現今雲端服務的相關模式與安全問題仍是許多專家學者熱烈探討的顯學，尚無絕對的解釋與定義。雲端服務尚在萌芽階段，許多的機制及學說也許都未臻成熟，自政府大力推動雲端服務推行迄今，國際上尚無ㄧ套完善且具有足夠說服力的審核標準，致企業因無法查知與掌控雲端服務的安全風險，自然無法安心的建置或引進使用。因此本研究以資訊安全管理為中心加上資訊安全技術，在機構中建立一套適合機構評估雲端IaaS服務資訊安全風險管理的模式，從雲端IaaS服務的角度來看資訊安全防護能力的提昇，確保雲端IaaS服務的資訊安全評估政策得到貫徹與執行，減少資安事件帶給機構威脅與衝擊，研究結果發現雲端IaaS服務資訊安全風險管理的指標構面共有五個，分別為「政策管理」、「資產安全管控」、「安全事故控管」、「應變控制」、「技術安全控制」等，每個層面有四至五個衡量準則，總計有二十四個準則。透過本研究的結果可讓企業對雲端IaaS服務安全威脅的關鍵因素，有進一步的了解，可做為機構改善雲端IaaS服務時的參考依據，進而提供企業高層相關資訊，以制定新的安全政策或方法來彌補資訊安全管理上的漏洞。

The relevant mode and safety crisis are still a theory which the experts and scholars are vigorous discussed about; yet, without an absolute explanation and definition. Cloud service is still in the stage of germination and many system and theories are immature as well. So far there is no audit standard that is complete and persuasive enough yet, even though the government has been promoting cloud service persistently up to now. Therefore, industries are not comfortable on setting up or use the service due to the incapability in knowing and control the security risk of cloud service. Hence, this research, centralize on information safety management and information safety techniques, establishes a suitable mode for information security management, that would allow an institute to evaluate the cloud service IaaS. Form the perspective of cloud services, to decrease the crisis of information security, which brings threats and effects to institutes, there are five index dimensions of information security risk management discovered from research outcome: policy managements, property safety control, accident control, strain control, and technical safety control. The increase of information security ability ensures the implement and execution of cloud service IaaS. Each is 24 in total. Through this research outcome, industries could have a better understanding on the key factors of cloud service IaaS security treat. It is used as a reference when comes to improve the cloud service IaaS; furthermore, it is to provide relevant information in order to develop a new safety police or solution for making up the defected information safety management.

致 謝 I
摘 要 II
一、緒論 1
1.1 研究背景 1
1.2 研究動機 1
1.3 研究目的 2
1.4 研究範圍、限制與對象 3
1.5 研究流程 4
二、文獻探討 6
2.1 雲端服務 6
2.1.1 雲端服務的由來 6
2.1.2 雲端服務的發展及現況 8
2.2 資訊安全管理 12
2.2.1 ISO 27001 19
2.2.2 HIPAA 概序 23
2.3 資訊安全的威脅與弱點 29
2.4 資訊分析方法論 32
2.4.1 德菲法 32
2.4.2 修正型德菲法 33
2.4.3 層級分析法 35
2.4.4 失效模式與影響分析(FMEA) 39
2.5 風險管理 41
2.5.1 風險評估 42
2.5.2 風險分析 43
2.5.3 風險處置 44
三、研究方法 46
3.1 研究設計 46
3.2 研究架構 48
3.2.1 雲端IaaS服務資訊安全評估 48
3.2.1 雲端IaaS服務的資安風險 49
3.3 問卷設計 55
3.3.1 問卷設計 55
3.3.2 資料分析工具 57
四、研究結果 59
4.1 研究結果 59
4.1.1 問卷資料的取得 59
4.1.2 受訪者基本資料分析 59
4.1.3 相對權重之結果分析 60
4.2 主要構面分析 62
4.3 評估準則分析 62
4.3.1 政策管理 62
4.3.2 資產安全管控 63
4.3.3 安全事故控管 64
4.3.4 應變控制 64
4.3.5 技術安全控制 65
4.4 實證分析 66
4.5 個案之持續改善 68
五、結論 69
5.1 研究發現 69
5.2 對實務上之涵義 70
附件一 德菲法問卷（一） 75
附件二 德菲法問卷（二） 79
附件二 AHP 問卷 82
附件三 專家問卷 91
簡歷 97

[1]周國華，雲端運算的發展現況及未來影響，會計研究月刊306期第70頁，民國97年6月。
[2]維基百科，「雲端運算」，http://zh.wikipedia.org/wiki/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%，，2010年5月18日。
[3]財團法人資訊工業策進會產業情報室(MIC)，經濟部ITIS計畫，2009年2月。
[4]NIST 美國國家標準局與技術研究院網站，「雲端運算」，http://www.nist.gov/index.html，2010年6月3。
[5]雲端運算使用案例白皮書，雲端使用案例討論小組，第 4 版，2010 年 7 月 2 日。
[6]雲計算關鍵領域安全指南，雲安全聯盟（CSA）簡體版2009年12月。
[7]行政院政務委員張進福，雲端運算發展與應用簡報，99年11月12日。
[8]RUN!PC雜誌，http://www.runpc.com.tw/content/cloud_content.aspx?id=105324，2009年11月號。
[9]科學人雜誌 2010/06–登上雲端，http://laluna.skyboxs.net/cloudcomputing。
[10]毅佳電腦科技股份有限公司，http%3a//eblog.cisanet.org.tw/80366493/article/content.aspx%3fArticleID=996，2010年12月13日
[11]Company : Oracle ，http://www.oc.com.tw/readvarticlen.asp?id=18114，2010年7月27日。
[12]劉家驊、洪士凱，「雲端運算資料安全防護機制之研究」，電腦視覺、影像處理與資訊技術研討會，民國99年6月。
[13]洪國興、趙榮耀，「資訊安全管理理論之探討」，資管評論，第12期，頁17-47，2003年12月。
[14]樊國楨，「資訊安全管理標準模型初探」，財金資訊月刊，財金資訊股份有限公司主辦，2007年。
[15]樊國楨、林樹國、黃健誠，「資訊安全管理系統驗證標準化初探：根基於資訊安全政策與資訊安全管理系統政策」，收錄於國研院資通安全資訊網－資通安全專論，T96024，2006年。
[16]樊國楨、徐鈺宗、楊仲英、李孝詩，「美國聯邦政府資訊安全管理系統稽核作業與相關標準初探」，資訊管理研究期刊，4，35-58 頁，2004年。
[17]CNS 27001 資訊技術-安全技術-資訊安全管理系統-要求事項。
[18]CNS 17799 資訊技術-安全技術-資訊安全管理之作業規範。
[19]杜偉欽，「結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究」，國立成功大學工程科學研究所碩士論文，民國95年7月。
[20]MBA 智庫百科網頁，「德爾菲法」，http://wiki.mbalib.com/zh-tw/，100年3月5日。
[21]陳宜清、張清波，「生態旅遊對濕地環境衝擊因子之探討－德爾菲法之應用」，大葉大學環境工程學系碩士論文，民國九十六年。
[22]鄧振源、曾國雄，「層級分析法（AHP 的內涵特性與應用（上）」，中國統計學報，第二十七卷第六期：5~22 頁，民國七十八年。
[23]鄧振源、曾國雄，「層級分析法（AHP）的內涵特性與應用（下）」，中國統計學報，第二十七卷第七期：1~20 頁，民國七十八年。
[24]吳貴彬、陳相如，「失效模式與效應分析之應用」，中華民國品質學會第39 屆年會暨第9 屆全國品質管理研討會，2003年11月8日。
[25]風險管理作業手冊 第二版 95年。
[26]萬幼筠，「資訊安全管理 VS.企業風險管理」，網路通訊第 91 期，第 24~30頁，民國九十年二月。
[27]洪國興、季延平、趙榮耀，「資訊安全評估準則層級結構之研究」40，2005年。
[28]張芳珍，以BS7799落實資訊安全管理-管理類資訊資產分類與控管，2005年4月。
[29]樂多日誌唯有現在是真實的：雲端運算定義，http://blog.roodo.com/meteors/archives/11579139.html，2011年5月1日。
[30]黃信榮，雲端基礎設施解決方案(IaaS)虛擬資料中心，2010年。
[31]財團法人資訊工業策進會，國家資通安全技術服務防護管理委外服務案，資訊系統風險評鑑參考引，1999年4月。
[32]Gartner網站，「Cloud Computing」，ttp://www.gartner.com/technology/initiatives/cloud-computing.jsp，2010年5月1日
[33]趙維義，「雲端運算虛擬成真」，經濟日報聯合新聞網，http://udndata.com，2009年1月9日。
[34]黃亦筠，「筆電之後是甚麼?」天下雜誌 433 期，http://www.cw.com.tw/article/index.jsp?id=39228，2009年10月。
[35]經濟部，「雲端運算產業發展方案」，第 2 頁，民國九十九年四月。
[36] 趨勢科技網站，「雲端運算防毒應用是趨勢」，http://www.trendmicr.com.tw/spn/overall/summary.asp，2010年5月17日。
[37]維基百科，2010年5月18日，「雲端運算」，http://zh.wikipedia.org/zh-tw。
[38]IBM，「植入雲端：雲端運算的主要基礎架構元素」，民國九十八年。
[39]許孟祥、黃博信、張兆翔，「探討雲端計算對企業商業模式之衝擊：以Google、Amazon 及趨勢科技為例」，國立高雄科技大學資訊管理學系碩士論文，民國九十八年。
[40]王瑋，「雲端運算新世代的網際網路」，創新發現誌，民國九十八年九月。
[41]林俊劭、楊之瑜，「雲端運算為何改變 10 億人」，商業週刊，資策會整理，民國九十九年四月。
[42]雲端安全聯盟，「 可信任雲端運算計畫」，http://www.trusted-cloud.com，2010年5月1日。
[43]簡禎富，決策分析與管理，雙葉書廊，台北，民國九十四年。
[44]褚志鵬，「Analytic Hierarchy Process Theory 層級分析法(AHP)理論與實作」，國立東華大學企業管理學系教學講義，民國九十八年。
[45]王德順，企業管理，修訂版，五南圖書出版股份有限公司，台北，民國九十四年，第 105-108 頁。
[46]翁振益、周瑛琪、張保隆，決策分析方法與應用，華泰文化，台北，民國九十六年，第 143-145 頁。
[47]陶治中、劉文龍，「多準則評估法應用於都市交通現場設備之無線通訊網路方案評選」，運輸計劃季刊，第三十七卷第一期，第 39-78 頁，民國九十七年三月。
[48]PDCA戴明環，http://www.hci.com.au/hcisite2/toolkit/pdcacycl.htm，2010年5月1日。
[49]Hartman. A.，「Reaching Consensus Using the Delphi Technique」Educational Leadership.,38 (6), pp. 495-497.1981年。
[50]Saaty, Thoms L.，「The Analytic Hierarchy Process」. New York: McGrawHill. 1980年
[51]維基百科，風險管理http://zh.wikipedia.org/wiki/%E9%A3%8E%E9%99%A9%E7%AE%A1%E7%90%86，100年5月12日。