現今企業組織越來越依賴資訊科技，引發對於資訊安全議題的重視。目前越來越多的組織與企業開始導入資訊安全的相關的制度，不論是BS7799或COBIT等，都是由「組織」層面去檢驗資訊安全的機密性、完整性與可用性。但資訊安全事件的層出不窮，大多是由內部人員有意或無意的行為所造成。現階段資訊安全的相關文獻缺乏從「人員」為出發點，探討組織內的人員對於資訊安全認知的程度高低作評量與改善的研究。
    本研究目的是以NIST(美國國家標準技術學會) Special Publication 800-16所提出「ABC’s of Information Technology Security」的26項概念來作為發展資訊安全認知評量表之基礎，衡量受訪者是否有資訊安全各項概念之基本意義與內涵的認知。經過問卷設計、德菲法發展問項主體、建立評量表初稿、國內專家調查與訪談等一連串的評量表設計步驟後，與四個不同單位實施量測以進行分析探討，了解其資訊安全認知差異程度，驗證此評量表之適用性。本研究經驗證有以下幾項結果顯示： (1)人員有無受過資訊安全相關訓練，其資訊安全認知水準會有一定程度的差距；且不同的資訊安全訓練也會有成效上的差異，組織高層必須重視；(2)將認知程度區分成低、中、高三個不同的等級，組織可針對中低程度的認知概念進行另一階段的宣導與加強，或作為訓練教材的內容；(3)分析評量表問項的難易度高低，未來要以此評量表施測時，可選擇不同難易度的問項來做量測；而專家個別訪談中增列的問項，大部分難易度適中，符合適用性。目前國內外的學術文獻少有此方面的研究，因此本研究可作為衡量單位人員的資訊安全認知的水平，提供未來資訊安全訓練導入參考的依據，並可驗證人員在受過資訊安全訓練後，認知成效高低之評量。

Today enterprises and organizations in the world depend on Information Technology more and more, which arouses managers thinking highly of the issues on Information Security. Presently, more and more enterprises and organizations start to bring in some standards or systems of Information Security. No matter of BS7799, COBIT and so on, are based on “organization” to examine the Confidentiality, Integrity, and Availability of Information Security. However, many Information Security incidents still emerge in an endless stream, most of which result from the internal staffs’ intentional or unintentional actions. References for Information Security nowadays are deficient of the notion taking “people” as a threshold into consideration, and few are researching the level of Information Security Awareness of the personnel in the enterprise the scale and improve it. 
    Regarding twenty-six concepts of “ABC’s of Information Technology Security” of NIST Special Publication 800-16 as the basis of the development of Information Security Awareness Scale, it measures them whether people have the knowledge of basic significance of the concepts of Information Security, and meanwhile verifies the applicability of this scale. After a series of steps in designing the scale such as questionnaires design, Delphi Method development, first-edition of the scale establishment, and domestic experts survey and interview, we, together with four different units, proceed to analyze and probe, verifying the scale’s availability from the testes’ reaction to understand his or her discrepancy on Information Security knowledge. After verify, this research reveals as follows. (1) Were the staff taking training on Information Security related, his or her Information Security knowledge level would have difference to some extent, and different trainings would have different influence on the staff. Therefore, the high-ranking managers must take his or her subordinates’ knowledge level on this aspect seriously. (2) Mark off the level to three diverse ranks, low, middle, and high. The organization could be aimed at the middle-below grades to go forward another phase of advocacy and reinforcement, or being as the training materials. (3) Analyze the degree of difficulty of the scale. Were we in the future testing based on this scale, we could also choose different level questionnaire to make tests. And most of the supplementary questions on individual interview with experts are in the middle level which conforms to the availability. Since being lack of references in this aspect, the scale is used to measure staffs in the department the level of Information Security Awareness and supports the basis to do Information Security Training in the future. And it is able to verify people the degree of effects after they have taken some training of Information Security.

1.	緒論	1
1.1.	研究背景與動機	1
1.2.	研究目的	2
2.	文獻探討	4
2.1.	資訊安全	4
2.1.1.	資訊安全定義	4
2.1.2.	資訊安全流程	5
2.1.3.	資訊安全教育	7
2.2.	相關資訊安全制度	8
2.2.1.	BS7799	9
2.2.2.	COBIT	11
2.2.3.	NIST Special Publication 800-16	13
2.3.	資訊安全認知	15
2.3.1.	定義	15
2.3.2.	資訊安全基礎與素養	15
2.3.3.	小結	20
3.	研究方法	22
3.1.	研究方法與步驟	22
3.2.	問卷設計	24
3.2.1.	問卷的貼切性	24
3.2.2.	問卷型態與反應形式	24
3.2.3.	問項內容性質	25
3.2.4.	問項編製規則	25
3.2.5.	問項的順序與架構	27
3.3.	德菲法	27
3.4.	調查研究法	28
3.4.1.	電腦網路調查	29
3.4.2.	個別訪談	29
4.	評量表設計	30
4.1.	決定問卷型態及實施方式	31
4.2.	發展問項主體	31
4.3.	發展問項	32
4.4.	決定問項的順序與架構	34
4.5.	國內專家調查	35
4.6.	專家調查問項篩選	37
4.7.	國內專家個別訪談	38
4.8.	問項增列與修正	38
5.	資料分析	41
5.1.	施測對象	41
5.2.	問卷回收	42
5.3.	問卷的信度與效度	42
5.3.1.	信度分析	42
5.3.2.	效度分析	43
5.4.	分析與討論	43
5.4.1.	各組對照分析	43
5.4.2.	綜合比較	47
6.	結論與建議	57
6.1.	研究結論	57
6.2.	研究限制	58
6.3.	未來研究方向	59
7.	參考文獻	60
8.	附錄	66
8.1.	IT Security ABC’s — Terms and Concepts	66
8.2.	德菲法前三回合數據整理	75
8.3.	德菲法第四回合數據整理	90
8.4.	評量表初稿	97
8.5.	資訊安全認知衡量表專家調查問卷	103
8.6.	評量表完稿	119
圖目錄
圖 2.1	資訊安全流程圖 (The process of information security)	6
圖 2.2	資訊及相關技術的管理、控制與稽核(COBIT)架構	12
圖 2.3	NIST SP 800-16的資訊安全學習歷程	14
圖 2.4	NIST SP 500-172 的Training Matrix	17
圖 3.1	本研究之流程與步驟	23
圖 4.1	評量表設計流程	30
圖 4.2	資訊安全認知評量表架構	35
圖 5.1	不同資訊安全訓練之人員認知程度比較	49
表目錄
表 2.1	認知(awareness)、訓練(training)與教育(education)三階段的比較	15
表 2.2	ABC’s of Information Technology Security	18
表 2.3	資訊安全素養課程架構與ABC’s of Information Technology Security整理對照	19
表 3.1	本研究問卷設計步驟使用到的方法整理	22
表 4.1	兩組德菲法Kendall's W檢定值	32
表 4.2	Kendall's W Value小於0.5之概念說明	32
表 4.3	專家問卷調查說明	36
表 4.4	專家調查同意各概念所預設的問項組合比例	37
表 4.5	問項組合篩選說明	38
表 4.6	專家訪談挑選	39
表 4.7	專家由NIST定義挑選出之關鍵詞句問項	40
表 5.1	施測對象各組說明	41
表 5.2	各組問卷回收情況	42
表 5.3	甲大學資管所分組資料統計值	43
表 5.4	乙傳統建築公司分組資料統計值	44
表 5.5	丙人壽業分組資料統計值	45
表 5.6	甲大學職員分組資料統計值	47
表 5.7	有無受過資訊安全訓練分組資料統計值	48
表 5.8	各組資訊安全認知程度概念等級	50
表 5.9	各大類排名分析	51
表 5.10	各組回答「是」的人數的比較分析	53
表 5.11	問項檢視百分比較差的問項	54
表 5.12	問項較困難之列舉	54
表 5.13	專家訪談挑選之問項問項難度高低	55
表 5.14	專家由NIST定義挑選出之關鍵詞句問項問項難度高低	55

1.	Anderson, J. M., Why we Need a New Definition of Information Security, Computers & Security, 2003, Vol.22, No.4, pp.308-313.
2.	Bailey, K. D. Methods of social Research, 3rd ed., New York: The Free Press, 1987, pp107-110.
3.	BS7799-1:2000, Information Security management systems-Part1, Code of practice for information security management, 2000.
4.	BS7799-2:2002, Information Security management systems –Part2, Specification with guidance for use, 2002.
5.	Chitu Okoli*, Suzanne D. Pawlowski., The Delphi method as a research tool: an example, design considerations and applications, Information & Management, 2004, Vol.42, pp15-29.
6.	COBIT (1998), Governance, Control and Audit for Information and Related Technology, 3rd Edition Control Objectives.
7.	Delbecq, A. L., Van deVen, A. H., & Gustafson, D. H, Group techniques for program planning: A guide to nominal group and Delphi processes, 1975, Glenview, IL: Scott, Foresman & Company.
8.	Dhillon, G.., & Backhouse, J. Information system security management in the new millennium. Communications of the ACM, 2000, Vol.43, No.7, pp125-128.
9.	Eric Maiwald, Fundamentals of Network Security, 2004, IL U.S.A: McGraw-Hill Technology Education Inc., pp203-203.
10.	Gollmann. D, Computer Security, 1999, John Wiley & Sons Ltd.UK..
11.	Hinde, S., If You Can Meet With Triumph and Disaster and Treat Those Two Impostors Just the Same…., Computers & Security, 2001, 20, PP.657-666.
12.	HIPAA Administrative Simplification – Security, http://www.cms.hhs.gov/hipa a/hipaa2/regulations/security/03-3877.pdf
13.	Jinx P, Walton, Developing an Enterprise Information Security Information Security Policy, Proceedings of the 30th annual ACM SIGUCCS conference on User services, Rhode Island, USA, and November 20-23, 2002.
14.	Kankanhalli, A. , Teo, H. H. , Tan, B. C. Y. & Wei, K. K. (2003), An Integrative Study of Information System Security Effectiveness, International Journal of Information Management, 2003, 23, pp.139-154.
15.	Krutz, Ronald L., Russell Dean Vines. The CISSP Prep Guide. New York: John Wiley & Sons, Inc., 2001, pp1-26.
16.	Linston, H.A. & Turoff, M., The Delphi method, techniques and applications. Reading, 1975, MA: Addison-Wesley.
17.	Moulton, R, A Strategic Framework for Information Security Management, Proceedings of the 14th Computer Security Conference, Washington D.C., October 1991.
18.	NIST Special Publication 500-172, Computer Security Training Guide, November, 1989.
19.	NIST Special Publication 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model, April, 1998.
20.	NIST Special Publication 800-50, Building an Information Technology Security Awareness and Training Program, October, 2003.
21.	NIST, http://www.nist.gov/ 
22.	Nunnally, J. C. Psychometric Theory (2 nd ed). New York: McGraw-hill, 1978.
23.	Pfleeger, C. P., Security in Computing, 2nd ed., Prentice Hall PTR : NJ.USA
24.	Rubin, A., & Babbie, E.. Research methods for social work (2nd ed). Pacific Grove, CA: Brooks/Cole, 1993.
25.	Rusell, D. & Gangemi, G. T., Computer Security Basics, California, U.S.A., O’Reilly & Associates Inc, 1992.
26.	S. Siegel, N.J. Castellan Jr., Nonparametric Statics for the Behavioral Sciences, McGraw-Hill, New York, 1988.
27.	Schneider, E. C. and G. W. Therkalsen, How Secure Are Your System? , Avenues To Automation, 1990, November, pp.68-72.
28.	Schultz, E. E., Proctor, R. W., Lien, M. C. & Salvendy, G., Usability and Security An Appraisal of Usability Issues in Information Security Methods, Computer & Security, 2001, Vol.20, No.7, PP.620-634.
29.	Smith, M., Computer Security-Threats, Vulnerabilities and Countermeasures, Information Age, 1989, October, pp.205-210.
30.	Verton, D., Disaster recovery planning still lags, Computer world, 2002, Vol.36, No.14, pp10.
31.	Wood, Charles Cresson, CISSP, CISA. Information Security Policies Made Easy, 1999, Version 7. San Deigo: PentaSafe Security Technologies, Inc.
32.	方怡文，「2004年我國資訊安全市場發展現況與趨勢」，2005 ， 資策會資訊市場情報中心，2005/8/27。
33.	尤焙麟、謝侑純與王子敬譯（2002），Maiwald, E.原著（2001），網路安全入門手冊，美商麥格羅、希爾國際公司台灣分公司。
34.	王文科，教育研究法，2002，第七版，台北：五南圖書出版社。
35.	王宇平整理，「BS7799f企業資訊安全管理認證」 ，2001年6月，http://www.informationsecurity.com.tw/feature/view.asp?fid=79。
36.	台灣BSi網站，http://asia.bsi-global.com/Taiwan+InformationSecurity/Share ISMS/index.xalter。
37.	行政院國家資通安全會報，「建立我國通資訊基礎建設安全機制計畫」，93年3月。
38.	吳明隆、涂金堂，SPSS與統計應用分析，2005，台北市：五南。
39.	吳俊德，ISO 17799資訊安全管理關鍵重點之探討，國立中正大學企業管理研究所碩士論文，民91。
40.	吳琮璠，「國外政府機構資訊系統安全稽核制度」，存款保險資訊季刊，1996，第10卷，第2期，PP.21-40。
41.	吳齊殷譯，Robert F. DeVellis著，量表發展：理論與應用，1999，台北：弘智文化。
42.	呂以榮譯，A. N. Oppenheim著，問卷設計、訪談及態度測量(新版)，2002，台北：六合出版社。
43.	李東峰，企業資訊安全控制制度之研究，第三屆全國資訊管理博士生聯合研討會論文集，2001，pp.1-22。
44.	周文欽，研究方法：實徵性研究取向，2002，台北：心理出版社。
45.	林羿分，「2005年我國中小企業資訊安全應用調查分析」，2005 ，資策會資訊市場情報中心，2005/10/17。
46.	洪國興，資訊安全「影響因素與評估模式」之研究，國立政治大學資訊管理研究所，博士論文，民92。
47.	洪夢霜，「資安顧問、委外服務市場漸成形」，http://taiwan.cnet.com/news/ software/0,2000064574,20095281,00.htm， 2004/12/8。
48.	美國 HIPAA 資訊安全規範, 暨大計中作業組相關法規, http://ccop.cc.ncnu. edu.tw:8088/ccop_regulations.htm
49.	國家資訊安全通報中心，「政府機關資訊安全問卷調查」報告， http://www. dg bas.gov.tw/ct.asp?xItem=9022&ctNode=418。
50.	張紹勳，研究方法，第三版，民93，滄海，台中市。
51.	陳長榮、陳俊昌（2002），企業E-mail的安全管理，資訊與電腦，2002年9月，pp. 90-93。
52.	傅仰止、田芳華譯，Floyd J.& Fowler, Jr.著，改進調查問題：設計與評估，民88，台北：弘智文化。
53.	黃亮宇，資訊安全規劃與管理，1992，松崗電腦圖書公司。
54.	黃鈴翔，台灣地區數位電影之現況與發展研究，臺灣師範大學圖文傳播研究所碩士論文，民92。
55.	黃慶堂，我國行政機關資訊安全管理之研究，國立政治大學公共行政學系碩士論文，民88。
56.	萬幼筠，企業的網路安全控管與風險評估，會計研究，第184期，pp.82-90，民90。
57.	虞金燕、鄭祥勝，「資訊安全發展趨勢與科專研發方向建議」，2001，財團法人資訊工業策進會。
58.	劉永禮，以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究，元智大學工業工程與管理學系碩士論文，民90。
59.	劉智勇，「淺談BS7799及其導入步驟」，2004年3月，http://www.ringline.com. tw/epaper/BS7799.htm。
60.	蔡忠翰，政府部門資訊安全管理之研究，國立政治大學公共行政研究所，碩士論文，民92。
61.	蔡興樺，「政府機關見招拆招 ~建構數位平台 提升公文處理效率」，資安人科技網，http://www.isecutech.com.tw/feature/view.asp?fid=382，2003/3/5。