臺灣博碩士論文加值系統

根據2007年普華永道(PwC)與CIO、CSO共同舉行的全球資訊安全調查顯示，中國智慧財產權盜竊比例高達18%，且內部員工首次被列為最有可能製造資訊安全事件的主要因素。

縱觀近年來國內知名企業所發生的營業秘密被竊取等重大資安事件層出不窮，甚至某些國家為培植樣版企業或同業競爭對手期能在短期之內大幅突破技術門檻進而超越對方，而採取高報酬利誘方式及有計劃收買競爭對手員工，以不當手段竊取營業秘密達到跳躍式的競爭優勢。現今越來越多的企業意識到，營業秘密洩漏對企業的危害之巨，它不僅給企業帶來法律風險、商譽受損、巨額的經濟損失，還可能危及企業的生存，更影響國家整體性的經濟發展；也因此帶動員工上網行為管理系統(EIM)市場自2005年開始爆發成長，很多企業組織不約而同的採用EIM資訊系統作為企業內部員工資安事件防範機制之管理工具，以達到有效保護企業資訊資產之目的。

本論文主要是透過個案研究方法來探討企業組織如何結合IT技術建立一套有效杜絕內部資安事件之防範制度，從IT管理對組織影響的觀點來探討Leavitt鑽石模型理論應用在上網行為管理電子化系統導入的關鍵因素，期能透過本個案研究之實務經驗，作為同業或異業企業導入EIM電子化管理之參考與評估。

According to the Global Information Security Survey jointly held by Price Waterhouse Coopers (PwC) and CIO, CSO in 2007, Chinese intellectual property theft was disclosed as high as 18%, and internal employees have been listed for the first time as the major factors most likely to make information security incidents.

Throughout recent years, trade secrets from known domestic enterprises have been stolen and other major information security incidents after another. Some countries even cultivate patterns of business or horizontal competition try to overcome technical barriers in the short term and even significantly outdo rivals, and take high-paying inducements way and there are plans to corrupt rival staff by improper means to steal trade secrets to achieve leaping competitive advantage. Today more and more companies realize that leaking trade secrets could cause a corporate great damage, it is not only a legal risk to the enterprise, goodwill impairment, the huge economic losses, and may endanger the survival of enterprises, but also affect the national integrity economic development; Therefore, bringing the Employee Internet Management (EIM) to market began a speedy growth from 2005, many companies spontaneously adopted EIM information systems as a preventive mechanism for insider information security incident, in order to achieve effective protection of the purpose of corporate information assets.

This paper is to explore through case studies how organizations approach to IT management combined with the establishment of an effective prevention system, prevent incidents of internal information security. IT management from the organization''s perspective to explore the impact of Leavitt Diamond model theory on the critical success factors for the implementation of EIM information system, and expect to dedicate to similar / different enterprises that implement an EIM information systems for reference and assessment through practical experience in this case study.

第一章 緒論 1
第一節、 研究背景 1
第二節、 研究動機 3
第三節、 研究目的 5
第四節、 論文架構 6

第二章 文獻探討 7
第一節、 營業秘密相關之研究 7
第二節、 資訊安全探討 15
第三節、 員工上網行為管理(EIM)資訊系統介紹與技術應用 23
第四節、 企業組織監視權與員工隱私權之爭議 32
第五節、 Leavitt 鑽石模型理論 33

第三章 研究方法 38
第一節、 研究架構 38
第二節、 關鍵因素定義及說明 38
第三節、 研究流程 42
第四節、 訪談問題設計 43
第五節、 研究對象與範圍 44


第四章 個案研究分析 45
第一節、 個案企業背景介紹 45
第二節、 個案公司導入EIM電子化資安系統之緣由 46
第三節、 個案公司EIM專案導入計劃 46
第四節、 個案公司網路權限規劃 48
第五節、 個案公司資安事件之防範措施 49
第六節、 個案訪談與分析 50
第七節、 訪談的各項情況考量 54
第八節、 個案公司EIM系統導入過程與成效分析 54

第五章 結論與建議 60
第一節、 研究發現 60
第二節、 研究限制 63
第三節、 未來研究建議 63

參考文獻 64
附錄一、N公司資訊安全政策 69
附錄二、N公司電腦暨網路使用規範 72
附錄三、訪談問題 75

中文參考資料
[1]王平、柯文長、蕭雅文，「企業導入雲端服務專案之風險評估 」，發表於商管科技季刊第十四卷 第二期，2013年。
[2]王存國、戴基峰，「組織特性與資訊科技對組織結構之影響」，資訊管理學報，第七卷第二期，1998 年。
[3]李正源、簡崑鎰譯，「網路安全：在多環境下（Blacharski,D.原著）」，文魁資訊股份 有限公司，2002年。
[4]李順仁，資訊安全，文魁資訊，2007年。
[5]李明偉，「資料外洩防治123 – 如何不買DLP，一樣做到DLP」，發表於資安人雜誌，2014年。
[6]吳瑞明，「系統安全問題與防護措施」，資訊與教育第40期，1994年。
[7]林鈴玉，「國內網路銀行現況發展及交易安全之研究」，國立交通大學管理學院（資訊管理學程）碩士論文，2001年。
[8]林東清，資訊管理 e化企業的核心競爭能力，智勝文化，2003年。
[9]邱瑩青，「資訊安全的最大威脅-人員安全」，發表於資安人雜誌，2009年。
[10]范錚強、Couger ， J. D.、宋鎧，「資訊人員的工作激勵─中美的差異」，資訊管理，79~87頁，2003 年。
[11]胡源，「上網行為管理的是與非」，發表於科技潮第四期，2009年。
[12]胡曉荷， 「上網行為管理，完善網路掌控」，發表於資訊安全與通訊保密第10期，2006。
[13]洪國興、趙榮耀，「資訊安全管理理論之探討」，資管評論 第十二期，2003年。
[14]姚鑫， 「企業員工上網行為管理」，發表於電信快報第一期， 2005年。
[15]思訊科技有限公司著，企業資安管理軟體IP – Guard使用手冊，2009年 。
[16]馬勝彰，「員工才是資安防護最前線」發表於網管人雜誌 ，2012年。
[17]陳同孝，「資訊安全中道德教育問題之研究」，勤益學報，13 期，1996年。
[18]張寧，「試論企業經濟活動中防範商業秘密洩漏的措施」，發表於論文天下，2009年。
[19]黃承聖，「企業資訊安全的起點－資訊安全政策」，網路通訊，2000年。
[20]黃亮宇，「資訊安全規劃與管理」，松岡電腦圖書公司，1992年。
[21]經濟部智慧財產局編著，「營業秘密保護實務教戰手冊」，2013年。
[22]經濟部智慧財產局，我國營業秘密法介紹」，營業秘密相關研究報告，2013年。
[23]經濟部工業局，「資通訊安全產業推動計畫成果報告」，2013年。
[24]鄭信一，「現代企業資訊安全之個案研究」，銘傳大學管理科學研究所碩士論文，1999年。
[25]劉博文，「美國經濟間諜法簡介」，發表於經濟部智慧財產局，2013年。
[26]劉家驊、洪士凱，雲端運算資料安全防護機制之研究，2010電腦視覺、影像處理與資訊技術研討會，桃園：清雲科技大學主辦，2010年。
[27]褚麗絹，「以策略觀點探討組織資訊安全管理系統之導入與管理模」，2006年。
[28]樊國楨、林勤經、方仁威、黃景彰，「資訊安全管理系統建置工作之研究」，2002年。
[29]趨勢科技 ，「員工造成的資安事件，並未像駭客威脅那樣受到嚴格重視」，發表於 [ 企業網路安全 ， 中小企業資安， 資安趨勢] ， 2014年。
[30]戴尚真， 「上網行為管理網關在網路管理中的應用」，發表於科技资訊第32期，2007。
[31]羅英嘉， 「CISSP 與資訊安全基礎技術」，財團法人資訊工業策進會，2008年。
[32]蘇英傑，「導入ISO/IEC 27001 對資訊科技管理之影響」，私立元智大學資訊管理學系碩士論文，2009年。


英文參考資料
[1]Anderson, J. M. , “Why we Need a New Definition of Information Security”, Computers & Security, Vol.22, No.4, PP.308-313 , 2003.
[2]Chapman, D. B. and Zwicky, E. D., “Building O’Reilly & Associates”. ,1995.
[3]Choe, Jong-Min, ”The Relationships among performance of Accounting Information Systems, Influence Factors and Evolution Level of Information System,” Journal Of Management Information Systems, Vol. 12, No. 4, pp.215-239, 1996.
[4]Cynthia, M. B. “Supporting the Information Technology Champion”,MIS Quarterly,p.335-372, 1991.
[5]Davenport, T. H., and Prusak, L. Working Knowledge : How Organizations Manage What They Know. Boston, MA: Harvard Business School Press, 1993.
[6]Dhillon, G. & Backhouse, J. , “Information system security Management in the New Millennium”, Communication of the ACM, Vol.43, No.7, July 2000, PP.125-128, 2000.
[7]Ettinger, J. E. , “Key Issues in Information Security”, Information Security, Chapman & Hall, London, PP.1-10, 1993.
[8]Farbey, B., Land, F., and Targett, D. Evaluating Investments in IT. Journal of Information Technology, 7(2), p.109-122, 1992.
[9]Finne, T. , “Information Systems Risk Management : Key Concepts and Business Processes”, Computers & Security, Vol.19, No.3, PP.234-242 , 2000.
[10]Ford, R. C., and Richardson, W. D.“Ethical Decision Making: A Review of the Empirical Literature,Journal of business ethics (13:3), pp. 205-221, 1994.
[11]Gaunt, N.“Installing an Appropriate Information Security Policy,International Journal of Medical Informatics (49:1), pp. 131-134, 1998.
[12]Gehrke, M. Pfitzmann, A. & Rannenberg, K., “Information Technology Security Evaluation Criteria (ITSEC)-A Contribution to Vulnerability? ”, INFORMATION PROCESSING 92-Proc. IFIP 12th World Computer Congress Madrld, Spain, Sept, PP.7-11 , 1992.
[13]Gollmann, D.“Computer Security”, John Wiley & Sons Ltd. 44. Gupta, M.﹐Chartuvedi, A. R., Metha, S., 1999 .
[14]Hammer, M. and J. Champy, "Reengineering the Corporation :A manifesto for Business Revolution ",New York :Harper Business,1993.
[15]Höne, K. & Eloff, J.H.P.,“What Makesan Effective Information Security Policy”, Network Security, Vol. 2002 (6), PP.14-16, June 2002.
[16]Horrocks, I.“Security Training: Education for an Emerging Profession?Computers & Security (20:3), pp. 219-226, 2001.
[17]Howell, J. M. and Higgins, C. A., “Champions of Technological Innovation,” Administrative Science Quarterly, Vol. 35, No. 2, pp. 317-341, 1990.
[18]Igbaria, M., Greenshaus, J. H., Parasuraman, S., “Career Orientations of MIS Employees: An Empirical Analysis”, MIS Quarterly, June v15(2), p151-169, 1991.
[19]Karyda, M., Kiountouzis, E., and Kokolakis, S.“Information Systems Security Policies: A Contextual Perspective, Computers & Security (24:3), pp. 246-260, 2005.
[20]Kettinger, W. J., “National Infrastructure Diffusion & the U. S. Information Super Highway,” Information & Management, Vol. 27, No. 2, pp. 357-358, 1994.
[21]Kimberly John, R. and Michael, J. Evanisko, “Organization 98 Innovation：The Influence of Individual, Organization and Contextual Factors on Hospital Adaption of Technological and Administrative Innovations”, Academy of Management Journal, Vol.24, p.689-713, 1981.
[22]Lederer, Albert, L. and Mendelow, A.L., ”Issues in Information Systems Planning, and Management.”, MIS Quarterly, Vol. 10, No. 5, p.245-254, 1986.
[23]Loe, T. W., Ferrell, L., and Mansfield, P.“A Review of Empirical Studies Assessing Ethical Decision Making in Business,Journal of business ethics (25:3)”,pp.185-204,2000.
[24]McClure, C.R. "Network Literacy: A Role for Libraries?" Information Technology And Libraries,p.117-118, June 1994.
[25]Mooney, J. G., Gurbaxani, V. and Kraemer, K. L. A Process Oriented Framework for Assessing the Business Value of Information Technology. The Data Base for Advances in Information Systems,27(2), p.68-81, 1996.
[26]Morris Michael, H. and J. Don Trotter, “Institutionalizing Entrepreneurship in a Large Company: A Case Study as AT&T”, Industrial Marketing Management, Vol.19, p.131-139, 1990.
[27]Porter, Michael, E., Millar, and Victor, E., ”How Information Give You Competitive Advantage”, Harvard Business Review, p.149-160, 1985.
[28]Price Waterhouse Coopers Information Security Breaches Survey Technical Report, 2014.
http://www.pwc.co.uk/assets/pdf/cyber-security-2014-technical-report.pdf
[29]Rusell, D. & Gangemi, G. T. , “Computer Security Basics”, California, U.S.A., O’Reilly & Associates Inc. , 1992.
[30]Sanders, G. L. and Conrtney, J. F., “A Field Study of Organizational Factors Influencing DSS Success,” MIS Quarterly, Vol. 9, No. 1, pp. 77-93, 1985.
[31]Schneider, E. C. & Gregory, W. T. , “How Secure Are Your System Avenues to Automation, Nov.1999.
[32]Schon, D, A., “Champions for Radical New Inventions”, Harvard Business Review, Vol.41:3, p.77-86, 1963.
[33]Schultz, E.E., Proctor, R.W., Lien, M.C. , “Usability and Security An Appraisal of Usability Issues in Information Security Methods”, Computer & Security, Vol.20, No.7, PP.620-634, 2001.
[34]Shelly, G. B., Cashman, T.J., & Waggoner, G.A. Using computers: A gateway to information. Danvers, MA: Boyd & Fraser publishing company., 1996.
[35]Siponen, M. T.“A Conceptual Foundation for Organizational Information Security Awareness,Information Management & Computer Security (8:1), pp. 31-41, 2000.
[36]Smith, M., “Computer Security–Threats, Countermeasures”, Information Age, PP.205-210, October 1989.
[37]Straub, D. W., and Welke, R. J.“Coping with Systems Risk: Security Planning Models for Management Decision Making,MIS Quarterly (22:4), pp. 441-469, 1998.
[38]Thomson, K. L., and Von Solms, R.“Information Security Obedience: A Definition, Computer & Security (24:1), pp. 69-75, 2005.
[39]Trend Micro, “What are the top threats and priorities in the current cybersecurity environment?”, 2014.
[40]Tudor, J. K., “Information Security Architecture”, Auerbach of CRC Press LLC, 2001.
[41]Turhman Michael and David Nadler, ”Organizing for Innovation”, California Management Review, Vol.3, p.74-92, 1988.
[42]Yap, C., “Istinguishing Characteristics of Organizations using Computers, ” Information & Management, Vol. 18, No. 2, pp. 97-107, 1990.
[43]Ward, P. & Smith, C.L., “The Development of Access Control Policies for Information Technology Systems ”, Computers & Security, Vol.21, No.4 ,PP.356-371, 2002.
[44]欒志宏， How to develop Information Security Policy 講義, 2002年。