許多中小企業往往因預算、人力或技術的考量，無法在蒐集及彙整落實資訊安全管理系統（ISMS）控制措施之相關資訊這方面，取得有效的解決方法，站在協助其內部管理的角度，本研究整合資訊系統內之相關資訊，致力於發展一套適用於中小企業之檢測工具，輔助其內部對於ISMS控制措施之管理與查核。本研究採用系統發展研究方法，以發展ISMS技術性檢測工具之雛型系統並配合專家深入訪談的方式，探討ISO 27001內可以工具蒐集資訊系統內相關資訊做檢測之控制措施應具備之特性，及ISMS技術性檢測工具應具備的架構及需求。
研究結果發現，ISO 27001內可以工具蒐集資訊系統內相關資訊做檢測之控制措施，必須是執行控制措施時，系統會自動產生相關紀錄者，而檢測工具的功能架構應分為政策管理、檢測資料蒐集、檢測資料分析及檢測資料呈現四大部份，應具備的需求則包括顯示及設定組織安全政策的能力、自動蒐集及彙整相關佐證資料的能力、工具須提供彈性的資料分析功能與圖表的資料呈現方式及工具操作上之設計勿過於繁雜。

Many SMEs(Small and Medium-sized Enterprises) often confront difficulties of collecting and integrating related information of the implementation of ISMS controls due to budget, human resource or technology insufficiency. With the view to assisting SMEs, this research aims at developing a testing tool which is suitable for SMEs by integrating the related information in information systems for managing ISMS controls and internal auditing. This research implements “system development research methodology” based on developing a prototype system of technical testing tool of ISMS refining with depth personal interviews so as to explore the controls, which can be checked by using tool to gather related information in information systems within ISO 27001, and the needs as well as architectures of technical testing tool of ISMS.
The outcome of the depth personal interviews indicated that the controls, which can be checked by using tool to gather related information in information systems within ISO 27001, must have the feature that the systems should automatically generate records during the implementation of the controls. The architecture of a technical testing tool of ISMS can be divided into four sections: organization’s security policies, collection of testing data, analysis of testing data, and display of testing data. On one hand, the needs of technical testing tool of ISMS should comprise the capability of displaying and adjusting the organization’s security policies, on the other hand, the tool should automatically collect as well as integrate related information. The basic requirement of testing tool contains data analysis flexibility, present data graphically, and the best possible simplicity.

目錄
第一章 緒論 1
1.1	研究背景 1
1.2	研究動機 3
1.3	研究目的 3
1.4	研究架構與流程 4
1.4.1	研究架構 4
1.4.2	研究流程 6
第二章 文獻探討 7
2.1	ISO資訊安全管理標準 7
2.1.1	發展簡史 7
2.1.2	資訊安全管理系統簡介及我國發展現況 9
2.2	資訊安全管理系統之驗證 13
2.2.1	ISO方面 13
2.2.2	NIST方面 16
2.3	現有工具之簡介 17
第三章 研究方法 20
3.1	研究方法 20
3.2	研究步驟 22
第四章 雛型系統建構 24
4.1	雛型系統分析設計 24
4.2	雛型系統開發 28
4.3	雛型系統功能簡介 28
第五章 深入訪談與資料分析 36
5.1	訪談問卷設計 36
5.2	訪談結果分析 37
第六章 結論與建議 45
6.1	研究結論 45
6.2	研究限制 46
6.3	未來研究建議 46
第七章 參考文獻 47
第八章 附錄-深入訪談問卷內容 51

圖目錄
圖1.1：本研究之研究流程 6
圖2.1：PDCA工作循環模式 11
圖2.2：ISMS之11大管理領域架構圖 11
圖2.3：Symantec CCS軟體畫面-趨勢分析 18
圖2.4：Symantec CCS軟體畫面-技術控管評估報告 19
圖3.1：系統發展研究法研究流程 21
圖3.2：研究步驟 23
圖4.1：系統架構圖 26
圖4.2：系統功能架構圖 27
圖4.3：系統載入初始畫面 31
圖4.4：載入日誌檔 31
圖4.5：載入使用者帳戶移除/停用或通行碼變更的Log 32
圖4.6：載入Symantec防毒軟體的Log 32
圖4.7：過濾特定事件 33
圖4.8：載入使用者帳戶連線登入、登出之的Log 33
圖4.9：對來源IP欄位做排序 34
圖4.10：過濾特定使用者帳戶名稱 34
圖4.11：載入使用者帳戶通行碼設定的Log 35
圖5.1：修正後之系統功能架構圖 42

表目錄
表1.1：各政府機關（構）依其資安等級應執行之工作事項 1
表1.2：行動方案執行要點與績效指標說明表（摘錄） 3
表2.1：資訊安全管理標準發展歷程 7
表2.2：ISO 27000系列標準 8
表2.3：各國組織通過ISO 27001驗證統計 13
表2.4：ISO 27006附件D之表D.1（摘錄） 15
表2.5：自動化確認支援之ISMS控制措施 16
表4.1：ISO 27001檢測問題初步訪談結果 24
表4.2：控制措施於執行時產生之相關紀錄 25
表4.3：雛型系統之功能架構表 27
表5.1：雛型系統訪談問卷設計 36
表5.2：受訪專家背景介紹 37
表5.3：深入訪談結果分析 37

中文部份
[1]	中華民國國家資訊基本建設產業發展協進會，<I Security-政府法規與資源/政府資源>，網址：http://www.i-security.tw/law/source_one.asp，上網日期：2010年5月1日。
[2]	中華民國國家資訊基本建設產業發展協進會，〈中小企業資安最佳要求與實務〉，2006。
[3]	台灣微軟，<將安全性委外處理將對中小企業IT人員有所助益>，網址：http://www.microsoft.com/taiwan/smallbusiness/local/midsize/security/outsourcing.mspx，上網日期：2010年3月29日。
[4]	行政院國家資通安全會報，〈政府機關（構）資訊安全責任等級分級作業施行計畫〉，2009
[5]	行政院國家資通安全會報，〈建立我國通資訊基礎建設安全機制計畫（94年至97年）〉，2004。
[6]	行政院國家資通安全會報，〈國家資通安全發展方案（98年至101年）〉，2009。
[7]	李茂基，〈政府推動資安之策略與省思（會議簡報）〉，第八次中央研究院資訊室主管及管理者經驗交流座談會，2009年6月。
[8]	吳國維，〈中小企業導入資訊安全管理制度成果發表暨中小企業資安現況剖析〉，中華民國國家資訊基本建設產業發展協進會，2007。
[9]	林宏昇，《植基於ISO 27001標準建構資訊安全稽核決策之研究－以股務資訊系統為例》，碩士論文，國防大學資訊管理學系，2008。
[10]	財政部財稅資料中心，〈財稅資訊處理手冊－稽核管理〉，2008。
[11]	財團法人全國認證基金會，〈資訊安全管理系統驗證機構認證規範（ISO/IEC 27006:2007）〉，2007。
[12]	資策會產業情報研究所，<2009年台灣中小企業資訊科技平均每家投資金額減少>，網址：http://www.mic-global.net/intelligence/pressroom/pop_pressfull.asp?sno=187&type1=2，上網日期：2010年3月29日。
[13]	經濟部標準檢驗局，資訊技術－安全技術－資訊安全管理系統－要求事項，2006。
[14]	樊國楨、劉家志、黃健誠，〈資訊安全護理之一：終端護理〉，資訊安全通訊，第16卷，第1期，頁20 – 21，2010年1月。
[15]	賽門鐵克，<Control Compliance Suite: IT 法規遵循、IT 治理、程序自動化、遵循管理 | 賽門鐵克>，網址：http://www.symantec.com/zh/tw/business/control-compliance-suite，上網日期：2010年2月2日。
[16]	賽門鐵克，<Symantec Control Compliance Suite：產品型錄 - 賽門鐵克公司>，網址：http://eval.symantec.com/mktginfo/enterprise/fact_sheets/ent-datasheet_control_compliance_suite_05-2007.en-us.pdf，上網日期：2010年2月2日。

英文部份
[17]	BSI Group, What is an Information Security Management System?. http://www.bsi-emea.com/InformationSecurity/Overview/WhatisanISMS.xalter, accessed 2010/2/27.
[18]	Grance, T., “Security Content Automation Protocol Progress Report (Presentation),” 3rd Annual Security Automation Conference, 2007.
[19]	International Organization for Standardization, ISO - International Organization for Standardization.
http://www.iso.org/iso/home.htm, accessed 2010/1/23.
[20]	ISMS International User Group, Register Search. http://www.iso27001certificates.com/Register%20Search.htm, accessed 2010/5/14.
[21]	ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements, 2005.
[22]	ISO/IEC 27002, Information technology – Security techniques – Code of practice for information security management, 2007.
[23]	ISO/IEC 27006, Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems, 2007.
[24]	NIST Special Publication 800-117(Draft), Guide to Adopting and Using the Security Content Automation Protocol (SCAP) (Draft), May 2009.
[25]	NIST Special Publication 800-126, The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.0, November 2009.
[26]	NIST Special Publication 800-53, Revision 3, Recommended Security Controls for Federal Information Systems, August 2009.
[27]	Nunamaker, J. R., Chen, J. F., and Purdin, T. D. M., “Systems Development in Information Systems Research,” Journal of Management Information Systems, Vol. 7, 1991, pp:89-106.