網路、通訊應用的快速發展重新改變人們的生活形態，資訊科技儼然已成為現在人工作或生活息息相關的基本配備。行政院主計處於2006年電腦應用概況報告所做的調查，顯示多數組織在安全技術上著力較深，卻忽略了仍需使用者安全意識與習慣的提升，方可達成全面安全管理之功效。本研究欲發展評量個人資訊安全認知量表，將以個人為基礎，探討資訊安全認知程度，期望能從每個使用者的認知做起，全面提昇資訊安全成效。
本研究是以Drevin, Kruger and Steyn (2007)所發表的「學術環境資訊通信技術安全認知的價值評估」質化訪談內容為依據，利用文獻探討法、內容分析法，發展資訊安全認知評量表初稿，經過專家訪談、深度集體訪談、問卷前測等一連串的評量表設計步驟後，再針對540位在職並有使用電腦經驗之受測者進行調查研究法得到統計結果，隨即經過三次反覆的探索性因素分析、信效度分析，驗證此評量表之適用性。本研究經驗證後有以下幾項結果：(1)本量表適用於在職並有使用電腦之使用者，做為認知高低的評量；(2)本量表更可適用於未接受資訊安全訓練之人員，做為資訊安全教育訓練導入參考的依據；(3)本量表也較適用於尚未將網路刷卡或付款納入日常生活繳費方式之族群。
本研究引用之理論架構與所產出之量表為資訊安全認知之基本意義與內涵，可評量出目前個人資訊安全認知水準之高低等狀況，藉以分析出現今個人欠缺資訊安全那些不同層面的教育訓練。目前資訊安全認知在國內外少有學術研究及文獻，本研究之量表可作為衡量個人的資訊安全認知水平、認知高低之評量。

The rapid developments of Internet and communication technology application have reconstructed the nature of human life. Information technology is the basic infrastructure for modern work and life. In 2006, the Directorate-General of Budget, Accounting and Statistics of the Executive Yuan in Taiwan conducted a computer usage survey. The result has shown that most of the organizations emphasize more on security technology, but ignore the safety awareness and behaviors of users, which are important elements to achieve a thorough safety and secure management. This study intends to develop an information security awareness measurement which can be used to explore the level of information security awareness for individual users. The measurement developed is expected to provide an effective instrument to measure the information security awareness for each individual user.
The measurement is based on the interview content from "Value-focused assessment of ICT security awareness in an academic environment"(Drevin, Kruger and Steyn, 2007). Literature review and content analysis method were conducted in this study to develop the draft measurement scale for information security awareness. To make the measurement scale more applicable, this study adopted in-depth interview with some field experts, followed by interview with focus group. Then the measurement items for questionnaire were formed by pre-testing the individuals. A large-scale questionnaire survey was conducted on 540 subjects who are currently employed and have computer usage experience. With the data collected, the exploratory factor analysis was repeatedly conducted to verify the validity and reliability of the developed measurement scale. The conclusions of this study are as follows: (1)The scale is suitable to test the acknowledgement of subjects who are currently employed and have computer usage experience. (2)The scale is suitable for measuring subjects who have not yet received information security training, and the test result can be used as the basis of designing the training program. (3)The scale is suitable for measuring subjects who do not use credit card online or pay bill online regularly.
There are few academic researches and literature about㎏ information security awareness worldwide. The developed measurement scale in this research which has been tested having good reliability and validity can be used to evaluate the degree of individual's information security awareness.

第一章 緒論 1
第一節、 研究背景 1
第二節、 研究動機 2
第三節、 研究目的 2
第四節、 研究流程 3
第二章 文獻探討 5
第一節、 資訊安全定義 5
第二節、 相關資訊安全制度 6
一、 BS7799/ISO 27001 6
二、 COBIT 11
三、 NIST Special Publication 800-16 12
第三節、 資訊安全素養 14
一、 資訊素養定義 14
二、 資訊素養能力 15
三、 資訊安全素養 16
四、 資訊安全教育訓練 17
第四節、 資訊安全認知 18
二、 資訊和通信技術安全認知 18
第三章 研究方法 25
第一節、 研究方法與步驟 25
第二節、 資訊安全認知量表設計 26
一、 量表架構 26
二、 量表設計 28
三、 專家訪談修正量表 31
第三節、 資訊安全認知問卷設計 33
一、 問卷內容 33
二、 先導性測試：深度集體訪談 34
三、 問卷前測 37
第四節、 問卷調查 38
第五節、 資料分析方法與工具 39
第四章 資料分析 40
第一節、 樣本結構 40
一、 樣本結構統計 40
二、 使用電腦資訊的經驗統計 41
三、 電腦資訊安全防護狀況統計 43
第二節、 敘述性統計 45
第三節、 因素分析 48
一、 第一次探索性因素分析 48
二、 第二次探索性因素分析 56
三、 第三次探索性因素分析 65
第四節、 信效度分析 74
一、 信度分析 74
第五章 結論與建議 76
第一節、 結論 76
第二節、 研究貢獻 77
第三節、 研究限制 78
第四節、 未來研究建議 78
參考文獻 79
附錄一 資訊安全認知衡量表 82
附錄二 前測問卷初稿 86
附錄三 實測研究問卷 90

[1].iSecurity，2002，全方位資訊安全教戰手冊，台北：紐奧良文化。
[2].台灣BSI官方網站，下載日期：2008年3月2日，取自：http://asia.bsi-global.com/Taiwan+InformationSecurity/ShareISMS/index.xalter。
[3].白慧如，2004，『國民小學教師資訊素養與教學效能關係之研究』碩士論文，國立臺中師範學院國民教育研究所。
[4].行政院主計處，下載日期：2008年3月2日，取自： http://www.dgbas.gov.tw/public/Attachment/792617191871.doc。
[5].行政院，2004，建立我國通資訊基礎建設安全機制計畫，國家資通安全會報。
[6].李振昌譯，2002，企業安全管理完全手冊，台北：紐奧良文化。
[7].余崇倫，2006，『組織人員對資訊安全認知之研究』碩士論文，中國文化大學資訊管理研究所。
[8].吳俊德，2002，『ISO 17799資訊安全管理關鍵重點之探討』碩士論文，國立中正大學企業管理系。
[9].吳美美，1996，『時空座標中的圖書館功能談資訊素養教育』，館學與資訊科學，第22卷，第2期：39-52頁。
[10].吳倩萍，2006，『政府機關個人資訊安全認知與行為之探討』碩士論文，國立台北大學公共行政暨政策學系。
[11].李長貴，1998，組織行為。台北：華泰文化。
[12].李東峰，2001，『企業資訊安全控制制度之研究』，第三屆全國資訊管理博士生聯合研討會，1-22頁。
[13].林羿分，2005，『我中小企業資訊安全應用調查分析』，資策會資訊市場情報中心，http://mic.iii.org.tw/intelligence/default.asp。
[14].邱士娟，2005，『員警資通安全的認知訓練及現況』碩士論文，國立中央警察大學資訊管理研究所。
[15].國際電腦稽核協會(ISACA)，2003，COBIT資訊及相關技術的管理控制與稽核。
[16].康自立，1978，『工業職業教育能力本位課程設計之理論與實際』碩士論文，國立臺灣師範大學工業教育學系。
[17].曹明玉，2006，『資訊安全認知評量表之研究』碩士論文，淡江大學資訊管理學系。
[18].陳志郁，2002，『壽險業務人員資訊素養能力之研究』碩士論文，國立高雄師範大學工業暨科技教育學系。
[19].楊境恩，2004，『國內警察人員資訊安全素養對資訊犯罪偵查能力影響之研究』碩士論文，樹德科技大學資訊管理系。
[20].經濟部國家標準檢驗局，2006，CNS 27001資訊技術、安全技術、資訊安全管理系統要求事項。
[21].經濟部標準檢驗局，2002，資訊技術-資訊安全管理之作業要點，CNS 17799。
[22].資策會，2007，我國資訊軟體暨服務產業發展現況與重要議題，資訊工業年鑑產業。
[23].資策會，2005，市場前瞻與產業發展策略之研究，資訊服務產業年鑑。
[24].資策會，2007，市場發展與現況，資訊服務產業年鑑。
[25].資策會，2007，消費者網路使用行為與趨勢，資訊服務產業年鑑。
[26].蒲樹盛，BS7799全球及台灣目前發展現況，下載日期：2007年10月15日，取自：http://asia.bsi-global.com/Taiwan+About/BSINews/BS-7799/ISMS-develop。
[27].蒲樹盛，2004，資訊安全在台灣，BSI台灣，1-2頁。
[28].劉志銘，2005，『資訊安全情境認知模式之研究』碩士論文，淡江大學資訊管理學系。
[29].鄧志偉，2007，『企業資料安全機制導入之研究』碩士論文，國立高雄第一科技大學資訊管理系。
[30].鍾學文，2002，『科技校院商業管理群學生職場導向資訊素養之研究』碩士論文，國立台北科技大學技術及職業教育系。
[31].鍾學文，科技校院商業管理群學生職場導向資訊素養之研究，國立台北科技大學技術及職業教育系碩士論文，2002。
[32].B. Malisow, 2004, “Valuing Secure Access to Personal Information.”, available at http://www.securityfocus.com/infocus/1797.
[33].BSI, BS7799-1:2000, Information Security Management Systems-Part1, Code of Practice for Information Security Management, 2000.
[34].BSI, BS7799-2:2002, Information Security Management Systems -Part2, Specification with Guidance for Use, 2002.
[35].CA Transforming IT Management, CA 2007 Internet Threat Outlook http://ca.com/files/SecurityAdvisorNews/ca_2007_internet_threat_outlook_final.pdf, 2007。
[36].COBIT, 1998, Governance, Control and Audit for Information and Related Technology, 3rd Edition Control Objectives.
[37].CSI(Computer Security Institute), The 12th Annual Computer Crime and Security Survey ,available at http://i.cmpnet.com/v2.gocsi.com/pdf/CSISurvey2007.pdf, 2007。
[38].D. Gollmann, 1999, Computer Security, John Wiley & Sons Ltd.
[39].C.S. Doyle, 1994, Information Literacy in an Information Society: A Concept for the Information Age. Syracuse, N.Y.: ERIC Clearinghouse on InformationResource. (ERIC Document Reproduction Service No. ED 372 763)
[40].E. C. Schneider, and G. W. therkalsen, 1990, “How Secure Are Your System?”, Avenues To Automation, Vol. 11, pp.68-72.
[41].Ernst & Young, 2004, Global Information Security Survey 2004, available at http://ics.stpi.org.tw/Abstract/doc/29.pdf.
[42].G.B. Shelly, T.J. Cashman, and G.A. waggoner, 1996,” Using Computers: A Gateway to Information”, Danvers, MA:Boyd & Fraser publishing company.
[43].H. A. Kruger and W.D. Kearney, 2006. “Computers and Security “, A Prototype for Assessing Information Security Awareness, Vol. 25, pp. 289–296.
[44].J. F. Hair, R. E. Anderson, R. L. Tatham and W.C. Black, 1998, Multivariate Data Analysis”, Prentice Hall.
[45].L. Drevin, 2007, H.A. Kruger and T. Steyn, Value-focused assessment of ICT security awareness in an academic environment ,Computers and Security, Vol. 26, pp.36–43.
[46].M. Wilson, and J. Hash, Building an Information Technology Security ”Build Awareness and Training Program”, NIST(National Institute of Standards anTechnology), 2003/10.(NIST-Special Publication 800-50)
[47].C. R. McClure, 1994, “Network literacy: A role for libraries?”, Information Technology and Libraries, Vol. 13, No. 2, pp.116-118.
[48].NIST, NIST Special Publication 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model (supersedes NIST Spec. Pub. 500-172), 1998/04, available at http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf
[49].J. C. Nunnally, 1978, Psychometric Theory, New York: Mcgraw-Hill.
[50].R. L. Keeney, 1994, “Creativity in decision making with value-focused thinking”, Sloan Management Review, summer: pp. 33–41.
[51].S. Hinde, 2001, “If you can meet with triumph and disaster and treat those two impostors just the same”, Computers and Security, Vol. 20, pp. 657-666.
[52].P. Zurkowski, 1974, The Information Service Environment: Relationships and Priorities, Washington: National Commission on Libraries and Information Science.