由於近年來金融法令限制的解除與市場開放的政策，本國銀行業面臨國外銀行來台的競爭威脅加劇，必須擴大其營運規模以因應所面臨的業務衝擊。台灣在2002年加入世界貿易組織WTO後，基於互惠原則，銀行業者也可對等設立分行。因此走向國際也成為多數國內本地銀行擴展規模的可行選項之一；而隨著營運版圖的擴大與人員的增加，跨國資訊處理/傳遞的安全以及各國資訊安全法規的遵循也就成為必須重視的課題之一。根據統計，截至2011年11月為止，國內銀行已有13家取得ISO/IEC 27001:2005資訊安全管理標準驗證，透過符合國際資安管理標準，確保客戶對於銀行在資訊處理與保管上的信賴感。相較於國內本地銀行以ISO國際資安管理標準為藍本來規劃資安管理作業程序，許多來台營業之大型外商銀行都發展出自有的資訊安全管理系統(ISMS)。就我們所知，過去探討銀行業資安管理文獻中，大多以區域性銀行或本國銀行為研究對象，尚未有針對大型外商銀行業的資安管理框架之研究，因此我們想要探討大型國際性銀行之資安管理實作相對於ISO/IEC 27001:2005國際標準是否有所差異或特出之處。本研究透過問卷調查與深度訪談的方式，發現 A 外商銀行的ISMS最著重於應用系統之安全需求、設計、開發、測試與維運等應用程式生命週期的安全強化；而在資安實作面上，則有內外部主動風險控管、深化資訊系統安全評鑑工作、簡化資訊資產分級標的、強化資訊安全組織及廣度等四項特色，可提供本國銀行進行國際化時之資安管理實作參考。

Due to lifting of regulations in financial laws and market opening policies within recent years, the domestic banks face intensifying competition from foreign banks. They have expanded operation scales to cope with such business impact. In 2002, since Taiwan joined the World Trade Organization (WTO), domestic banks have been permitted to set up branches in WTO’s member countries based on the reciprocity treaty. For the first time, expanding their business worldwide became one of the feasible options to most of the domestic banks. In becoming internationalized, their operations and number of personnel have been tremendously increasing. That brings up the important security issues of cross-border information processing/transmission as well as inter-country regulatory security compliances. In order to gain the trust of information protection to the bank’s customers, 13 Taiwanese banks have earned ISO/IEC 27001:2005 ISMS certification. Nevertheless, instead of the approach of earning the certifications, major foreign banks have developed their own information security management systems (ISMS) and have customized it to meet their business requirements. As far as we know, most previous studies about information security on the financial sector were related to regional or domestic banks and focused on the implementation of ISO/IEC 27001 ISMS standard. The ISMS frameworks of the major international banks have not been studied. Therefore we would like to explore the ISMS framework of a major foreign bank and compare the bank’s practice with ISO/IEC 27001:2005 standard to address the gaps between them. In this study, through questionnaires and in-depth analysis of interviews, we found that A Bank’s security measurements are largely focus on the secure system development lifecycle (SSDLC) aspects such as system security requirements, design, development, testing and maintenance. In ISMS implementations, the bank emphasized the active internal/external risk management, deepened IT system security assessment, simplified assets classification, and strengthened the independence and breadth of information security organization.

第一章	緒論	1
1.1.	研究背景與動機	1
1.2.	研究目的	3
1.3.	研究對象與限制	4
1.4.	研究流程	5
1.5.	論文架構	7
第二章	文獻探討	9
2.1.	資訊	9
2.2.	資訊安全	10
2.3.	資訊安全管理	12
2.4.	金融業資訊安全管理	15
第三章	資料蒐集	19
3.1.	ISO/IEC 27001:2005資訊安全管理系統簡介	19
3.2.	A銀行資訊安全組織及運作模式簡介	25
3.2.1.	政策與標準制訂單位	28
3.2.2.	資安管理執行單位	28
3.2.3.	資安管理驗證單位	31
3.3.	A銀行資訊安全管理標準介紹	31
3.3.1.	資訊安全管理標準文件	31
3.3.2.	安全政策	33
3.3.3.	資訊安全組織	34
3.3.4.	資產管理	34
3.3.5.	人力資源安全	37
3.3.6.	實體與環境安全	38
3.3.7.	通訊與作業管理	38
3.3.8.	存取控制	39
3.3.9.	資訊系統獲取、開發及維護	40
3.3.10.	資訊安全事故管理	41
3.3.11.	持續營運管理	42
3.3.12.	遵循性	42
3.4.	A銀行資訊安全風險評鑑流程	43
第四章	資料分析	49
4.1	ISO 27001資安項目符合情形調查結果	49
4.2	主管訪談內容整理	51
4.2.1.	部分符合及尚未考慮之資安項目說明	52
4.2.2.	主管訪談內容整理	54
4.3	綜合分析	58
4.3.1.	A銀行資訊安全管理標準條文比較	58
4.3.2.	個案綜合分析	59
第五章	結論與建議	61
參考文獻	63
附錄	69

圖目錄
圖 1-1 研究流程圖	7
圖2-1 資訊安全管理框架	15
圖3-1 A銀行標準制定流程循環	26
圖3-2 A銀行資訊安全組織圖	27
圖3-3 IT專案安全風險評鑑流程	44
圖3-4 線上系統例行安全風險評鑑流程	46
圖4-1控制項目符合情形佔比	50
圖4-2 各領域控制項目與自評「完全符合」數量重疊圖	51

表目錄
表 2-1資訊安全的定義彙整	11
表 3-1 ISO/IEC JTC1/SC27資訊安全管理模型觀點	21
表3-2 ISO 27001:2005控制領域與控制目標	22
表3-3 A銀行資安標準文件條列	32
表3-4 CIA評估表填寫項目	35
表3-5 資訊系統分級圖	36
表3-6 A銀行資訊安全事件分級表	42
表4-1 各領域符合項目統計情形	49
表4-2 部分符合之資安項目說明	52
表4-3 尚未考慮之資安項目說明	53
表4-4 ISO 27001子控制項與A銀行資安政策細項要求數量比較表	58

[1].	台灣電腦網路危機處理暨協調中心，〈資訊安全新挑戰〉，第七期，頁29，台灣電腦網路危機處理暨協調中心，2011年7月。
[2].	行政院主計處電子處理資料中心，〈電腦應用概況報告〉，行政院主計處電子處理資料中心，2011年9月。
[3].	李仁暉，《台灣金融業導入資訊安全管理系統關鍵成功因素研究-以A金控為例》，碩士論文，淡江大學管理科學研究所企業經營碩士在職專班，2008年。
[4].	李順仁，《資訊安全》，台北：文魁圖書，ISBN:986-125-078-6，2002年。
[5].	吳振昀，《金融服務業導入資訊安全管理機制影響之研究》，碩士論文，國立台北科技大學商業自動化與管理研究所，2007年。
[6].	吳琮璠、謝清佳，《資訊管理：理論與實務》，第六版，台北：智勝文化，ISBN957-729-752-8，2009年。
[7].	周宣光，《管理資訊系統》，第11版，台北：東華書局，ISBN:986-154-924-2，民國89年。
[8].	英國標準協會，〈ISO/IEC 27001資訊安全效益之調查摘要報告〉，BSI Taiwan，2011年。
[9].	陳永裕，《銀行業資訊安全管理之研究》，碩士論文，東海大學企業管理研究所，1994年。
[10].	陳秀蓉，《從資訊人員觀點探討企業導入資訊安全管理系統之影響—以金融業為例》，碩士論文，淡江大學資訊管理學系碩士在職專班，2010年。
[11].	陳連枝，《國內金融控股公司資訊安全管理系統之探討》，碩士論文，長庚大學企業管理研究所，2003年。
[12].	黃文杰，《電腦病毒與資訊安全》，初版，台北：旗標出版有限公司，ISBN:957-717-248-2，1996年。
[13].	黃明達、曾淑惠，《以 BS 7799 為基礎評估銀行業的資訊安全環境》，資訊管理展望，第五卷，第2期，頁31-50，2003年9月。
[14].	黃亮宇，《資訊安全規劃與管理》，台北：松崗電腦圖書，ISBN:957-220-849-7，1992年。
[15].	董毓國，《實施資訊安全政策對銀行之影響》，碩士論文，淡江大學國際貿易學系國際企業學碩士在職專班，2009年。
[16].	經濟部標準檢驗局，《CNS 27001 資訊技術-資訊安全管理系統規範》，經濟部標準檢驗局，2006年。
[17].	楊欣霖，〈IDC公布2011年台灣IT資訊市場十大趨勢〉，數位時代網站，http://www.bnext.com.tw/article/view/cid/0/id/17013，上網日期：2011年1月。
[18].	蒲樹盛，《資訊安全在台灣》，BSI 台灣，頁 1-2，2004年3月。
[19].	資安人雜誌，《你使用的網路銀行安全嗎？》，第53期，2008年6月。
[20].	樊國楨、林樹國、羅濟群，《資訊安全管理系統驗證作業稽核員之訓練與教育課程初探》，電腦稽核雜誌，第16期，頁82-96，2007年4月。
[21].	樊國禎、徐鈺宗、楊仲英等，〈美國聯邦政府資訊安全管理系統稽核作業與相關標準初探〉，第六屆網際空間：資訊、法律與社會學術研究暨實務研討會，頁35-58，交通大學資訊管理研究所，2004年。
[22].	ACNielsen Online, "AC Nielsen Online Taiwan online banking report", http://www.acnielsen.com.tw/news.asp?newsID-38, accessed 2001/12/21.
[23].	Allen, J., Governing for Enterprise Security, Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, June 2005.
[24].	Biri, K., and Trenta G. M., Corporate Information Security Governance in Swiss Private Banking, Master’s thesis, University of Zurich, 2004.
[25].	BSI, "Information security management- Part 1: Code of practice for information security management," BS 7799-1:1999, BSI (British Standards Institution), 1999.
[26].	BSI, "Information security management- Part 2: Specification for information security management systems," BS 7799-2:1999, BSI (British Standards Institution), 1999.
[27].	Carter, D. L. and Katz, A. J., "Computer Crime and Security: the Perceptions and Experiences of Corporate Security Directors," Security Journal, 7,101-108, 1996.
[28].	Cisco, " Cisco 2010 Annual Security Report," Cisco, Jan. 2011.
[29].	David, I., Karl, S., William, V., Computer Crime, O'Reilly Associates Inc., Taiwan Branch, 1999.
[30].	Department of Defense, Dictionary of Military and Associated Terms, Joint Publication, Nov.2010.
[31].	Finne, T., "Information Systems Risk Management: Key Concepts and Business Processes," Computer and Security, Vol.19:3, 234-235, 2000.
[32].	Fumy, W., "Cyber Security Standardization," Presentation to ITU-T Cybersecurity Symposium, Florianopolis Brazil, 2004.
[33].	Humphreys, E., "Information Security Management System Standards,” DuD, Datenschutz und Datensicherheit , Vol. 35:1, 7-11. Jan. 2011.
[34].	IBM, IBM Data Security Support Programs, USA, 1984.
[35].	ISO, Information technology - Security techniques - Information security management systems - Overview and vocabulary, ISO, ISO/IEC 27000:2009, 2009.
[36].	ISO, Information technology - Security techniques - Information security management systems - Requirements, ISO, ISO/IEC 27001:2005, 2005.
[37].	ISO, Information technology - Security techniques - Code of practice for information security management, ISO, ISO/IEC 27002:2005, 2005.
[38].	ISO, Information technology - Security techniques - Information security management system implementation guidance, ISO, ISO/IEC 27003:2010, 2010.
[39].	ISO, Information technology - Security techniques - Information security management - Measurements, ISO, ISO/IEC 27004:2009, 2009.
[40].	ISO27001Certificate.com, Certificate Search, http://www.iso27001certificates.com/Taxonomy/CertificateSearch.htm, accessed 02/12/2011.
[41].	Laudon, K. C. and Laudon, J. P., Management Information Systems: New Approaches to Organization and Technology, New Jersey: Prentice Hall, 1998.
[42].	Liu, S, and Wu T., "A Research on the Establishment of an Information Security Environment for the Finance Industry," 2010 IEEE International Conference on Electro/Information Technology (EIT), Illinois State University, Illinois, USA, 2010.
[43].	Parker, D.B., "Information Security in a Nutshell," Information Systems Security, Vol.6: 1, 14-19, spring, 1997.
[44].	PricewaterhouseCoopers, "2011 Global State of Information Security Survey," PricewaterhouseCoopers, Sep. 2010.
[45].	Rafique, R. and Mehmood, F., Management of Operational Risks related to Information Security in Financial Organizations, Master’s Thesis, School of Sustainable Development of Society and Technology, Jun. 2010.
[46].	Shirey, R. "Internet Security Glossary," RFC:2828, IETF, 2000.
[47].	Technical Department of ENISA, Section Risk Management, "Risk Management: Implementation principles and Inventories for RM/RA Methods and Tools," ENISA, 2006
[48].	World Economic Forum, "Global Risks 2011 Sixth Edition," World Economic Forum, Jan. 2011.