,ACM International Conference Proceeding Series; Vol. 132 archive,pp. 35 – 42.
32. McGurk, I.(2005),“Information Security Is A business Issue”, Computer Weekly,11/15/2005,p36.
33.OECD.(2002),OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security,OECD.
34.OECD.(2003), “Promotes Culture of Information Security”,I-WAYS, IOS Press, Digest of Electronic Commerce Policy and Regulation 26,pp.131–135.
35. Jan H. P. Eloff.(2003), “A new paradigm”,ACM International Conference Proceeding Series; Vol. 47 archive.
36. Litwak, P., (2004),“Practical Issues Your Organization May Face When Developing a Security Management Program”,Journal of Health Care Compliance, (7/4).
37. Saint-Germain, R.(2005), “Information Security Management Best Practice Based on ISO/IEC 17799.”,Information Management Journal, (July/Aug, 2005).
38. Schlienger, T., Teufel, S. (2003a),“Information Security Culture - From Analysis to Change", South African Computer Journal 31(Dec 2003), pp. 46-52.
39.Schlienger, T. , Teufel, S. (2003b), “Analyzing Information Security Culture: Increasing Trust by an Appropriate Information Security Culture”,In Proceedings of the International Workshop on Trust and Privacy in Digital Business (TrustBus'03) in conjunction with 14th International Conference on Database and Expert Systems Applications (DEXA 2003), September 1-5 2003, Prague, Czech Republic, IEEE Computer Society.
40. Schein, E. H. (1985), Organizational Culture and Leadership: A Dynamic View , San Francisco: Jossey-Bass.
41. Von Solms, SH (Basie), (2005), “Information Security Governance: COBIT or ISO 17799 or both”, Computers Security, (24/2), pp.97 – 104.
42. Vroom, C. ,von Solms, R.(2004), “Towards Information Security Behavioral Compliance”, Computers and Security , (23/3), pp.191-198.
43.Höne, Karin; Eloff, J.H.P.( 2002), “Information security policy — what
do international information security standards say?” , Computers and Security Volume: 21, Issue: 5, October 1, pp. 402-409.
44. Yuan -Cheng Chien .(2004), “Exploring Organizational Culture for Information Security Effectiveness”, Upublished master’s thesis. Institute of Electronic Commerce,National Chung Hsing University. Taichung , Taiwan.





網頁部份
45.OECD，Security Guideline，2006年4月3日 23:50，取自
http://www.oecd.org。
46.Patrick W. O’Hara. (2000),Nuclear Safety Culture:Competitiveness through Safety，2006年7月15日 22:47，取自
http://nuclearsafetyculture.freeyellow.com/page7.html。
47.資安人科技網(2004年9月17日)，IBM e-Center通過BS7799為高資安等級再加分，2006年7月1日 21:47，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=300。
48. 資安人科技網(2005年1月10日)，精業主動導入BS7799引領委外安全品質，2006年7月1日 21:59，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=344。
49.永豐紙業，業界首家三證合一 永豐紙業獲BS 7799資訊安全驗證，2006年7月1日 22:15，取自www.yfp.com.tw。
50. 資安人科技網(2004年12月17日)，淡大資訊中心取得BS7799認證讓資安教學和實務相輔相成，2006年7月1日 22:23，取自
http://www.informationsecurity.com.tw/feature/print.asp?fid=297。


51.資安人科技網(2004年9月30日)，中央健康保險局順利通過BS7799及CNS17800安全認證，2006年7月1日 22:50，取自
http://www.informationsecurity.com.tw/news/view.asp?nid=1071。
52. 資安人科技網(2005年5月23日)，智慧財產局主動導入BS7799領先各國專利商標局，2006年7月1日 22:59，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=521。
53. 資安人科技網(2005年5月6日)，全國第一一開始就涵蓋大範圍入出境管理局導入BS7799，2006年7月1日 23:10，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=518。
54. 資安人科技網(2005年3月14日)，資通會報B級單位新聞局主動導入BS7799力求提供永不中斷的資訊服務，2006年7月1日 23:21，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=504。
55.資安人科技網(2004年11月1日)，Seednet志在安全體質拿BS7799認證是個美麗的插曲，2006年7月1日 23:41，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=248。
56.資安人科技網(2003年3月5日)，打造金三角細水長流安泰人壽資訊安全室成果豐碩，2006年7月1日 23:50，取自
http://www.informationsecurity.com.tw/feature/print.asp?fid=380。

57.資安人科技網(2002年8月9日)，建華銀行資訊處與BS7799，2006年7月2日 00:10，取自
http://www.informationsecurity.com.tw/feature/print.asp?fid=6。
58.資安人科技網資安人科技網(2001年4月2日)，，資訊安全與傳統安全產業的合作空間，2006年7月2日 00:23，取自
http://www.informationsecurity.com.tw/feature/view.asp?fid=12。
59.資安人科技網(2005年3月10日)，兆豐金控成為國內第一家通過BS7799驗證的金控公司，2006年7月2日 00:41，取自
http://www.informationsecurity.com.tw/news/view.asp?nid=1508。
60. 資安人科技網(2004年9月17日)，新竹商銀資訊室獲得ISO9001：2000國際品質認證，2006年7月2日 00:58，取自
http://www.informationsecurity.com.tw/news/view.asp?nid=1049。
61. 資傳網(2006年6月1日)，獲BS7799資安認證宏通磁卡業務衝刺，2006年7月2日 01:15，取自
http://cpro.tw/channel/news/content/index.php?news_id=49766。