論 文 題 目：海巡署中巡局員工對資訊安全之認知與管理
校 所 名 稱：逢甲大學公共政策研究所碩士班
畢 業 時 間：2009年（九十七學年度第二學期碩士學位論文摘要）
研究生姓名：朱焜永 指導教授：胡鳳生
論文摘要：
行政院科技顧問組委託 NII進行2007全民資安健檢調查發現，民眾在網路釣魚和詐騙的資訊安全認知相當不足。顯見一般使用者對資訊安全防護僅停留於技術層面，疏不知資訊安全事件都是因「人為」不當的操作與認知不足等行為所造成。因此，海巡署除在執行資訊安全的控管機制下，如何提升員工對資訊安全的認知，減少不當的人為操作或點選，並在異常的時候作出正確的處置，降低危害程度，便成了一個重要的課題。
本研究之調查方法區分問卷調查法及深度訪談法，其研究對象在問卷調查部份採用立意取樣法，以中巡局局本部及所屬機動查緝隊人員為問卷發放對象，實際發放問卷數量共計226份，問卷回收率為91.37%，有效問卷197 份；訪談部分以通資業務承辦人員，且服務年資在5年以上之承辦人員為訪談對象。分析方式係以認知理論為基礎，運用SPSS 12 for windows軟體，以敘述統計方式進行分析討論。
本研究發現海巡署秉持組織一體的精神，由上而下制定「資訊安全管理」政策，更成立資通安全防護管理中心（SOC）全年365天24小時不間斷監控內、外網電腦以及自動化處理流程（SOP），有效執行資訊安全事件預警、通報及指揮，其資安稽核之健全，是其他政府機關無法媲美的。然經由問卷調查分析發現，組織內員工對資訊安全基本認知是有的，如：定期變更開機密碼、判斷電子郵件附加檔案的安全性…等；然對於資訊軟、硬體設備的認知仍有不足，可見員工的資訊安全認知仍有成長的空間。
最後，從問卷調查資料分析得知，多數人對資訊安全的服務與期望是有若差的，因此提出「稽核績效應宣傳、資安管理才順手」、「資安服務要落實、認知程度會提高」等建議，供海巡機關管理階層參考。
【關鍵字】資訊安全、認知理論、資訊安全管理、資安稽核

Central Coastal Patrol Office Staffs’ Cognition and Management to Information Security
Student: Kun-Yung Chu Advisor: Fong-Seng Hu, Ph.D
Feng Chia University
Graduate Institute of Public Policy
Thesis
Abstract
The Science and Technology Advisory Group of Executive Yuan entrusted NII to conduct the 2007 Information Safety Investigation. The results showed that the general public was still lacking of proper information safety awareness, especially in the areas of internet fishing and internet frauds. Obviously we can see that general users, for information safety protection, currently are still staying at the basic technical level; they do not aware that most of the information safety issues occurred are due to user’s inappropriate operation and lacking of awareness. Therefore, in addition to bring out stricter control on information safety, the Coast Guard Administration is now studying issues on how to increase emploees’ awareness on information safety, how to decrease improper man-made operations or accidentially-clicked commends, and as well as on how to accurately handle unusual circumstances to reduce damages.
The research methods adopted Questionnaire Survey and In-depth Interview Method. The research subjects in questionnaire survey were chosen by Judgement Sampling; questionnaires were distributed to the personnel in the main department of the Central Coastal Patrol Office and all its Duty Units. 226 questionnaires were actually distributed in total and the questionnaire re-collection rate was 91.37%, while 197 questionnares collected were effective. For Interview Method, undertakers with more than 5 service years in the Telecommunication and Information Section were chosen to be the interview subjects. Based on the Cognitive Theory and applied with the SPSS 12 software for windows system, the analysis was conducted and discussed using the descriptive statistics method.
The research found that the Coast Guard Administration, in accordance with the spirit of unity, had fully executed the “Information Safety Management” policy throughtout the organization. It set up the Security Operation Center (SOC) to monitor the internal and external computer system and the Standard Operation Procedures (SOP) all year round to effectively carry out the early warning, reporting and the commanding on information safety issues. Its information safety monitoring system can be said the most integrated and completeness amongst all other governmental institutions. However, through the questionnaire survey, the analysis found that even thought employees in this organization has basic awareness on information safety, such as knowing to regularly change the log-in password, having the knowledge to determine the safety of email attachment, etc…; however, they are still lacking of enough understanding on information software and hardware facilities. From this, we can see the employees can still be further educated for developing higher awareness on information safety.
Finally, from the questionnaire survey, the analysis showed that for the services and expections on information safety, most people were different. Therefore, suggestions such as “publicizing auditing results to smooth the management of information safety” and “completely executing information safety services to increase public’s awareness” are brought up as references for managers of all coast guard institues.



【Keywords】 Information safety, Cognitive theory, Information safety management, Information safety audits

目 次
頁次
第一章 緒論
第一節 研究背景與動機 …………………………………………1
第二節 研究目的與問題 …………………………………………4
第三節 研究範圍與限制 …………………………………………6
第四節 名詞解釋 …………………………………………………7
第二章 參考文獻
第一節 我國資訊安全政策演進…………………………………13
第二節 海巡署的資訊安全管理…………………………………21
第三節 資訊安全認知……………………………………………33
第四節 資訊安全管理標準與規範………………………………42
第三章 研究設計
第一節 研究流程與架構…………………………………………51
第二節 研究工具與方法…………………………………………52
第三節 研究對象…………………………………………………53
第四節 問卷預試分析與結果……………………………………59
第四章 資料分析與討論
第一節 問卷分析…………………………………………………69
第二節 訪談分析 ………………………………………………114
第三節 綜合討論 ………………………………………………119
第五章 結論與建議
第一節 研究結論 ………………………………………………123
第二節 研究建議 ………………………………………………126

頁次
第三節 對未來研究之建議 .……………………………………127
參考文獻
中文部分.…………………………………………………………129
英文部分.…………………………………………………………132
附錄
附錄一 海巡署中巡局員工對資訊安全之認知與管理調查問
卷（正式問卷）…………………………………………133
附錄二 海巡署中巡局員工對資訊安全之認知與管理調查問
卷（預試問卷）..……………..…………………………137
附錄三 行政院國家資通安全會報設置要點 .…………………141
附錄四 通資訊基礎建設安全機制的第三期重要措施與行動
方案……………………………………..………………143
附錄五 資通安全政策通知書.……………………..……………145
附錄六 海岸巡防機關可攜式資訊設備及儲存媒體管理要點...146
附錄七 質性訪談逐字稿.……………………………..…………148

表 次
頁次
表1-1 資訊資產分級分類表...…………………………………………………………8
表2-1 資安作業服務對象（政府機關╱機構）之等級區分.………………………14
表2-2 各應變分組主責機關及轄管範圍一覽表.……………………………………17
表2-3 資安攻防演練攻入比例.………………………………………………………20
表2-4 國內外學者對「認知」的定義.………………………………………………36
表2-5 國內外對「資訊安全」的定義.………………………………………………37
表2-6 10個控制要項、36個控制目標、127個控制措施.…………………………42
表2-7 新版BS7799:2005新增刪之控制項目表.……………………………………44
表2-8 全球各國企業通過ISO 27001認證數量.……………………………………45
表2-9 COBIT資訊技術控管作業程序項目…….……………………………………50
表3-1 資訊安全業務承辦人深度訪談名單…….……………………………………54
表3-2 資訊安全業務承辦人訪談大綱………….……………………………………55
表3-3 中部地區巡防局暨所屬單位人員配置情形………….………………………56
表3-4 問卷調查對象及發放數量…………………………….………………………58
表3-5 預試問卷「資訊資產保護認知」項目分析……………………….…………61
表3-6 「資訊資產保護認知」量表刪題前後Cronbach''s α係數一覽表……………62
表3-7 預試問卷「網路資源運用認知」項目分析.…………………………………62
表3-8 「網路資源運用認知」量表刪題前後Cronbach''s α係數一覽表…...…………63
表3-9 預試問卷「資訊軟、體設備認知」項目分析 ………………………………64
表3-10 「資訊軟、體設備認知」量表刪題前後Cronbach''s α係數一覽表 ………64
表3-11 預試問卷「對機關資訊安全管理的看法」項目分析………………………65
表3-12 「對機關資訊安全管理的看法」量表刪題前後Cronbach''s α係數一覽表66
表3-13 預試分析刪除試題彙整表...…………………………………………………66
表3-14 預試問卷與正式問卷之題號差異對照表...…………………………………67
表4-1 本研究問卷發放與回收彙整表.………………………………………………70
表4-2 性別統計表.……………………………………………………………………71
表4-3 年齡統計表.……………………………………………………………………72

頁次
表4-4 教育程度統計表.………………………………………………………………73
表4-5 服務單位統計表.………………………………………………………………74
表4-6 身分別統計表.…………………………………………………………………75
表4-7 服務年資統計表.………………………………………………………………76
表4-8 每日使用電腦時間統計表.……………………………………………………77
表4-9 每日使用網際網路時間統計表.………………………………………………78
表4-10 「將自己的基本資料設定成密碼或帳號，是很危險的」統計表 .………79
表4-11 「定期變更電腦開機密碼，對資料的保護是非常重要的」統計表………80
表4-12 「自己的密碼一定要妥善保管」統計表……………………………………81
表4-13 「下班前將您的個人電腦關機是正確的動作與觀念」統計表……………82
表4-14 「您的密碼會妥善保管，不告訴同仁、資訊同仁或維修人員」統計表…83
表4-15 「透過網際網路傳送資料時，您會將資料做相當程度的保護」統計表…84
表4-16 「處理公務時您不會拿私人硬體設備來使用」統計表……………………85
表4-17 「從網路下載的遊戲、照片等，可能會使電腦感染病毒」統計表………86
表4-18 「開啟不明信件的附加檔案，可能讓您的電腦中毒」統計表……………87
表4-19 「在網路上發現對自己有用的軟體，立即下載使用絕不會有病毒夾藏
其中」統計表…………………………………………………………………88
表4-20 「在網路上發現感興趣的資料，只要線上點閱不會遭受病毒攻擊」統
計表 …………………………………………………………………………89
表4-21 「接收電子郵件時，先判斷郵件來源及附加檔案之安全性是必要的」
統計表 ………………………………………………………………………90
表4-22 「對於來路不明的電子郵件附加檔案您不會任意的開啟瀏覽或執行」
統計表 ………………………………………………………………………91
表4-23 「坊間市售防毒軟體可百分之百防範電腦病毒的攻擊」統計表…………92
表4-24 「防毒軟體的病毒碼不需要定時更新，即可防護個人電腦不受新病毒
之攻擊」統計表...……………………………………………………….……93
表4-25 「防毒軟體安裝後停用，你的個人電腦絕不會受病毒攻擊」統計表……94

頁次
表4-26 「安裝從網路上下載之軟體，可能隱藏未知病毒，攻擊你的電腦」
統計表 ………………………………………………………………………95
表4-27 「使用點對點軟體下載資料是合法，且不會受病毒感染」統計表………96
表4-28 「若發現有人在盜取、洩漏機敏資料時，我會立即向單位通資科、
督察室反應通報，適時赫止不法情事發生」統計表………………………97
表4-29 「發現電腦可能中毒，會立即向單位通資科反應通報，請求協助」
統計表 ………………………………………………………………………98
表4-30 「您覺得單位實施資訊安全管控措施是有其必要性的」統計表…………99
表4-31 「單位若發生資訊安全事件，對單位的資訊資產有很大的影響」統計表100
表4-32 「您能體諒嚴謹的資訊安全管理制度，所造成的不便」統計表.………101
表4-33 「您覺得現行資訊安全管理能有效降低機敏資料外洩風險」統計表.…102
表4-34 「現行資訊安全管理能即時發現病毒，迅速通報並加以隔離」統計表103
表4-35 「海巡署「115資通服務專線」的服務人員均很熱心的為您解答所
遇見的資訊問題」統計表…………………………………………………104
表4-36 「海巡署「資通安全服務網」所提供的病毒攻擊、社交工程訊息等
都是最新穎的」統計表……………………………………………………105
表4-37 「單位定期辦理資訊安全教育訓練，有助於您在電腦維護、瀏覽網
頁、開啟電子郵件等方面的安全認知上有所成長」統計表……………106
表4-38 「您對單位提供的教育訓練內容，覺得內容充實實用，可以在日常
生活上運用」統計表………………………………………………………107
表4-39 「您對違反資訊安全所受到的懲處都能虛心接受」統計表.……………108
表4-40 意見交流之看法與建議彙整表.……………………………………………109

圖 次
頁次
圖1-1 海巡署內、外網實體隔離架構圖………………………………………………3
圖1-2 資訊安全的三面向...……………………………………………………………5
圖1-3 資訊資產之類型樹狀圖...………………………………………………………8
圖2-1 國家資通安全會報組織架構圖.………………………………………………15
圖2-2 國家資通安全會報通報與應變作業流程.……………………………………19
圖2-3 海岸巡防署組織圖.……………………………………………………………23
圖2-4 海岸巡防署（含巡防區）組織圖.……………………………………………24
圖2-5 海巡署內、外網實體隔離架構圖.……………………………………………26
圖2-6 海巡署內、外網電子郵件實體隔離架構圖.…………………………………28
圖2-7 海巡署SOC五大元素關聯圖…………………………………………………30
圖2-8 資訊安全認知框架.……………………………………………………………41
圖2-9 達成組織營運目標所需之資訊資源與技術品質準則.………………………49
圖3-1 研究流程.………………………………………………………………………51
圖3-2 研究架構.………………………………………………………………………52
圖4-1 性別分析圖.……………………………………………………………………71
圖4-2 年齡分析圖.……………………………………………………………………72
圖4-3 教育程度分析圖.………………………………………………………………73
圖4-4 服務單位分析圖.………………………………………………………………74
圖4-5 身分別分析圖.…………………………………………………………………75
圖4-6 服務年資分析圖.………………………………………………………………76
圖4-7 每日使用電腦時間分析圖.……………………………………………………77
圖4-8 每日使用網際網路時間分析圖.………………………………………………78
圖4-9 「將自己的基本資料設定成密碼或帳號，是很危險的」分析圖.…………79
圖4-10 「定期變更電腦開機密碼，對資料的保護是非常重要的」分析圖 .……80
圖4-11 「自己的密碼一定要妥善保管」分析圖……………………………………81
圖4-12 「下班前將您的個人電腦關機是正確的動作與觀念分析圖………………82


頁次
圖4-13 「您的密碼會妥善保管，不告訴同仁、資訊同仁或維修人員」分析圖..83
圖4-14 「透過網際網路傳送資料時，您會將資料做相當程度的保護」分析圖..84
圖4-15 「處理公務時您不會拿私人硬體設備來使用」分析圖 …………………85
圖4-16 「從網路下載的遊戲、照片等，可能會使電腦感染病毒」分析圖..……86
圖4-17 「開啟不明信件的附加檔案，可能讓您的電腦中毒」分析圖 …………87
圖4-18 「在網路上發現對自己有用的軟體，立即下載使用絕不會有病毒夾
藏其中」分析圖 ……………………………………………………………88
圖4-19 「在網路上發現感興趣的資料，只要線上點閱不會遭受病毒攻擊」
分析圖 ………………………………………………………………………89
圖4-20 「接收電子郵件時，先判斷郵件來源及附加檔案之安全性是必要的
」分析圖 ……………………………………………………………………90
圖4-21 「對於來路不明的電子郵件附加檔案您不會任意的開啟瀏覽或執行
」分析圖 ……………………………………………………………………91
圖4-22 「坊間市售防毒軟體可百分之百防範電腦病毒的攻擊」分析圖..………92
圖4-23 「防毒軟體的病毒碼不需要定時更新，即可防護個人電腦不受新病
毒之攻擊」分析圖 …………………………………………………………93
圖4-24 「防毒軟體安裝後停用，你的個人電腦絕不會受病毒攻擊」分析圖 …94
圖4-25 「安裝從網路上下載之軟體，可能隱藏未知病毒，攻擊你的電腦」
分析圖 ………………………………………………………………………95
圖4-26 「使用點對點軟體下載資料是合法，且不會受病毒感染」分析圖 ……96
圖4-27 「若發現有人在盜取、洩漏機敏資料時，我會立即向單位通資科、
督察室反應通報，適時赫止不法情事發生」分析圖 ……………………97
圖4-28 「發現電腦可能中毒，會立即向單位通資科反應通報，請求協助」
分析圖 ………………………………………………………………………98
圖4-29 「您覺得單位實施資訊安全管控措施是有其必要性的」分析圖 ………99
圖4-30 「單位若發生資訊安全事件，對單位的資訊資產有很大的影響」分
析圖…………………………………………………………………………100

頁次
圖4-31 「您能體諒嚴謹的資訊安全管理制度，所造成的不便」分析圖 ………101
圖4-32 「您覺得現行資訊安全管理能有效降低機敏資料外洩風險」分析圖.…102
圖4-33 「現行資訊安全管理能即時發現病毒，迅速通報並加以隔離」分析
圖……………………………………………………………………………103
圖4-34 「海巡署「115資通服務專線」的服務人員均很熱心的為您解答所
遇見的資訊問題」分析圖 …………………………………………………104
圖4-35 「海巡署「資通安全服務網」所提供的病毒攻擊、社交工程訊息等
都是最新穎的」分析圖 ……………………………………………………105
圖4-36 「單位定期辦理資訊安全教育訓練，有助於您在電腦維護、瀏覽網
頁、開啟電子郵件等方面的安全認知上有所成長」分析圖 ……………106
圖4-37 「您對單位提供的教育訓練內容，覺得內容充實實用，可以在日常
生活上運用」分析圖 ………………………………………………………107
圖4-38 「您對違反資訊安全所受到的懲處都能虛心接受」分析圖 ……………108
圖4-39 中巡局的組織架構圖 ………………………………………………………112

參考文獻
一、中文部分
（一）書籍
李順仁（2007）。資訊安全。台北：文魁資訊。
吳明隆、涂金堂著（2008）。SPSS與統計應用分析。台北：五南。
林佳瑩、徐富珍等譯（2006）。Earl Baabbie著。研究方法：基礎理論與技巧。台北：新加坡商湯姆生亞洲私人有限公司台灣分公司，（原書於2004年出版）。
郭明瓚（2006）。資訊安全管理認知與IT治理實務。台北：旺文社。
海洋事務法典編輯委員會（2005）。海洋事務法典。台北：行政院海巡署。
秘密客（2004）。反追蹤駭客指南。台北：文魁資訊。
陳向朋（2002）。教師如何作質的研究。台北市：洪葉。
張博竣（2004）。資訊安全管理實務。台北：文魁資訊。
張春興（2003）。教育心理學：三化取向的理論與實踐。台北：東華。
黃瑞琴（1997）。質的教育研究方法。台北市：心理。
游乾賜（2006）。海巡署成長與變革。台北：黎明文化。
程秉輝、John Hawke等著（2005）。網路釣魚、側錄間諜、詐騙、毒駭。台北市：旗標。
葉重新（2000）。心理學。台北：心理。
榮泰生（2005）。企業研究方法。台北：五南。
樊國楨等（2003）。資訊安全管理系統與稽核。台北：行政院國家科學委員會科學技術資料中心。
鍾聖校（1990）。認知心理學。台北：心理。

（二）期刊
何依玟（2008）。主動出巡資安總動員。資安人，57，24-28。
徐正（2007）。組織導入BS7799後之資訊安全管理成效研究。資訊管理展望，9（2），67-86。
陳亮宏（2007）。解析本署資通安全政策目標。海巡雙月刊，28，18-23。
陳亮宏（2009）。海巡署打造資安巡防艦。資安人，60，76-79。
黃湘武（1980）。皮亞傑認知心理學與科學教育。科學教育雙月刊，37，12-17。
黃湘武（1993）。皮亞傑理論在科學教育上的應用研究。西方社會科學理論的移植與應用，53-62。
曹明玉（2007）。資訊安全認知評量表之研究。資訊安全管理展望，9（1），71-93。
潘慧玲（1994）。角色取替的探討。教育研究所集刊，35，193-207。
樊國楨、黃健誠（2008）。資訊安全管理認知框架簡述。資安人，57，96-99。

（三）學位論文
吳倩萍（2006）。政府機關個人資訊安全認知與行為之探討。國立台北大學公共行政暨政策學系碩士學位論文，未出版，台北市。
林孟範（2007）。知識地圖對資安認知學習成效影響之探討。淡江大學資訊管理學系碩士學位論文，未出版，台北縣。
侯皇熙（2004）。植基於BS7799探討政府部門的資訊安全管理—以海關資訊部門為例。國立成功大學工程科學系碩士學位論文，未出版，台南市。
曹明玉（2006）。資訊安全認知評量表之研究。淡江大學資訊管理學系碩士學位論文，未出版，台北縣。

（四）電子媒體
朱漢琳（2007）。ISO 27001 資訊安全管理系統—主導稽核員。2009年3月7日取自http://www2.nuk.edu.tw/lib/e-news/20070701/index.htm#03。
行政院海巡署中部地區巡防局（2009）。中巡局現行組織架構。2009年5月13日，取自http://www.cga.gov.tw/middle/intro3.html。
行政院國家資通安全會報（2009）。國家資通安全通報應變作業綱要。2009年5月21日，取自http://www.fengyuan.gov.tw/service/FormDownload/%B8%EA%A6w%A7@%B7~%BA%F5%ADn.doc。
行政院國家資通安全會報（2009）。國家資通訊安全發展方案。2009年5月22日，取自http://www.hdais.gov.tw/13/0104726A00_ATTCH1.pdf
林欣瑩（2009）。認知與溝通。2009年4月18日，取自http://page.phsh.tyc.edu.tw/downtext/upload/%BB%7B%AA%BE%BBP%B7%BE%B3q.doc。
南方網（2008）。社交工程學----駭客中的駭客。2009年1月7日，取自http://www.southcn.com/it/itpeople/200201071079.htm。
許承宏、蔡秉義、陳柏州（2003）。書寫系統與認知結構：認知心理學與神經語言學的發現。2009年4月20日，取自http://mail.nhu.edu.tw/~society/e-j/34/34-37.htm。
精誠資訊（2009）。FAQ：什麼是ITIL?。2009年3月7日，取自http://www.ulstek.com.tw/itil/page01.htm#1。
瑞商遠東公證股份有限公司（2005）。ISO 27001 vs. BS 7799。2009年2月8日，取自http://www.tw.sgs.com/zh_tw/mini_site_iso27001_tw_1-1。
趙郁竹（2008）。全民資安健檢：大眾對網路釣魚認知稍差。2008年11月11日，取自http://www.ithome.com.tw/itadm/article.php?c=47804。
維基百科（2009）。2008年3月10日，取自http://zh.wikipedia.org/w/index.php?title=%E8%B3%87%E8%A8%8A&variant=zh-tw。
鍾德桂（2003）。PDCA循環。2009年4月20日，取自http:/inews.cna.com.tw/report/02.htm。

（五）會議及座談會的會議紀錄
林致瑋、林永順（2007）。鷹架理論對技術教學的省思—以機械實習為例。中華民國品質學會第43 屆年會暨第13 屆全國品質管理研討會，台北市：中華民國品質學會。

（六）未出版的著作或手稿
陳同孝（2009）。中部地區巡防局98年上半年度資訊安全講習課程講義。海巡署中巡局資訊安全講習，未出版手稿。

（七）報紙
朱小明、夏嘉玲（2009，3月30日）。鬼網竊103國機密文件 台灣也受害。聯合報， AA版。
二、英文部分
Chandler, M. J. (1977). Social cognition: A selective review of current research. Knowledge and development, 2,12-18.
Hans, M. T. & Kjell, R. S.(2005). Creating a security culture. Information Society and Security, Telektronikk 1: 15-20.
International Register of ISMS Certificates.(2009). Certificates Register. Register Search February 15, 2009, from http://www.iso27001certificates.com
Kohlberg, L. ＆Mayer, R.(1972). Harvard Educational Review. Development asthe Aim of Educatio, 42, 449-496.
NIST. (1998). Information Technology Security Training Requirements: A Role- and Performance-Based Model. February 20, 2009, from http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf
Piaget, J. & Inhelder, B.(1969). The Psychology of the Child. New York, Basic Books.
Vygotsky, L. S. (1962). Thought and language. E. Cambridge, MA: MIT Press.