根據行政院研考會(Research, Development and Evaluation Commission, Executive Yuan, RDEC)指出，高達90%以上的政府機關表示，在落實資通安全管理及防護時，資通安全技術能力需加強、缺乏相關經費、沒有專責處理人員為三項極待克服的困難。於是政府開始思考可否藉由資通安全治理(Information Security Governance, ISG)的機制，使機關首長更能參與資安相關活動而改善上述問題。因此，行政院科技顧問組(Science and Technology Advisory Group of Executive Yuan, STAG)於「資安推動發展政策整合研究－資安治理機制與資安建設持續發展規劃委託研究計畫」中，將資通安全治理納為研究議題之一，期望藉由此計畫發展適用於我國政府機關的資通安全治理制度。
本研究之作者曾參與計畫中。該計畫是以資通安全治理為主軸，除了發展適用於我國政府機關的資通安全治理制度，並研擬適用於政府部門機關之資通安全治理成熟度評估工具。本研究採用個案研究的多重個案整體設計類型為研究方法，邀請三政府機關進行資通安全治理成熟度的評估，並搭配深入訪談活動，深入了解其資通安全工作落實程度與現況，且進一步探討未來落實資通安全治理可能遇到的困難。本研究成果主要利用資通安全治理成熟度評估工具評估三機關之資安治理成熟度並了解其現況，且研擬建議的五階段執行步驟，並提出未來落實可能遭遇人力與經費不足等的困難。

According to the report of RDEC (Research, Development and Evaluation Commission, Executive Yuan), more than 90% government sectors indicate that there are three imperative difficulties awaited being overcome, including the abilities of information security, a lack of related experiences and dedicated personnel. Therefore, the government starts to contemplate the problems and expects the officer of each government sector could pay close attention and join more security-related activities through adopting Information Security Governance Mechanism. Hence, STAG (Science and Technology Advisory Group of Executive Yuan) proposed a research plan developing Information Security Governance Mechanism which fits government sectors of our country.
The author of this study is one of the members of the research plan. This research plan develops an Information Security Governance Maturity Assessment Tool in addition to government sectors’ Information Security Governance Mechanism. Through multiple case studies and in-depth interview, we discuss three government sectors’ ISG Maturity and real conditions of information security, and further, propose potential difficulties.
The research indicates three government organizations’ ISG maturity and real security conditions, recommend execution steps and proposes the difficulties of human resources and budget.

中文摘要.................................................. I
英文摘要................................................. II
目錄.................................................... III
圖目錄.................................................... V
表目錄................................................... VI
第壹章  緒論.............................................. 1
第一節  研究背景與動機.................................... 1
第二節  研究目的.......................................... 2
第三節  研究範圍與限制.................................... 3
第四節  論文架構.......................................... 3
第貳章  文獻探討.......................................... 5
第一節  治理之定義........................................ 5
第二節  IT治理之定義...................................... 6
第三節  資通安全治理...................................... 9
一、資通安全治理之定義.................................. 9
二、資通安全治理與IT治理............................... 15
第四節  資安治理成熟度之內涵............................. 17
第五節  國內外相關文獻................................... 21
第參章  研究設計......................................... 26
第一節  研究方法......................................... 26
第二節  研究對象......................................... 26
第三節  研究流程......................................... 29
第四節  資安治理成熟度評估問卷設計....................... 31
第五節  過程分析......................................... 32
一、資料蒐集過程分析..................................... 32
二、問卷設計過程分析..................................... 33
三、訪談過程分析......................................... 35
第肆章  研究結果與分析................................... 36
第一節  三機關資安治理成熟度評估結果..................... 36
第二節  現況分析......................................... 38
一、機關資安治理成熟度差異分析........................... 38
二、訪談內容比較......................................... 42
三、訪談結果分析......................................... 43
第三節  資通安全治理建議執行步驟......................... 46
第四節  可能遭遇之困難................................... 47
第伍章  結論與建議....................................... 49
第一節  結論............................................. 49
第二節  建議............................................. 50
誌謝..................................................... 51
參考文獻................................................. 52
附錄一  機關資通安全治理訪談內容......................... 56
附錄二  機關資通安全治理成熟度評估問卷(修訂前)........... 73
附錄三  機關資通安全治理成熟度評估問卷(修訂後)........... 82

圖1 IT治理架構圖...........................................8
圖2 資通安全治理概念模式圖................................11
圖3 資通安全治理構成要素..................................14
圖4 資通安全治理與IT治理關係圖............................16
圖5 公司治理、IT治理、資通安全治理等三者關係圖............17
圖6 資通安全治理成熟度模型................................18
圖7 研究流程圖............................................29

表1 資通安全治理成熟度評估表..............................21
表2 國內相關文獻..........................................22
表3 國外相關文獻..........................................24
表4 機關A之業務職掌.......................................27
表5 機關B之業務職掌.......................................28
表6 機關C之業務職掌.......................................28
表7 三機關資安治理成熟度評分結果..........................36
表8 三機關業務IT依賴度結果................................36
表9 三機關資安治理成熟度之整體評價........................37
表10 機關資通安全治理訪談彙整.............................38
表11 三機關重點對照表.....................................43

[1] 行政院科技顧問組，“行政院所屬各機關建立資通安全治理制度施行計畫(草案)說明”，2007，頁3-4。
[2] 行政院研考會，“資安人力調查及需求推估報告”，2007。
[3] 行政院科技顧問組，“資安推動發展政策整合研究－資安治理機制與資安建設持續發展規劃”，2007。
[4] 行政院國家資通安全會報綜合規劃組，“資通安全政策白皮書說明”，2007，頁1-6。
[5] 行政院研考會，“我國政府資通安全應用調查報告”，2006。
[6] 行政院研考會，“施政計畫與績效管理制度”， www.rdec.gov.tw/public/Attachment/52115114471.ppt，2004/5。
[7] 行政院研考會，“風險管理作業手冊”，2005/10，頁1-2。
[8] 行政院，“風險管理推動方案”， http://www.rdec.gov.tw/public/Attachment/6112314442671.doc，2005/8。
[9] 邱憶惠，“個案研究法：質化取向”，國立高雄師範大學教育學系教育研究，第7期，1999，頁113-127。
[10] 孫強，資通安全治理，中國資訊系統審計與控制專業委員會，2004。
[11] 孫強、郝亞斌、郝曉玲、孟秀轉，“IT治理：中國信息化發展的必由之路”，http://www.ccidnet.com，2004。
[12] 張紹勳，“研究方法”，滄海書局，2004，頁285-305。
[13] 陳瑞祥，“資訊安全治理白皮書談內控機制－董事會與高層應全面主導”， http://www.isecutech.com.tw/feature/view.asp?fid=375，2003。
[14] 黃國欽，“公部門資訊安全治理”，國立高雄第一科技大學資管所碩士論文，2006/1。
[15] 高凱聲，“新通訊科技帶來的資安挑戰與防範”， www.informationsecurity.com.tw/seminar/FY2006/pdf/Keynote%204.pdf.
[16] 潘慧玲，“教育研究的取徑：概念與應用”，高等教育出版，2003，頁199-228。
[17] Allen, J. H., Westby, J. R., “Characteristics of Effective Security Governance,” EDPACS, Vol. XXXV, No. 5, 2007.
[18] Andersen, P. W., “Information Security Governance,” Information Security Technical Report, Vol. 6, No. 3, 2001, pp. 60-70.
[19] Benbasat, I., Goldstein, D. and Mead M., “The Case Research in Studies of Information System,” MIS Quarterly, Vol. 11, No. 3, 1987, pp. 369-386.
[20] Corporate Governance Task Force, “Information Security Governance: A Call to Action,” Corporate Governance Task Force Report, April 2004.
[21] ESCAP, “What is Good Governance,” http://www.unescap.org/pdd/prs/ProjectActivities/Ongoing/gg/governance.asp.
[22] European Commission, “European Governance - A White Paper,” July 2001.
[23] European Commission, “Governance,” http://ec.europa.eu/governance/index_en.htm, 2007.
[24] ITGI, “Board Briefing on IT Governance 2nd Edition,” 2003.
[25] ITGI, “Information Security Governance: Guidance for Boards of Directors and Executives Management 2nd Edition,” 2006.
[26] Ministry of Economy, Trade and Industry, “Information Security Governance in Japan,” September 2005.
[27] Moulton, R., Coles, R. S., “Applying Information Security Governance,” Computers & Security, Vol. 22, No. 7, 2003, pp. 580-584.
[28] NIST, “Information Security Handbook: A Guide for Managers,” October 2006.
[29] Poole, V., “Why Information Security Governance Is Critical to Wider Corporate Governance Demands- A European Perspective,” Information Systems Control Journal, Vol. 1, 2006, pp. 23-25.
[30] Poore, R. S., “Information Security Governance,” EDPACS, Vol. XXXIII, No. 5, 2005.
[31] Posthumus, S., Von Solms, R., “A framework for the governance of information security,” Computers & Security, Vol. 23, 2004, pp. 638-646.
[32] The World Bank, “ What is our approach to governance,” http://web.worldbank.org/.
[33] Van Grembergen, W., “Introduction to the Minitrack IT Governance and its Mechanisms,” Proceedings of the 38th Hawaii International Conference on System Sciences, 2005.
[34] Von Solms, R., Von Solms S. H., “Information Security Governance: Due Care,” Computers & Security, Vol. 25, 2006, pp. 494-497.
[35] Webb, P., Pollard, C. and Ridley, G., “Attempting to define IT Governance: Wisdom or Folly,” Proceedings of the 39th Hawaii International Conference on System Sciences, 2006.
[36] Whitman, M. E., Mattford, H. J., “Principles of Information Security,” Course Technology, 2003.
[37] Wikipedia, “Information Security Governance,” http://en.wikipedia.org/wiki/Information_Security_Governance