隨著科技和網路的快速發展，現代社會的網路應用已深入每個生活環節，而近年智慧型手機的普及則更多元地影響人們的生活型態；以企業經營需求而言，資訊的便利與應用效率的提升是其正面的貢獻，但從資安管理角度分析其帶來的負面安全影響，則必須予以妥善管理與整體規劃。軍事單位的資訊管理與應用因應其特殊的工作背景與安全需求，其管理嚴格程度較為殷切，而手機開放入營的現況，應如何掌握資安生命週期各階段與各實務面向需求，實為重要課題。本研究即基於ISO 27001之架構來探討國軍智慧型手機管理政策，其實務管理需求則整合專家經驗來進行資安稽核項目分析，藉「政策管理、系統管制」等手段，期能降低智慧型手機入營後之可能肇生的資安風險與管理漏洞。其中應用單位在智慧型手機管理系統控制措施實施後，最符合資安稽核要求。稽核評量量表模式及整體研究結論將可用於管理精進的方向應用及提供目標管理政策擬定參考。

Accompanied with the popular of network applications,the influence of network have deep into the every level of our life.The usage of smart cellphone have more serious effects on inner ,matter of lifecycle. The information usage convenience and efficiency are the positive contribution for enterprise,however, it also bring a lot problems and challenges for data security.How to proper manage and plan are important tasks.The circumstance in military unit will be a more serious case needed to solve.Since it is permitted to use smart cellphone inside military camp now,and thus,how to control the detail steps in the lifecycle of data security will be a major topic to study.Therefore,in this study,based on the standard of ISO 27001 for military units audit are proceeded.The terms of aduit are investigated from the experts of related areas,by usage the principle of “political managed and system control”,the evaluation results will be a useful means to improve the secure problem of cellphone usage.The evaluation process and the audit result could be used for goal management and policy planning in the future.

摘要 i
Abstract ii
目錄 iii
圖目錄 vi
表目錄 viii
附錄目錄 x
第一章、緒論 1
1.1研究背景與動機 1
1.2研究目的 3
1.3研究範圍與限制 4
1.3.1研究範圍 5
1.3.2研究限制 5
1.4論文架構 6
第二章、文獻探討 9
2.1資訊安全 9
2.1.1資訊安全定義 9
2.1.2國軍資訊安全定義 11
2.1.3資訊稽核 13
2.2智慧型手機 15
2.2.1智慧型手機定義 15
2.2.2智慧型手機系統 18
2.2.3智慧型手機的演進 24
2.3ISO 27001 27
2.3.1英國標準協會(BSI) 28
2.3.2國際電工技術委員會(IEC) 29
2.3.3國際標準組織(ISO) 30
2.3.4 ISO 27001 31
2.4國軍開放智慧型手機入營 35
2.4.1國軍智慧型手機政策 35
2.4.2後備指揮部智慧型手機開放 36
第三章、研究方法 40
3.1研究步驟 40
3.2研究方法的選擇 41
3.3研究方法設計與程序 43
3.4建立ISO 27001:2013為基礎之評核表 45
3.5資料蒐集與稽核 47
第四章、研究分析 50
4.1專家遴選ISO 27001評核項目 50
4.1.1完全符合項目 51
4.1.2部分符合項目 51
4.1.3完全不符合項目 52
4.1.4建立評核表 52
4.2評核結果分析 52
4.2.1管理軟體導入前評核結果分析 53
4.2.2管理系統導入後評核結果分析 66
4.3評核結果分析比較 79
4.3.1綜合評核結果分析比較 79
4.3.2評核結果統計分析 81
第五章、結論與建議 87
5.1研究結論 87
5.2後續研究建議 89
參考文獻 91

圖目錄
圖1-1論文架構圖 8
圖2-1 PMCA架構圖 15
圖2-2智慧型手機定義 16
圖2-3手機演進圖 27
圖2-4 ISO 27001發展沿革圖 32
圖2-5新版ISO 27001差異比較圖 33
圖3-1研究步驟 40
圖4-1個案單位於安全政策之符合程度 54
圖4-2個案單位於安全組織之符合程度 56
圖4-3個案單位於人力資源安全之符合程度 58
圖4-4個案單位於資產管理之符合程度 60
圖4-5個案單位於實體與環境安全之符合程度 61
圖4-6個案單位於通訊安全之符合程度 63
圖4-7個案單位於資訊安全事故管理之符合程度 65
圖4-8個案單位於遵循性之符合程度 66
圖4-9個案單位於系統導入前後安全政策之符合程度 67
圖4-10個案單位於系統導入前後安全組織之符合程度 69
圖4-11個案單位於系統導入前後人力資源安全之符合程度 72
圖4-12個案單位於系統導入前後資產管理之符合程度 74
圖4-13個案單位於系統導入前後實體與環境安全之符合程度 75
圖4-14個案單位於系統導入前後通訊安全之符合程度 76
圖4-15個案單位於系統導入前後資訊安全事故管理之符合程度 78
圖4-16個案單位於系統導入前後遵循性之符合程度 79
圖4-17智慧型手機管理適用控制要項與控制目標分類 80
圖4-18管理系統導入前後各控制措施提升程度-1 86
圖4-19管理系統導入前後各控制措施提升程度-2 86

表目錄
表1-1 2013-2017年的國軍智慧型手機肇生新聞事件 2
表2-1國內外學者對資訊安全定義綜合整理表 11
表2-2智慧型手機定義 17
表2-3 2013-2016年智慧型手機市占率統計表 18
表2-4智慧型手機作業系統整理 23
表2-5 ISO 27001：2013架構 34
表2-6「試行驗證」與「全面開放」管理差異表 38
表2-7後備指揮部105年度違規態樣及次數表 39
表3-1質性研究法的劃分與研究策略選擇 43
表3-2個案研究品質之衡量標準表 44
表3-3六種資料蒐集方法之優缺點分析 48
表4-1專家訪談對象一覽表 51
表4-2個案單位於安全政策之符合狀況 54
表4-3個案單位於資訊安全組織之符合狀況 56
表4-4個案單位於人力資源安全之符合狀況 58
表4-5個案單位於資產管理之符合狀況 60
表4-6個案單位於實體與環境安全之符合狀況 61
表4-7個案單位於通訊安全之符合狀況 62
表4-8個案單位於資訊安全事故管理之符合狀況 64
表4-9個案單位於遵循性之符合狀況 66
表4-10個案單位於系統導入前後安全政策之符合狀況 67
表4-11個案單位於系統導入前後資訊安全組織之符合狀況 69
表4-12個案單位於系統導入前後人力資源安全之符合狀況 71
表4-13個案單位於系統導入前後資產管理之符合狀況 73
表4-14個案單位於系統導入前後實體與環境安全之符合狀況 75
表4-15個案單位於系統導入前後通訊安全之符合狀況 76
表4-16個案單位於系統導入前後資訊安全事故管理之符合狀況 78
表4-17個案單位於系統導入前後遵循性之符合狀況 79
表4-18個案單位於系統導入前之ISO 27001整體符合狀況 81
表4-19個案單位於系統導入後之ISO 27001整體符合狀況 83
表4-20管理系統導入前後各控制措施提升程度 85

附錄目錄
附錄A 96
附錄B 97
附錄C 98
附錄D 99
附錄E 114
附錄F 116

中文部分
吳世璋，2016，網路資料中心資訊安全防護能力之研究─以空軍網路資料中心為例，國防大學管理學院資訊管理研究所碩士論文。
徐弘昌，2009，以ISO 27001為基礎評估電信業資訊安全管理-以第一類電信業者為例，國立交通大學管理學院碩士論文。
周哲賢、黃邦平，2015，從 ISO 27001 新版標準看企業資安管理之挑戰與因應。
陳宏榮，2012，資訊安全之研究現況－優質英文期刊論文之內容分析，國立屏東科技大學碩士論文。
何宜佳，2002，智慧型手機發展趨勢之研究，國立交通大學碩士論文。
行政院國家資通安全會報，2013，國家通訊安全發展方案。
張筑婷，2012，智慧型手機應用程式之使用者研究，世新大學碩士論文。
李仁鍾、潘季豪、林辰諶、楊明仁，2014，企業對員工可攜式設備管理之研究-以H公司為例，華梵大學資管系。
楊欣哲，林裕倫，2014，企業網站設計之資訊安全的評估模式與評量工具之研究，資訊管理學報，第21卷•第2期：107～138頁。
簡唯倫，2002，智慧型手機功能發展趨勢與造形風格演變之研究-以Apple iPhone為例，大同大學工業設計研究所碩士論文。
楊銀濤，1999，智慧型手機發展的趨勢研究，國立成功大學企業管理系碩士論文。
黃亮宇，1992，資訊安全規劃與管理，松崗電腦圖書公司。
江金芬，2015，導入近場通訊技術於營區智慧型手機管制系統，中原大學資訊管理研究所碩士論文。
蔡宜君，2017，有效發揮政府內部稽核功能之研究-以個案機關為例，東吳大學會計學系研究所論文。
林勤經，2012，資訊安全管理系統建置工作之研究，交通大學資訊管理研究所論文。
國防部參謀本部通信電子資訊參謀次長室，2010，國軍資訊安全政策。
國防部參謀本部通信電子資訊參謀次長室，2013，國軍營內智慧型手機試行要點。
國防部參謀本部通信電子資訊參謀次長室，2011，國軍通資電要綱
國防部後備指揮部，2013a，智慧型手機試行實施計畫。
國防部後備指揮部，2013b，智慧型手機全面試行實施計畫。
國防部參謀本部通信電子資訊參謀次長室，2015，國軍營內民用通信資訊器材管理要點。
國防部參謀本部通信電子資訊參謀次長室，2013，國軍資通安全獎懲規定。
NII產業發展協會，2014年，智慧型手機安全管理。
行政院科技顧問組，2010，2010資通安全政策白皮書。
財政部財稅資料中心，2008，財稅資訊處理手冊。
行政院資通安全會報，2015，政府機關(構)資訊安全責任等級分級作業施行計畫。
資策會產業情報研究所，2009，資訊安全發展趨勢與我國可能商機研究。
謝清佳、吳琮璠，1999，資訊管理－理論與實務，資訊管理智勝文化事業。
潘天佑，2012，資訊安全概論與實務(第三版)，碁峰出版社。
國防部後備指揮部，2017，智慧型手機營內使用規定。

英文部分
Barafort, B., Humbert, J.P. & Poggi, S., 2006, ‘Information security management and ISO/IEC 15504：the link opportunity between security and quality’, Proceedings of the SPICE 2006 conference, Luxembourg, May 4～5.
ISO/IEC, ISO/IEC 27001：2013 Information technology --Security techniques --Information security management systems –Requirements, 2013.
ISO/IEC, ISO/IEC 27002：2013 Information technology --Security techniques --Code of practice for information security controls, 2013.
McClure, C.,1994, Network literacy: a role for libraries? Information Technology and Libraries. 13(2), 115-125.
Yin, Robert K. (2002), Case Study Research: Design and Methods, 3rd Edition, Applied Social Research Methods Series, Vol 5, Sage Publication
L Hebden (2012), Development of Smartphone Applications for Nutrition and Physical Activity Behavior Change.
Eisenhardt, Kathleen M. (1989), “Building Theories from Case Study Research”, Academy of Management Review, 14(4), pp. 532-550.

網路部份
中央研究院資訊服務處，2015年資訊安全之解析與展望，參見中央研究院網站https：//ascc.sinica.edu.tw/iascc/articals.php?_section=2.4&_op=?articalID：8513﹝visited in 2016/01/15﹞
財團法人中華民國國家資訊基本建設產業發展協進會，資安政策，參見財團法人中華民國國家資訊基本建設產業發展協進會網站http：//www.nii.org.tw/Home/SecurityPolicy﹝visited in 2016/01/18﹞。
國防部，中華民國一０四年四年期國防總檢討(QDR)，參見國防部網站https：//www.mnd.gov.tw/Publish.aspx?cnid=3295&p=56614﹝visited in 2015/12/15﹞。
經濟部標準檢驗局，國際化標準組織IEC
http://www.bsmi.gov.tw/bsmiGIP/wSite/ct?xItem=16645&ctNode=4023&mp=7
趨勢科技(2013)。網路危機~報告:高風險手機應用程式，六成會收集作業系統、GPS 定位等資訊。取自http://blog.trendmicro.com.tw/?p=6413
趨勢科技全球技術支援與研發中心
https://blog.trendmicro.com.tw/?s=%E6%99%BA%E6%85%A7%E5%9E%8B%E6%89%8B%E6%A9%9F
Donova, T. (2013). Nearly 100% of mobile malware attacks in 2013 targeted android devices. Retrieved January 15, 2014, from http://www.businessinsider.com/nearly-all-mobile-malware-in-2013-targeted-android-devices-2014-1
法務部，法規資料庫，國家機密保護法
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0060003
法務部，法規資料庫，國家機密保護法施行細則
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0060005
法務部，法規資料庫，個人資料保護法
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
法務部，法規資料庫，個人資料保護法施行細則
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022
國立臺灣大學計算機及資訊網路中心
https://www.cc.ntu.edu.tw/chinese/spotlight/2010/a99010.asp