根據行政院資通安全會報統計，在2006年的600家受訪企業中，約有108家企業曾經發生6件以上實際造成損害的資安事件。資通安全在過去常被視為技術層面上的議題，管理層面較少受到重視，所以本研究欲了解資安事件發生頻率如此高的原因是否為董事會參與程度不足，或是沒有制定相關法規加以約束，故探討透過資通安全治理是否能協助組織改善資安議題並減少資安事件的發生。
本研究作者日前參與行政院科技顧問組資安治理機制與資安建設持續發展規劃研究計畫，該研究計畫探討公、私部門之資通安全治理，本研究欲研究國內企業資通安全治理成熟度，以民間企業作為實際案例，研究國內民間企業之資通安全治理。本研究採用個案研究法的多重個案研究法，探討國內民間企業之資通安全治理成熟度，並透過深入訪談研究資通安全治理導入時可能會遭遇的困難，研究結果發現導入資通安全治理可能會遭遇到組織與主管對資通安全治理之必要性不認同、相關人員對資通安全治理不夠瞭解掌握、缺乏如法規等外在之誘因或壓力、缺乏導入實務之諮詢與協助等問題。

According to the statistics of ICST in 2006, there are about 108 companies that have been attacked more than 6 times among the 600 companies surveyed. Information Security was regarded as a technical issue, and not considered as a managing one. Therefore, the study is trying to find out the reasons which result the highly frequent happening of information security breach, they may be caused by short participation of Board of Directors or shortage of relevant legislation, and find the answers which can help the organization prevent or decrease the situation.
The author of the study has participated in the research plan, which is about ISG of public and private sectors. The study focuses on the maturity of ISG of domestic enterprises. Through the case study, we try to realize the situation of information security governance of private sectors. The research method of the study is multi-case study. We try to discuss the maturity of ISG of private sectors. We also use indepth interview to understand the problems of conducting ISG. The results of the study show as following. First, the boards and senior executives do not think ISG which is necesarry. Second, the employees who are responsible for ISG don't fully understand what they are supposed to do. Third, we are lack of external incentives and pressures such as regulations. Finally, we are lack of the consultation and assistance of practices of conducting ISG.

目錄 I
圖目錄  III
表目錄  IV
第壹章	緒論	1
第一節	研究背景與動機	1
第二節	研究目的	2
第三節	研究對象與限制	2
第四節	研究流程	3
第貳章	文獻探討	5
第一節	治理	5
第二節	公司治理	6
第三節	資訊科技治理	8
第四節	資通安全治理	9
第五節	相關研究	26
第叁章	研究方法與過程	32
第一節	研究方法	32
第二節	訪談對象	32
第三節	研究設計	33
第四節	資通安全治理成熟度問卷設計	34
第五節	資通安全治理開放式問卷設計	37
第肆章	研究分析	38
第一節	資料蒐集方式	38
第二節	研究過程分析	38
第三節	A公司之資安治理成熟度分析	39
第四節	B公司之資安治理成熟度分析	39
第五節	A、B公司之資安治理成熟度之比較分析	40
第六節	資料分析結果	47
第伍章	結論與建議	50
第一節	結論	50
第二節	後續研究建議	51
致謝	52
參考文獻	53
附錄一	 資通安全治理與成熟度評估問卷	57
附錄二	 資通安全治理開放式問項	64
附錄三	 資通安全成熟度評估問卷內容	69

圖1  本研究之研究步驟圖	4
圖2  公司治理、IT治理、資通安全治理三者關係圖	10
圖3 資通安全治理概念模式圖	13
圖4  IDEAL模型概念圖	15
圖5 成熟度模型儀表板(Dashboard)	21

表1  IDEAL各階段概述一覽表	15
表2  資通安全治理成熟度評估問卷類別一覽表	33
表3  公司業務IT依賴度分數級距	36
表4  四類項目級距、分數、整體評價三者之對應關係	36
表5  A公司資通安全治理評估分數表	39
表6  B公司資通安全治理評估分數表	40
表7 成熟度問卷各部份分數比較表	40
表8 成熟度評估落點一覽表	41
表9  A、B公司主要差異分析表	49

[1]	行政院科技顧問組，"資安推動發展政策整合研究－資安治理機制與資安建設持續發展規劃"，2007，頁7-43。
[2]	行政院資通安全會報，"資通安全發展趨勢威脅及防護"，2007，頁17-26。
[3]	吳芝嫻，"以公司治理角度探討企業財務危機相關因素之研究"，2005，頁6-7。
[4]	吳琮璠，"資訊管理個案研究方法"，資訊管理學報，第四卷，第一期，1997，頁7-17。
[5]	姚俊羽，"能力成熟度整合模式之導入─以文件管理系統為例"，銘傳大學資訊管理研究所，2004，頁35-40。
[6]	孫強，"資通安全治理"，中國資訊系統審計與控制專業委員會，2004，頁5-10。
[7]	梁定澎，"資訊管理研究方法總論"，資訊管理學報，1997，第四卷，第一期，頁1-6。
[8]	陳姿伶，"個案研究法"，中興大學農業推廣教育研究所，2005，台中，頁2-7。
[9]	陳萬淇，個案研究法，華泰書局出版，1985。
[10]	陳瑞祥，"資訊安全治理白皮書談內控機制─董事會與高層應全面主導"，
http://www.isecutech.com.tw/feature/view.asp?fid=375，2003。
[11]	黃俊英，"行銷研究"，華泰書局出版，1997，頁45-72。
[12]	黃國欽，"公部門資訊安全管理"，高雄第一科技大學資管系，2006，高雄，頁7-43。
[13]	羅千益，"資訊工程導論"，http://neuron.csie.ntust.edu.tw/homework/93/csie_introduction/homework3/B9315045/cmmiint.htm，2008/5。
[14]	Allen, J. H., and Westby, J. R., "Characteristics of Effective Security Governance," EDPACS, Vol. XXXV, No. 5, 2007.
[15]	Andersen, P. W., "Information Security Governance," Information Security Technical Report, Vol. 6, No. 3, 2001, pp. 60-70.
[16]	Corporate Governance Task Force, "Information Security Governance - a Call to Action," Corporate Governance Task Force Report, April 2004.
[17]	Entrust, "Information Security Governance (ISG): an essential element of corporate governance," 2004, pp. 1-13.
[18]	Fujitsu, "Information Security Solutions,"
http://www.fujitsu.com/downloads/MAG/vol43-2/paper04.pdf, December 2006.
[19]	Information Technology Governance Institute, "Board Briefing on IT Governance 2nd Edition," 2003.
[20]	Information Technology Governance Institute, "Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition," 2006.
[21]	Institute of Internal Auditors, "Information Security Management and Assurance: A Call to Action for Corporate Governance," 2000.
[22]	Ministry of Economy, "Trade and Industry. Information Security Governance in Japan," September 2005.
[23]	Moulton, R., and Coles, R. S., "Applying Information Security Governance," Computer & Security, Vol.22, No.7, 2003, pp. 580-584.
[24]	Poore, R. S., "Information Security Governance," EDPACS, Vol. XXXIII, No. 5, 2005.
[25]	Posthumus, S., and Von Solms, R., "A framework for the governance of information security," Computers and Security, Vol.23, No.8, 2004, pp. 638-646.
[26]	Swindle, O., and Conner, B., "The Link between Information Security and Corporate Governance,"
http://www.computerworld.com/securitytopics/security/story/0,,92915,00.html?SKC=security-92915, 2004.
[27]	Von Solms, B., "Information Security governance: COBIT or ISO 17799 or both," Computers and Security, Vol. 24, No.2, 2005, pp. 99-104.
[28]	Von Solms, R., and Von Solms, S. H., "Information Security Governance: A model based on the Direct-Control Cycle," Computer & Security, Vol.26, No.6, 2006, pp. 408-412.
[29]	Von Solms, R., and Von Solms, S. H., "Information security governance: Due care," Computer & Security, Vol.25, No.7, 2006, pp. 494-497.
[30]	Von Solms, S. H., "Information Security Governance- Compliance management vs. operational management," Computer & Security, Vol.24, No.6, 2005, pp. 443-447.
[31]	Yin, R. K., "Case Study Research：Designs and Methods 2nd Edition,"　U.S.A., SAGE, 1994.