組織導入資訊安全管理制度之效益探討

Effectiveness Appraisal of Implementing an Information Security Management System in Organizations

10.6144/JIC.2012.0301.05

詹前隆(Chien-Lung Chan)；黃依賢(I-Shyan Hwang)；黃慶裕(Ching-Yuh Hwang)

ISO 27001 ； ISMS ； 資訊安全 ； PDCA ； ISO 27001 ； Information Security Management System (ISMS) ； Information security ； Plan, Do, Check, Act (PDCA)

資訊傳播研究

3卷1期（2012 / 10 / 01）

73 - 92

繁體中文

本研究藉由訪談及問卷蒐集資料，以敍述統計、變異數及迴歸分析，探討導入Information Security Management System（ISMS）對組織的影響。研究發現，導入ISMS遭遇困難程度較高者為：增加額外的工作量、人力不足，以及資安成員缺乏足夠的權力。導入ISMS獲取效益程度較高者為：提升組織對維護資訊安全之聲譽、提升政府部門整體服務價值、建立標準化及文件化之資安作業流程，以及提升組織成員的資安標準認知及資安職能。導入ISMS的成功關鍵因素程度較高者為：高階主管的支持與承諾、具有資安職能之專案人員、資訊安全團隊的積極推動，以及持續的資安宣導和訓練。導入ISMS是一項管理制度的建立，組織應掌握成功關鍵因素並降低遭遇的阻力，以獲取最大效益；導入後，仍應秉持PDCA（Plan, Do, Check, Act）的精神，持續對ISMS改善與精進，使組織的資訊安全更臻完備。

By using descriptive statistics, ANOVA and regression analysis approach, we examined the organizational impact when implementing ISMS. The top three types of difficulties for implementing ISMS are increased workload, Shortage of manpower and Lack of proper authority for information security team. The top four benefits for implementing ISMS are found to be: Gain reputation for enhancing information security, Raise value of governmental services, Establish standardized and documented information security processes, and Raise information security awareness and capabilities of organization staff. The top four critical success factors for implementing ISMS are shown as: Top management support and commitment, Project team members with information security capabilities, Proactive push by information security team, and On-going information security advocacy and training. Embarking on ISMS is one key step in enterprise management; therefore, enterprises should control the critical successful factors and minimize the possible difficulties in order to realize more benefits. To attain more complete information security, carrying out PDCA (Plan, Do, Check, Act) and improving ISMS will be the main factors.

1. 蘇建源、江琬瑂、阮金聲(2010)。資訊安全政策實施對資訊安全文化與資訊安全有效性影響之研究。中華民國資訊管理學報，17(4)，61-87。
   連結：
2. ISO/IEC 27001. (2005). Information technology - Security techniques - Information security management systems - Requirements. Retrieved January 1, 2012, from http://www.iso.org/iso/catalogue_detail?csnumber=42103
3. Allen, J. H. (2008). Plan, do, check, act. Build Security In. Retrieved January 1, 2012, from https://buildsecurityin.us-cert.gov/bsi/articles/bestpractices/deployment/574-BSI.html
4. ISMS International User Group. (2009). International register of ISMS certificates. Retrieved January 1, 2012, from http://www.iso27001certificates.com/
5. Broderick, J. S.(2006).ISMS, security standards and security regulations.Information Security Technical Report,11,26-31.
6. Cosic, Z.,Boban, M.(2010).Information security management: Defining approaches to information security policies in ISMS.IEEE 8th International Symposium on Intelligent Systems and Informatics,Piscataway, NJ:
7. Lee, W. S.,Jang, S. S.(2009).A study on information security management system model for small and medium enterprises.Proceedings of the 8th WSEAS International Conference on E-activities and Information security and privacy,Stevens Point, WI:
8. 王保進(2010)。導入品質保證內涵與重視學生學習成效之大學校務評鑑。評鑑雙月刊，24，54-58。
9. 行政院科技顧問組(2010)。2010資通安全政策白皮書。臺北:行政院。
10. 李東宜(2010)。2010年政府機構資通安全執行概況調查。政府機關資訊通報，271，15-20。
11. 徐正(2006)。碩士論文(碩士論文)。淡江大學資訊管理學系碩士班。
12. 莊煥銘、韓富州(2008)。資訊安全管理系統之規劃與建置研究－以某大型企業之風險管理為例。2008年臺灣網際網路研討會，高雄，臺灣:
13. 詹燦芳(2008)。碩士論文(碩士論文)。國立臺灣科技大學資訊管理系。
14. 樊國楨、謝麗珠、廖菊芳、翁敏鈺、黃健誠、王演芳(2010)。資訊安全治理（ISG）與資訊安全管理系統（ISMS）實作初探：根基於ISG框架之策略校準（中）。政府機關資訊通報，274，16-20。
15. 韓慧林、王貴民、王振陽、劉庭維、鄭曳庭(2011)。應用失效模式與效應分析評估資訊安全管理系統之風險。國防雜誌，26(6)，107-122。
16. 簡德金、許偉城、王美芳(2007)。資訊安全系統執行地圖之研究。2007電子商務與數位生活研討會，臺北，臺灣: