微型家用行動通訊服務是因應行動通訊電信營運商對於使用者做更多更好服務的應用，目前微型家用基地台技術已經接近成熟，國外大型行動通訊電信營運商已經推出相關服務，勢必國內行動通訊營運商也會陸續推出相關服務。為了確保微型家用行動通訊服務的安全和預防系統遭受非法使用與外力入侵因素等等，因此微型家用行動通訊服務需要一個完整的資訊安全評量標準。
本研究以HIPAA資訊安全規範與ISO 27001資訊安全管理系統標準項目為架構基礎，透過文獻探討與專家問卷建構出微型家用行動通訊服務系統之資訊安全政策風險評估模式，其資訊安全政策的風險管理指標構面內容共區分成四個構面，分別為：「技術安全機制面」、「系統安全維護面」、「作業環境安全面」、「組織安全政策面」等構面，每個層面皆包含四至六個項目之評量準則，共計二十一項準則。
最後利用AHP層級分析法來衡量出各個風險評估上的指標之權重值，以了解各個評估指標對風險評估之影響，產生出來的結果可讓微型家用行動通訊服務系統業者更能去制定與評估微型家用行動通訊服務系統的資訊安全政策。

誌 謝 I
摘 要 II
ABSTRACT III
表 錄 VI
圖 錄 VIII
一、緒論 1
1.1 研究背景與動機 1
1.2 研究目的 2
1.3 研究範圍與對象 3
1.4 研究流程 4
二、文獻探討 6
2.1行動通訊服務系統 6
2.1.1行動通訊服務系統的發展 6
2.1.2 微型家用行動通訊服務系統(Femtocell Mobile Service Systems) 8
2.2 資訊安全與資訊安全標準 11
2.2.1 資訊安全 12
2.2.2 HIPAA 概述 13
2.2.3 HIPAA 控制構面 14
2.3.4 HIPAA 資訊安全控制措施 16
2.2.5 ISO 27001概述 22
2.2.6 ISO 27001 控制構面 24
2.3 研究分析方法 31
2.3.1 德菲法 31
2.3.2 層級分析法 34
2.4 風險管理 38
2.4.1 風險評估 41
2.4.2 風險分析 42
2.4.3 風險處置 44
2.4.4 系統之弱點與威脅分析 45
三、研究方法 48
3.1 研究架構 48
3.2資料分析方法 50
3.2.1專家問卷 50
3.2.2層級建構 51
3.3 問卷及資料蒐集與分析 53
3.3.1 研究樣本之選擇 54
3.3.2 專家定義及問卷訪談方式 54
3.3.3 資料分析工具 54
3.4資訊安全政策風險評估表 55
四、研究結果 57
4.1 受訪者基本資料及問卷分析 57
4.2資訊安全政策評估指標權重之建立 57
4.3 主要構面分析 65
4.4 評估準則分析 65
4.5 個案調查結果之分析 66
4.6 建議後續改善 70
五、結論 71
5.1 結論 71
5.2 後續研究建議 72
參考文獻 74
附錄一(德菲法問卷內容) 77
附錄二(專家問卷內容) 81
附錄三(AHP問卷內容) 84
簡 歷 90

[1] 維基百科，3GPP長期演進技術，
http://zh.wikipedia.org/zh-tw/3GPP%E9%95%B7%E6%9C%9F%E6%BC%94%E9%80%B2%E6%8A%80%E8%A1%93
[2] 劉明達，「數位匯流下 Femtocell (毫微微蜂巢式基地台) 的創新商業模式分析」，臺灣大學高階公共管理組碩士論文，民國98年。
[3] 楊適聰、鄭靜紋，Femtocell網路架構探討，電腦與通訊 126，第16-23頁，民國97年12月。
[4] 伍正平、陳一輝，家用基地臺網路架構之探討，電信研究，第807-828頁，民國98年10月。
[5] 宋佩珊，「醫療資訊電子化對隱私權之影響」，世新大學法學院碩士論文，民國96年。
[6] 黃妙慧、張克章，「國內醫療機構對病患隱私權的保護：以美國健康保險可攜性與責任法案為分析」，長庚大學企業管理研究所資通安全專論，民國96年。
[7] 中華民國考選部(Ministry of Examination, R.O.C(Taiwan))全球資訊網，「資訊安全政策」，
http://wwwc.moex.gov.tw/main/content/wfrmContent.aspx?menu_id=101
[8] 行政院主計處，「98年電腦應用概況報告」，
http://www.dgbas.gov.tw/public/Attachment/092817581371.pdf
[9] 宋文娟，一種質量並重的研究法－德菲法在醫務管理學研究領域之應用，醫務管理期刊 2 (2)，第11-19頁，民國90年。
[10]林振春，社會調查，第三版，五南圖書出版公司，民國81年，第265~289頁。
[11]洪國興、季延平、趙榮耀，「組織制定資訊安全政策對資訊安全之研究」，資訊管理研究所，第3期，民國92年。
[12]陳俊德、楊仕全，「階層分析法在企業選用即時傳訊軟體安全管理策略風險評估模式之研究」，華梵大學資訊管理學系碩士論文，民國95年。
[13]鄧振源、曾國雄，「層級分析法（AHP）的內涵特性與應用（上）」，中國統計學報，第27 卷第6 期，第5-22 頁，民國78 年。
[14]鄧振源、曾國雄，「層級分析法（AHP）的內涵特性與應用（下）」，中國統計學報，第27 卷第7 期，第1-20 頁，民國78 年。
[15]陳俊德、鄭佑全，「NFC資訊安全框架與政策風險評估之研究」，華梵大學資訊管理學系碩士論文，民國97年。
[16]劉永禮，「以BS 7799資訊安全管理規範建構組織資訊安全風險管理模式之研究」，元智大學工業工程與管理學系碩士論文，民國90年。
[17]劉智敏，「運用BS 7799建構資訊安全風險管理指標」，國立台北大學企業管理學系碩士論文，民國93年。
[18]周慧瑜，「營建工程專案承包商風險處置決策模式之研究」，國立台灣大學土木工程學研究所博士論文，民國91年。
[19]劉智勇，「淺談BS 7799及導入步驟」，麟瑞科技電子報，民國93年3月。
[20]林俊光，「建構結合層級分析法與德菲法之群體決策支援環境」，國立成功大學工業管理科學學系碩士論文，民國87年。
[21]褚志鵬，「Analytic Hierarchy Process Theory 層級分析法(AHP)理論與實作」，國立東華大學企業管理學系，民國98年。
[22]鄭佳珍，全球主要電信營運商於Femtocell布局分析，DIGITIMES Research，11 Dec. 2008。
[23]3GPP-World first femtocell standard published by 3GPP, http://www.3gpp.org/World-s-first-femtocell-standard
[24]HIPAA Administrative Simplification: Standard Unique Identifier for Health Care Providers, 69 Fed.Reg.3, 434, 2004.
[25]BSI, ISO 27001:2005 Information Security Management Systems (ISMS) - Requirements, 2005.
[26]BSI, ISO27002:2005 Code of practice for information security management, 2005.
[27]Hartman. A., 「Reaching Consensus Using the Delphi Technique」 Educational Leadership., 38 (6), pp. 495-497, 1981.
[28]Saaty, Thoms L., 「The Analytic Hierarchy Process」New York: McGrawHill, 1980.
[29]BSI, ISO/IEC 27005:2008 Information Security Risk Management Standard, 2008.
[30]DSMC(Defense Systems Management College), Risk Management-Concepts and Guidance, DSMC press, 1986.
[31]Femto Cell Solution for the home, Ericsson, 21 Feb. 2008
[32]Femtocell Technology, Vodafone, 22 Oct. 2008
[33]Femtocell Solution and Deployment of Softbank Mobile, Softbank Mobile, 18 Feb. 2009
[34]Femto forum, http://www.femtoforum.org