由於網路的安全問題層出不窮，學校不僅是受害者，也是加害者，使得資訊安全及資安治理在配合國家政策與整體投入資源有限的狀況下，如何提升學校資訊安全與治理等級，應做通盤了解與因應。
    本研究使用問卷調查方法，針對我國大專校院資安治理成熟度做調查，主要的目的在於評估大專校院各校資安治理成熟度、探討資安治理成熟度相關因素，並提供資安治理成熟度提升模式及其改善之道；發出164份調查問卷，請各校資訊單位主管進行問卷填答，回收153份問卷，回收百分比為93.3%，扣除無效問卷4份，實際回收有效問卷為149份，有效樣本回收百分比為90.9%。
    根據資安治理成熟度計算公式，發現學校資安治理成熟度低者占51%，中者占32.2%，高者占16.8%；使用判別分析確認資安治理成熟度低、中、高是可區別的，有87.2%交叉驗證成熟度低、中、高3組觀察值已正確分類，使用相關分析，發現34個項目與資安治理成熟度有相關顯著，針對相關顯著項目，使用ANOVA，檢定資安治理成熟度低、中、高各等級對各項目均數差異的顯著性，有31個項目具有顯著，確認各項目均數差異後，並以 post hoc 全距檢定和LSD來確認資安治理成熟度由低至中、由低至高及由中至高的項目是否有差異顯著，發現由中至高有2個項目未達顯著外，其餘皆達顯著，而且這些項目皆為資安治理成熟度相關項目。
    為有效提升大專校院資安治理成熟度，尋找成熟度各等級之相同特徵與相關因素，本研究並發展資安治理成熟度概念圖及資安治理成熟度提升模式，含資安治理成熟度低者提升至成熟度中者、成熟度中者提升至成熟度高者的相關項目，並使用統計判別分析、相關分析、變異數分析等找出資安治理成熟度相關因素、顯著項目，從不同構面比較後，找出資安治理成熟度等級容易往上提升的項目，發現各校資安治理面臨的問題，普遍性是業務IT依賴度偏高，而資安治理成熟度偏低，尤其風險管理構面各項目更是偏低，各校可依自己資安治理成熟度現況，找出最容易提升成熟度之項目，達到資安治理成熟度改善的目的。

This study used a questionnaire survey method, investigating the maturity of information security governance for institutes of higher education in Taiwan. The main objective is to assess the maturity of information security governance for institutes, exploring the factors concerned, providing the model for promoting the maturity of information security governance, and improvement methods. Questionnaires are sent to 164 information unit supervisors in schools, and 153 are returned. The return percentage is 93.3% excluding four invalid ones, and effective questionnaire is 149, the effective sample return percentage is 90.9%.
  According to formula of governance maturity of the information security, it was found that schools with low rate of security governance maturity take up 51%, schools with medium rate 32.2%, high 16.8%; with discriminant analysis, it is confirmed that the governance maturity of the information security can be distinguished in low, medium, and high rate. With 87.2% cross validation, three observation groups of low, medium and high maturity have been classified. With correlation analysis, it is found that 34 items have significant correlation with governance maturity of the information security. With analysis of variance (ANOVA), the least significant difference (LSD) between item average with verification governance maturity of the information security grade of high, medium, and low is checked to find there are 31 items with significant differences. After confirming every item mean significant difference, post hoc range test and ANOVA multiple comparison LSD are used to confirm whether there is significant differences between the items of governance maturity of the information security from low to medium, from low to high and from medium to high. It is found that only two items from medium to high are not significant, the rest are significant, and these items are the related items of governance maturity of the information security. 
  This study aims to develop governance maturity of the information security promotion mode, find school security management problems, which are generally about too much IT Reliance, while the governance maturity of the information security is low, especially the items in the risk management aspect the project are quit low. Each school can find the easiest items of the maturity to improve according to their own governance maturity of the information security status, to promote the governance maturity of the information security.

目   次
圖 次	ii
表 次	v
第一章	緒論	1
第一節	研究背景	1
第二節	研究目的	2
第三節	研究範圍與限制	3
第四節	研究方法與步驟	3
第二章	文獻探討	5
第一節	我國資訊安全政策	5
第二節	資訊安全校園實務	9
第三節	資訊治理	10
第四節	資安治理	16
第五節	資安治理成熟度	39
第三章	研究設計	57
第一節	研究架構	57
第二節	研究對象	60
第三節	研究工具	64
第四節	資料處理	74
第四章	研究結果與分析	77
第一節	學校資安治理成熟度	77
第二節	資安治理成熟度評估工具適用性	100
第三節	資安治理成熟度架構	107
第四節	資安治理成熟度相關因素	123
第五節	資安治理成熟度提升模式	142
第六節	一般大學與技職學校在資安治理成熟度各構面比較	145
第七節	大專校院在資安治理面臨的問題	182
第五章	結論與建議	183
第一節	結論	183
第二節	建議	185
參考文獻	187
附錄一：「大專校院資安現況與資安治理成熟度」調查問卷	193
附錄二：大專校院學校教職生概況	204
附錄三：調查問卷統計分析變數名稱說明	209
附錄四：資安治理成熟度相關顯著項目(Pearson相關係數)	212
附錄五：大專校院學校資安治理成熟度	215
附錄六：大專校院學校編號	220

圖 次
圖1-1：研究流程	4
圖2-1：資訊治理流程	12
圖2-2：COBIT 架構方塊	13
圖2-3：COBIT 管理、控制、校準與監督	13
圖2-4：COBIT 整體架構	14
圖2-5：Williams 資安治理成熟度模型	17
圖2-6：Posthumus & von Solms 資安治理架構	19
圖2-7：von Solms 公司治理指揮–執行–控制	20
圖2-8：von Solms 資安治理架構及構成要素	21
圖2-9：ITGI資安治理構成要素	22
圖2-10：資安治理基準指標框架	23
圖2-11：資安治理指標框架	23
圖2-12：Da Veiga and Eloff 資安治理架構	24
圖2-13：NIST資安治理組件	26
圖2-14：NIST資訊安全系統發展生命週期	27
圖2-15：NIST計畫執行過程資訊安全衡量標準	27
圖2-16：資安治理、資訊治理與公司治理關係	28
圖2-17：行政院資通安治理架構	29
圖2-18：行政院私部門組織資安治理架構	30
圖2-19：行政院公部門機關資安治理架構	30
圖2-20：行政院資安治理策略績效目標與衡量指標架構	36
圖2-21：資安治理職責與相對職稱	40
圖2-22：大型公司組織架構	40
圖2-23：CGTF資安治?IDEAL模型	41
圖2-24：EDUCAUSE Security Tasks Force資安治?分數計算工具	44
圖2-25：通用成熟度模式 (COBIT 4.1)	46
圖2-26：ITGI資安治理成熟度評估模式	46
圖2-27：CMMI能力成熟度整合模式組件	47
圖2-28：CMMI-SVC建立和交付服務關鍵流程領域關係	48
圖2-29：CMMI-SVC服務管理關鍵流程領域關係	48
圖2-30：行政院評估工具流程－私部門	51
圖2-31：行政院評估工具流程－公部門	53
圖3-1：資安治理成熟度與各構面關係	58
圖3-2：資安治理成熟度架構	59
圖3-3：資安治理成熟度提升模式	59
圖3-4：問卷填答者行政職務年資分析	61
圖3-5：學校位置公私立分布	62
圖3-6：公私立學校規模大小分布	63
圖3-7：學校規模大小區域分布	63
圖3-8：學校規模大小在各體系的分布	64
圖3-9：學校各體系在規模大小的分布	64
圖3-10：大專校院資安治理成熟度評估工具流程	67
圖3-11：IT依賴度	69
圖3-12：IT依賴度與資安治理成熟度對應關係	69
圖3-13：資安治理成熟度	69
圖4-1：學校IT依賴度	78
圖4-2：學校資安治理成熟度	78
圖4-3：IT依賴度在資安治理成熟度分布	79
圖4-4：資安治理成熟度在IT依賴度分布	79
圖4-5：IT依賴度在學校公私立、區域與規模現況	83
圖4-6：資安治理成熟度在學校公私立、區域與規模現況	84
圖4-7：資訊人力在資安治理成熟度分布	86
圖4-8：資訊人力在業務IT依賴度分布	86
圖4-9：資安人力在IT依賴度度分布	87
圖4-10：資安人力在資安治理成熟度分布	87
圖4-11：該校教職員資安認知在資安治理成熟度分布	89
圖4-12：資訊人員資安能力自評在資安治理成熟度分布	89
圖4-13：資安防護自評在資安治理成熟度分布	89
圖4-14：資安現況自評在資安治理成熟度分布	90
圖4-15：一般人員重視程度在資安治理成熟度分布	90
圖4-16：校長支持程度在資安治理成熟度分布	90
圖4-17：大專校院資訊安全認知自評	93
圖4-18：大專校院資安事件通報比例	94
圖4-19：大專校院各校資安事件復原(修復)時間	95
圖4-20：大專校院各校資安稽核(內部與外部稽核)次數	95
圖4-21：資安治理成熟度在各校擁有資安國際證照之分析	97
圖4-22：資訊單位預算	98
圖4-23：各校資訊單位預算	98
圖4-24：各校資訊單位預算占該校全校金額比例	99
圖4-25：資訊單位資安經費	100
圖4-26：資安治理成熟度模式	109
圖4-27：資安治理成熟度路徑 (架構1)	110
圖4-28：資安治理成熟度路徑 (架構1) 結果	115
圖4-29：資安治理成熟度路徑 (架構2)	117
圖4-30：資安治理成熟度路徑 (架構2) 結果	119
圖4-31：資安治理成熟度架構 (架構3)	120
圖4-32：資安治理成熟度架構 (架構3) 結果	123
圖4-33：資安治理成熟度提升模式	142
圖4-34：資安治理成熟度提升模式(結果)	144
圖4-35：資安治理成熟度在一般大學與技職校院之校數分析	146
圖4-36：一般大學與技職校院在資安治理成熟度之比較	146
圖4-37：資安治理成熟度在一般大學與技職校院之比例分析	147
圖4-38：一般大學與技職校院在業務IT依賴度之比較	148
圖4-39：業務IT依賴度在一般大學與技職校院之比例分析	148
圖4-40：風險管理構面在一般大學與技職校院之校數分析	149
圖4-41：一般大學與技職校院在風險管理構面之比例分析	150
圖4-42：一般大學與技職校院在組織與人構面之比較	151
圖4-43：一般大學與技職校院在組織與人構面之比例分析	152
圖4-44：一般大學與技職校院在流程構面之比較	153
圖4-45：一般大學與技職校院在流程構面之比例分析	153
圖4-46：一般大學與技職校院在學校規模之比較	154
圖4-47：學校規模在一般大學與技職校院之比例分析	154
圖4-48：資訊人力在一般大學與技職校院之校數比較	156
圖4-49：資訊人力在一般大學與技職校院之比例分析	156
圖4-50：資安人力在一般大學與技職校院之校數比較	157
圖4-51：資安人力在一般大學與技職校院之比例分析	157
圖4-52：資訊安全自評在一般大學與技職校院之校數比較 (一)	159
圖4-53：資訊安全自評在一般大學與技職校院之校數比較 (二)	159
圖4-54：資安規範在一般大學與技職校院之比例分析	161
圖4-55：資安環境在一般大學與技職校院之比例分析	162
圖4-56：資訊安全宣導與教育訓練在一般大學與技職校院之校數比較	163
圖4-57：資安事件通報與復原在一般大學與技職校院之比較	166
圖4-58：資訊安全內部稽核與外部稽核在一般大學與技職校院之比較	166
圖4-59：通過資安第三方認證在一般大學與技職校院校數比例	168
圖4-60：資訊安全證照在一般大學與技職校院之校數比較	169
圖4-61：資訊單位預算在一般大學與技職校院比較分析	172
圖4-62：預算金額占學校經費比例在一般大學與技職校院之校數比較	173
圖4-63：預算金額占學校經費比例在一般大學與技職校院比較分析	173
圖4-64：資安年度經費在一般大學與技職校院比較分析	174
圖4-65：資安年度經費在一般大學與技職校院比較分析	175

表 次
表1-1：98學年度大專校院學校各體系及公私立校數統計	3
表2-1：教育部所屬機關及各級學校資訊安全責任與應執行事項	7
表2-2：資安事件常見攻擊類型	7
表2-3：資安事件評分標準	8
表2-4：資訊安全相關政策與法規	8
表2-5：資訊安全校園實務	10
表2-6：資訊治理相關議題	15
表2-7：Williams資安治理成功衡量關鍵因素及相關衡量指標	16
表2-8：BSA初步資安治理框架	18
表2-9：Da Veiga & Eloff資安治理要素	25
表2-10：行政院科技顧問組資安治理執行機制	31
表2-11：行政院資安治理私部門評估工具	32
表2-12：行政院資安治理公部門評估工具	35
表2-13：行政院資安治理衡量指標須符合之原則與條件	37
表2-14：資安治理相關議題	37
表2-15：IDEAL 說明	41
表2-16：CGTF 資安治理分數計算方式	42
表2-17：CGTF資安治理－依賴度匹配結果	42
表2-18：CGTF資安治理－成熟度匹配結果	43
表2-19：EDUCAUSE Security Tasks Force 整體資安評估等級級距表	45
表2-20：CMMI能力度與成熟度等級的比較	49
表2-21：機關業務IT依賴度分數級距	54
表2-22：依賴度與資安治理成熟度對應關係	54
表2-23：資安治理成熟度工具比較-CGTF、EDUCAUSE、行政院、本研究	55
表3-1：問卷回收分析	60
表3-2：擔任資訊單位主管(資訊長)年資	61
表3-3：學校公私立及區域分布	61
表3-4：學校公私立及規模分布	62
表3-5：學校規模大小與區域分布	63
表3-6：學校規模大小與各體系(一般大學、技職體系)分析	63
表3-7：本研究問卷構面	65
表3-8：學校業務IT依賴度分數級距	67
表3-9：學校評估工具項目分類	68
表3-10：大專校院依賴度與資安治理成熟度對應級距表	68
表3-11：資安治理成熟度40個變數觀察值摘要	71
表3-12：資安治理成熟度40個變數信度統計量	71
表3-13：資安治理成熟度40個變數總和統計量	71
表3-14：問卷89個變數觀察值摘要	72
表3-15：問卷89個變數信度統計量	72
表3-16：問卷89個變數總和統計量	73
表4-1：IT依賴度與資安治理成熟度之校數分布	78
表4-2：資安治理成熟度與風險管理分析	80
表4-3：資安治理成熟度與學校組織人員分析	81
表4-4：資安治理成熟度與學校流程分析	81
表4-5：資安治理成熟度與學校整體資安評估分析	82
表4-6：IT依賴度與資安治理成熟度在學校屬性概況	83
表4-7：IT依賴度與資安治理成熟度在資訊(資安)人力概況	85
表4-8：資安治理成熟度在學校資安自評各項概況	88
表4-9：資安治理成熟度在資通安全相關規範各項概況	91
表4-10：資安治理成熟度在資安環境各項概況	91
表4-11：資安治理成熟度在資訊安全教育訓練各項概況	92
表4-12：資安治理成熟度在資安事件、稽核各項概況	93
表4-13：資安治理成熟度在資安防護能力各項概況	96
表4-14：資安治理成熟度在學校資訊單位預算概況	97
表4-15：資安治理成熟度在學校資安經費概況	99
表4-16：判別分析資安治理成熟度各組統計量	101
表4-17：判別分析各組平均數的相等性檢定	102
表4-18：判別分析檢定結果	102
表4-19：典型判別函數特徵值	102
表4-20：典型判別函數Wilks' Lambda值	103
表4-21：標準化的典型判別函數係數	103
表4-22：典型判別函數各組重心的函數	103
表4-23：資安治理成熟度判別分類結果	104
表4-24：KMO與Bartlett 球形檢定	104
表4-25：資安治理項目總變異量	105
表4-26：資安治理成熟度重要考慮因素分析主軸分析法結果	106
表4-27：資安治理成熟度各等級相關顯著項目及其平均數	108
表4-28：以資安治理成熟度為依變項迴歸分析模式摘要	111
表4-29：以資安治理成熟度為依變項迴歸	112
表4-30：以IT依賴度為依變項迴歸分析模式摘要	112
表4-31：以IT依賴度為依變項迴歸	112
表4-32：以風險管理構面為依變項迴歸分析模式摘要	113
表4-33：以風險管理構面為依變項迴歸	113
表4-34：以組織與人員構面為依變項迴歸分析模式摘要	114
表4-35：以組織與人員構面為依變項迴歸	114
表4-36：以流程構面為依變項迴歸分析模式摘要	114
表4-37：以組織與人員構面為依變項迴歸	115
表4-38：資安治理成熟度4大構面迴歸分析模式摘要	118
表4-39：資安治理成熟度4大構面迴歸分析	118
表4-40：資安治理成熟度迴歸分析模式摘要	121
表4-41：資安治理成熟度迴歸	121
表4-42：與成熟度相關顯著之因素	124
表4-43：資安治理成熟度相關顯著項目	124
表4-44：資安治理成熟度與其他構面相關顯著項目	126
表4-45：資安治理成熟度與風險管理構面各項目相關矩陣	127
表4-46：低成熟度之資安評估分數相關顯著項目	128
表4-47：中成熟度之資安評估分數相關顯著項目	129
表4-48：高成熟度之資安評估分數相關顯著項目	129
表4-49：資安治理成熟度各等級相關顯著項目比較	130
表4-50：資安治理成熟度各等級之ANOVA	131
表4-51：資安治理成熟度各等級之LSD	133
表4-52：成熟度評估工具相關分析	135
表4-53：成熟度評估工具同時迴歸分析選入/刪除的變數	135
表4-54：成熟度評估工具同時迴歸分析模式摘要	135
表4-55：成熟度評估工具同時迴歸分析變異數分析	136
表4-56：成熟度評估工具同時迴歸分析排除的變數	136
表4-57：成熟度評估工具同時迴歸分析	136
表4-58：成熟度評估工具同時迴歸分析共線性診斷	137
表4-59：成熟度相關項目同時迴歸分析模式摘要	137
表4-60：成熟度相關項目同時迴歸分析	137
表4-61：成熟度評估工具逐步迴歸分析選入/刪除的變數	138
表4-62：成熟度評估工具逐步迴歸分析模式摘要	138
表4-63：成熟度評估工具逐步迴歸分析	139
表4-64：成熟度評估工具逐步迴歸分析排除的變數	139
表4-65：成熟度相關項目逐步迴歸分析	139
表4-66：40項目與成熟度逐步迴歸分析模式摘要	140
表4-67：40項目與成熟度逐步迴歸分析	141
表4-68：資安治理成熟度由低提升至中案例	144
表4-69：資安治理成熟度由中提升至高案例	145
表4-70：一般大學與技職校院之資安治理成熟度	145
表4-71：一般大學與技職校院之業務IT依賴度	147
表4-72：一般大學與技職校院之風險管理構面	149
表4-73：一般大學與技職校院之組織與人構面	151
表4-74：一般大學與技職校院之流程構面	152
表4-75：一般大學與技職校院之學校規模	154
表4-76：一般大學與技職校院之資訊人力及資安人力	155
表4-77：一般大學與技職校院之資訊安全自評	158
表4-78：一般大學與技職校院之資安規範	160
表4-79：一般大學與技職校院之資安環境	161
表4-80：一般大學與技職校院之資訊安全宣導與教育訓練	163
表4-81：一般大學與技職校院之資訊安全事件與稽核	165
表4-82：一般大學與技職校院之資安防護能力	167
表4-83：一般大學與技職校院之資訊單位年度預算及資安預算	170
表4-84：一般大學與技職校院之資安治理成熟度相關因素比較	176
表4-85：一般大學與技職校院之資安治理成熟度ANOVA顯著性差異比較	178
表4-86：一般大學與技職校院之資安治理成熟度均數差異多重比較	179

CMMI (2010)。適用於發展的能力成熟度整合模式 CMMI-DEV 1.3版。SEI，資策會譯。臺北市：財團法人資訊工業策進會。
行政院科技顧問組 (2008)。2008資通安全政策白皮書。臺北。
行政院科技顧問組 (2010)。2010資通安全政策白皮書。臺北。
行政院國家資通安全會報 (2009)。國家資通訊安全發展方案(98年-101年)。臺北。
教育部 (2007)。教育體系資通安全管理規範。臺北。
教育部 (2008)。教育部所屬機關及各級公私立學校資通安全工作事項。臺北。
教育部 (2010)。教育機構資安通報應變手冊。臺北。
教育部 (2012)。教育部個人資料保護管理要點。臺北。
黃明達、洪智能 (2011)。技專校院資安治理成熟度改善之研究。中華民國資訊管理學會第十三屆全國資訊管理博士生學術交流研討會。
黃明達、蕭瑞祥 (2007)。資安推動發展政策整合研究—資安治理機制與資安建設持續發展規劃。臺北：行政院科技顧問組。
黃明達、蕭瑞祥 (2008)。資安治理機制研究規劃報告。臺北：行政院科技顧問組。


Albrecht, Bob, & Caruso, Judith B. (2003). Information Technology Security at Indiana University. EDUCAUSE Center for Applied Research. Retrieved June 1, 2009, from http://www.educause.edu/ecar/.
Allen, Julia H., & Westby, Jody R. (2007). Characteristics of Effective Security Governance. EDPACS, 35:5.
Boes, Richard, Cramer, Tom, Dean, Vicky, Hanson, Roger, & McKenna, Nan (2006). Campus IT Security: Governance, Strategy, Policy, and Enforcement. EDUCAUSE Center for Applied Research, 2006:17. Retrieved Nov. 1, 2009, from http://net.educause.edu/ir/library/pdf/ERB0617.pdf.
Bowen, Paul L., Cheung, May-Yin Decca, & Rohde, Fiona H. (2007). Enhancing IT Governance Practices: A Model and Case Study of an Organization's Efforts. International Journal of Accounting Information Systems , 8, 191-221. doi:1.1016/j.accinf.2007.07.002.
Bowen, Pauline, Hash, Joan, & Wilson, Mark (2006). Information Security Handbook: A Guide for Managers. National Institute of Standards and Technology. Retrieved Nov. 1, 2009, from  http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf.
Brown, Allen E., & Grant, Gerald G. (2005). Framing the frameworks: A Review of IT Governance Research. Communications of the Association for Information System, 15, 696-712.
Business Software Alliance (2003). Information Security Governance: Toward a Framework for Action.
Carbonel, Jean-Christophe (2008). Assessing IT Security Governance Through a Maturity Model and the Definition of a Governance Profile. Information Systems Control Journal, 2, 1-4.
Caruso, Judith B. (2003). Key Findings: Information Technology Security: Governance, Strategy, and Practice in Higher Education. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
CGTF. (2004). Information Security Governance: A Call to Action. Corporate Governance Task Force Report. Retrieved Nov.. 1, 2009, from http://www.cccure.org/Documents/Governance/InfoSecGov4_04.pdf.
Chapin, David A., & Akridge, Steven (2005). How Can Security Be Measured. Information Systems Control Journal, 2. Retrieved Nov. 1, 2009, from http://www.isaca.org/Journal/Past-Issues/2005/Volume-2/Documents/jpdf052-how-can-security.pdf.
Clark, Tammy L., & Sitko, Toby D. (2008). Information Security Governance: Standardizing the Practice of Information Security. EDUCAUSE Center for Applied Research (2008:17). Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
CMMI. (2010). CMMI for Development, Version 1.3 (CMMI-DEV). Software Engineering Institute.
CMMI. (2010). CMMI for Service, Version 1.3 (CMMI-SVC). Software Engineering Institute.
Da Veiga, A. and Eloff, J. H. P. (2007). An information security governance framework. Information Systems Management, 24(4), 361-372.
Dahlberg Tomi, & Kivijarvi Hannu (2006). An Integrated Framework for IT Governance and the Development and Validation of an Assessment Instrument. Proceedings of the 39th Annual Hawaii International Conference on System Sciences (HICSS Track 8), 194b.
EDUCAUSE Security Tasks Force (2004). Information Security Governance Assessment Tool For Higher Education. Boulder, Colorado and Washington, D.C...
Entrust. (2004). Information Security Governance (ISG): An Essential Element of Corporate Governance. Retrieved Nov. 1, 2009, from http://download.entrust.com/resources/download.cfm/21431/.
Eshlaghy, Abbas Toloie, Pourebrahimi, Alireza, & Nobari, Babak Zendehdel (2011). Presenting a Model for Ranking Organizations Based on the Level of the Information Security Maturity. Computer and Information Science, 4(1).
Hung, Chir-Neng, Hwang, Ming-dar, & Liu, Yuan-chen (2013). Building a maturity model of information security governance for technological colleges and universities in Taiwan. Applied Mechanics and Materials, 284-287, 3657-3661.
Hung, Chir-Neng, Hwang, Ming-dar, & Liu, Yuan-chen (2013). Show the way to Information Security Governance for Universities in Taiwan. Applied Mechanics and Materials, 278-280, 2199-2203.
Hwang, Ming-dar, & Hung, Chir-Neng (2012). Study on the Improvement of Maturity of Information Security Governance for Institutes of Higher Education in Taiwan. The 2012 Conference on Industrial Information Application (CIIA 2012).
ISACA. (2003). Board briefing on IT Governance (2nd ed.). IT Governance Institute. Retrieved Nov. 1, 2009, from http://www.isaca.org/restricted/Documents/26904_Board_Briefing_final.pdf
ISACA. (2006). Information Security Governance: Guidance for Boards of Directors and Executives Management (2nd ed.). IT Governance Institute. Retrieved Nov. 1, 2009, from http://www.isaca.org/Knowledge-Center/Research/Documents/InfoSecGuidanceDirectorsExecMgt.pdf.
Ismail, Zuraini, Masrom, Maslin, Ahmad, Rabiah, & Sharif, Haniza (2009). Addressing Information Security for Academic Environment: A Confirmatory Factor Analysis. MASAUM Journal of Computing, 1:2, 109-115.
ITGI. (2007). COBIT 4.1. IT Governance Institute.
ITGI. (2008). Unlocking Value: An Executive Primer on the Critical Role of IT Governance. IT Governance Institute.
Knapp, Kenneth J., Morris, R. Franklin, Jr., Marshall, Thomas E., & Byrd, Terry Anthony (2009). Information Security Policy: An Organizational-level Process Model. Computer & Security, 1-16. doi:1.1016/j.cose.2009.07.001.
Kravis, Robert B. (2004). Roadmap: Information Technology Security: Governance, Strategy, and Practice in Higher Education. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://net.educause.edu/ir/library/pdf/EKF/ekf0305.pdf.
Kravis, Robert B., Caruso, Judith B., & Pirani, Judith A. (2003). Information Technology Security: Governance, Strategy, and Practice in Higher Education. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
Kritzinger, E., & Smith, E. (2008). Information Security Management: An Information Security Retrieval and Awareness Model for Industry. Computers & Security, 27, 224-231. doi:1.1016/j.cose.2008.05.006
Krueger, Donald A. (2009). Decentralized IT Governance and Policy in Higher Education. EDUCAUSE Center for Applied Research, 2009:5. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
Kruger, H.A., & Kearney, W.D. (2006). A Prototype for Assessing Information Security Awareness. Computers & Security, 25, 289-296. doi:1.1016/j.cose.2006.02.008.
Larsen, Michael Holm, Pedersen, Mogens Kuhn, & Andersen, Kim Viborg (2006). IT Governance: Reviewing 17 IT Governance Tools and Analysing the Case of Novozymes A/S. Proceedings of the 39th Hawaii International Conference on System Science, 1-11.
Latif, Aliza Abdul, & Hanifi, Nor Izzati (2012). Establish IT Governance Using CMMi – A Case Study of Malaysian Private University. International Journal of Future Computer and Communication, 1(3), 221-224.
Lessing, Marthie, & von Solms, S.H. (2008). Building a World Class Information Security Governance model. Proceedings of IST-Africa 2008 Conference.
Lindstrom, John, & Hagerfors, Ann (2009). A Model for Explaining Strategic IT- and Information Security to Senior Management. International Journal of Public Information Systems, 2009:1, 17-29.
Moulton, Rolf, & Coles, Robert S. (2003). Applying Information Security Governance. Computers & Security, 22:7, 580-584.
Park, Cheol-Soon, Jang, Sang-Soo, & Park, Yong-Tae (2010) A Study of Effect of Information Security Management System [ISMS] Certification on Organization Performance. IJCSNS International Journal of Computer Science and Network Security, 10:3, 10-21.
Pirani, Judith A. (2003). Incident Response: Lessons Learned from Georgia Tech, the University of Montana, and The University of Texas at Austin. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
Pirani, Judith A., & Voloudakis, John (2003). Information Technology Security at MIT. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
Pironti, John P. (2007). Developing Metrics for Effective Information Security Governance. Information Systems Control Journal, 2, 1-5.
Posthumus, Shaun, & von Solms, Rossouw (2004). A Framework for the Governance of Information Security. Computers & Security, 23, 638-646.
Rastogi, Rahul, & von Solms, Rossouw (2006). Information Security Governance - A Re-Definition. International Federation for Information Processing, 193, 223-236. Retrieved Nov. 1, 2009, from http://link.springer.com/chapter/1.1007%2F0-387-31167-X_14.
Rau, Kenneth G. (2004). Effective Governance of IT: Design Objectives, Roles, and Relationships. Information Systems Management, Fall 2004. 35-42.
Siponen, Mikko, & Willison, Robert (2009). Information security management standards: Problems and solutions. Information & Management, 46, 267-27. doi:1.1016/j.im.2008.12.007.
Susanto, Heru, Almunawar, Mohamad Nabil, & Tuan, Yong Chee (2011). Information Security Management System Standards: A Comparative Study of the Big Five. International Journal of Electrical & Computer Science IJECS-IJENS, 11(5), 23-29.
Voloudakis, John, & King, Paula (2003). Information Technology Security at the University of Washington. EDUCAUSE Center for Applied Research. Retrieved Nov. 1, 2009, from http://www.educause.edu/ecar/.
von Solms, Basie (2005). Information Security governance: COBIT or ISO 17799 or both?. Computers & Security, 24, 99-104.
von Solms, Rossouw, & von Solms, Sebastiaan H. (2006). Information Security Governance: A model based on the Direct-Control Cycle. Computers & Security, 25, 408-412.
von Solms, Rossouw, & von Solms, Sebastiaan H. (2006). Information security governance: Due care. Computers & Security, 25, 494-497.
von Solms, Sebastiaan H. (2005). Information Security Governance-Compliance management vs. operational management. Computers & Security, 443-447.
Weill, Peter, & Ross, Jeanne W. (2004). IT Governance on One Page. CISR WP No.349, MIT Sloan School of Management Center for Information Systems Research. Retrieved Nov. 1, 2009, from http://materias.fi.uba.ar/7558/Lecturas/cisrwp349-IT%20Governance%20on%20One%20Page.pdf.
Weill, Peter, & Ross, Jeanne W. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Watertown: Harvard Business School Press. Retrieved Nov. 1, 2009, from http://www.msu.ac.zw/elearning/material/1300172657060910%20it%20governance%20matrix2535p4.pdf.
Wessels, Eugene, & van Loggerenberg, Johan (2006). IT Governance: Theory and Practice. Proceedings of the Conference on Information Technology in Tertiary Education, Pretoria, South Africa.
Williams, Paul (2001). Information Security Governance. Information Security Technical Report, 6:3, 60-7.