網際網路(Internet)的快速發展，加上無線行動裝置的普及，讓人們隨時隨地在任何時間都可以收發電子郵件(E-mail)，突破地域與傳送的限制，在企業商務往來已經成為必要的工具。然而電子郵件快速便利，卻也帶來不可忽視的風險，電子郵件不再如過去單純的寄送，而是夾雜著大量的廣告、病毒以及釣魚(Phising)手法，企業疲於對抗來自於Internet的威脅，進而忽視因員工使用不當，造成企業機密資訊外洩，讓企業除了金錢上的損失，更有可能使形象受損。現今資訊管理不再單純化，而是必須隨著威脅型態的改變，而有因應的策略，更應容入稽核的思維。

本論文研究目的為透過企業電子郵件稽核使用現況，了解在企業環境裡電子郵件稽核政策的運用，並深入了解企業對電子郵件稽核使用程度及方向，是以何種電子郵件稽核條件進行稽核，其中又以哪些電子郵件稽核的項目為主，而所制定的電子郵件稽核條件是否有落實；比較產業類型的不同，電子郵件稽核政策是否也有所差異，過濾的型態是否不同，研究結果可供各產業制定電子郵件稽核政策的參照。

從研究結果中發現企業雖有使用電子郵件稽核設備，但在執行及使用上仍有不足之處。而以產業類型分析，電子產業在電子郵件稽核運用上最為積極，而傳統產業是較未能落實；企業間難以交流彼此的稽核政策，所以本研究分析出的8種產業類別35家企業電子郵件稽核條件，可做為企業執行或建立電子郵件稽核的參考或依據，讓計畫導入電子郵件稽核的產業，了解到目前最適合的電子郵件稽核的類型。

Allowing people to send or receive E-mails anytime and anywhere without restrictions in regions or transmission, the fast developed Internet and the popularized wireless mobile devices have become essential tools of commercial intercourse between enterprises. Despite rapidness and convenience, E-mails, which are not simply sent or received by users but comprising large number of ads, viruses, and phising tricks, bring Internet-related indispensable risks confronted by enterprises such as, due to employees’ misuse of E-mails neglected by an enterprise, exposure of trade secrets, monetary loss, and bad reputation. Nowadays, the information management, which, rather than being simple, is adjusted to deal with different types of threats, should incorporate precautionary measures and even audit mechanisms.

The objectives of the study are to investigate application, level, and direction of the E-mail audit policy inside an enterprise, conditions and items to audit E-mails, and achievement with these conditions initiated according to the status of E-mails audited in enterprises. Additionally, the differences in the E-mail audit policies or filter types for multiple industries are also compared and referred to as references of instituting an industry’s E-mail audit policy.

It can be found in this study that the equipment for the purpose of auditing an enterprise’s E-mails is not sufficiently employed during performance of audit. Based on analyses for different types of industries, the electronic industry proactively makes use of the E-mail audits in contrast to the conventional industry with fewer audits performed. In consideration of the audit policies not substantially communicated between enterprises, we analyzed some enterprises’ E-mail audit conditions taken as other enterprises’ references to perform or develop their own E-mail audit policies, which allow the most applicable category for E-mail audit to be interpreted by any industry which intends to introduce the E-mail audit.

目次 V
表目錄 VI
圖目錄 VIII

第一章 緒論 1
第一節 研究背景 1
第二節 研究動機 2
第三節 研究目的 3
第四節 研究流程 4
第二章 文獻探討 7
第一節 電子郵件威脅類型 7
第二節 電子郵件風險	9
第三節 電子郵件稽核理由 11
第四節 電子郵件稽核定義 12
第五節 電子郵件稽核流程 14
第六節 電子郵件稽核範圍 17
第七節 國內外相關文獻 18
第三章 研究設計 20
第一節 研究方法 20
第二節 研究對象描述	21
第三節 資料來源 22
第四節 資料收集架構及使用工具	 23
第四章 研究結果與分析 28
第一節 研究描述 28
第二節 電子郵件稽核使用分析 32
第三節 電子郵件稽核條件觸發分析 37
第五章 結論與建議 45
第一節 結論 45
第三節 建議 48
參考文獻 49
附    錄	52
電子郵件稽核設定 52
電子郵件稽核處理方式 53
電子郵件稽核檢視 54
電子郵件處理統計 55
電子郵件流量 56

表2-1德國ITBPM資安風險檢查表 8
表2-2 國內文獻參考	18
表2-3 國外文獻參考	19
表4-1 電子零組件相關業分類 29
表4-2 半導體業分類	29
表4-3電腦及消費性電子製造業分類 29
表4-4電力機械設備製造業分類 30
表4-5光電產業分類 30
表4-6化學相關業分類 30
表4-7傳統產業分類 30
表4-8其他產業分類 31
表4-9產業電子郵件稽核條件使用統計 33
表4-10產業電子郵件稽核過濾類型統計 35
表4-11電子郵件過濾內容分析結果 36
表4-12電子零組件相關業電子郵件過濾條件統計 38
表4-13半導體業電子郵件過濾條件統計 39
表4-14電腦及消費性電子製造業電子郵件過濾條件統計 40
表4-15電力機械設備製造業電子郵件過濾條件統計 41
表4-16光電產業電子郵件過濾條件統計 41
表4-17化學相關製造業電子郵件過濾條件統計 42
表4-18傳統產業電子郵件過濾條件統計 43
表4-19其他產業電子郵件過濾條件統計 44

圖1-1 研究流程圖 6
圖2-1 郵件安全管理程序圖 14
圖2-2 E-mail稽核流程 15
圖3-1統計資料匯入架構圖 22
圖3-2 Gateway網路架構圖 23
圖3-3 Sniffer網路架構圖 24
圖3-4 軟體流程圖 25

一、中文文獻
1.Neil Chang， 「落實郵件安全稽核的評估與建議」，http://blog.ithome.com.tw/index.php?op=ViewArticle&articleId=17005&blogId=373，(Accessed 2010/12/31)。
2.「Sniffer-Based 郵件管理系統」，http://www.wretch.cc/blog/CISSP/5941221，(Accessed 2010/12/31)。
3.中華民國電腦稽核協會，「電子郵件的稽核與實務」，2009。
4.中華民國電腦稽核協會，「如何因應新版個資法-電子郵件查核實務」，2010。
5.行政院國家資安共同作業規範，「電子郵件安全參考指引,2009 v.2」。
6.呂雅惠，「企業內電子郵件監控與隱私權保護爭議之探討」，國立政治大學法學院碩士論文，2008。
7.網擎，「電子郵件國際法規說明」，http://www.openfind.com/taiwan/products/enterprise_messaging/mailbase.htm，(Accessed 2010/12/31)。 
8.范姜真媺，「企業內電子郵件之監看與員工隱私權」台灣法學論著，60期、2004.7。
9.經濟部標準檢驗局，資訊技術-安全技術-資訊安全管理之作業規範CNS17799:2005。
10.經濟部標準檢驗局，資訊技術-安全技術-資訊安全管理系統-要求事項CNS27001:2006。
11.資策會FIND，「企業上網應用行為」，http://www.find.org.tw/find/home.aspx?page=news&id=4028，(Accessed 2010/12/31)。

二、英文文獻
12.American Management Association, “2007 Electronic monitoring & Surveillance survey, ”.
13.David H. Crocker, “RFC822, ” http://tools.ietf.org/html/rfc822, (Accessed 2010/12/31).
14.David Wood, “Programming Internet Email, ”O'Reilly, 1999.
15.Daniel E. Braswell and Ken W. Harmon, Ph. D. “Assessing and Preventing Risks from E-mail System Use, ”Information systems control Journal, Vol. 5, 2003.
16.Eun G. Park and Natasha Zwarich. “Canadian Government Agencies Develop E-mail Management Policies, ” International Journal of Information Management 28 (2008) 468–473.
17.J. P. Pathak, “Are E-mails Boon or Bane for Organisations?, ”Information systems control Journal, Vol. 1, 2000.
18.M. Taylor, J. Haggerty, D. Gresty, “The legal aspects of corporate e-mail investigations, ” Computer Law & Security Review, Volume 25, Issue 4, July 2009, Pages 372-376
19.Nancy Flynn, “The e-Policy Handbook 2nd Edition, ” Amacom Books, 2009.
20.Nancy Flynn, “Archiving Rules: Top Five Regulatory Reasons to Archive Email, ”2010.
21.Nancy Flynn, “E-Mail Rules, ” Amacom Books, 2003.
22.NIST, “Guidelines on Electronic Mail Security, ”2007, SP800-45 V2.
23.Robert Moody and Beth Serepca, “Auditing Employee Use of E-mail, ”Information systems control Journal, Vol. 1, 2003.
24.Robin L. Wakefield, Ph.D., “Employee Monitoring and Surveillance The Growing Trend, ” Information systems control Journal, Vol. 1, 2004.
25.Robin K. Yin, “Case Study Research: Design and Methods (2nd ed.), ” U.S.A SAGE, 1994.
26.Wikipedia, Active_Directory., http://en.wikipedia.org/wiki/Active_Directory, (Accessed 2010/12/31).
27.Wikipedia, Computer virus.,  http://en.wikipedia.org/wiki/Computer_virus, (Accessed 2010/12/31).
28.Wikipedia, LDAP., http://en.wikipedia.org/wiki/LDAP, (Accessed 2010/12/31).
29.Wikipedia, Regular_expression.,  http://en.wikipedia.org/wiki/Regular_expression, (Accessed 2010/12/31).
30.Wikipedia, Screensaver., http://en.wikipedia.org/wiki/Screensaver, (Accessed 2010/12/31).
31.Wikipedia, IT Baseline Protection Catalogs., http://en.wikipedia.org/wiki/IT_Baseline_Protection_Catalogs, (Accessed 2010/12/31).