加入世貿組織為我國銀行業帶來契機，惟也帶來嚴峻挑戰，其中金融資訊安全問題最為關鍵，當經濟全球化後首先是資訊全球化，隨著各方面進入資訊時代，在銀行業廣泛運用資訊化中扮演著非常重要的角色；銀行業是國民經濟發展的核心與樞紐，涉及到社會生活的種種，一旦有相關安全案件發生，將會引發信用危機，造成社會不穩定。
　　銀行業是資訊技術投入最多和應用最高的行業之一，其資訊技術應用層面，幾乎涵蓋了所有現行資訊產品，在銀行經營管理考量安全性、營利性、流動性等原則中，對於銀行的興衰成敗有著舉足輕重的意義；在資訊作業已經滲透到銀行經營的各個層面，成為銀行業務開展的基礎設施和基本要求，故金融資訊安全是銀行經營管理工作中的重大關鍵，因為金融是關係到國計民生的重要行業，金融系統的安全可靠營運是經濟發展、社會安定的重要保證。
　　銀行業經營理念轉至客戶為中心，擴大金融產品、提升金融服務品質，而這一切的基礎就是金融資訊化建設，為保護自身與客戶資料等重要資產，紛紛遵照財政部、經濟部、法務部等政府單位訂定的各種法令，建立切合銀行本身的自有資訊安全政策策略，而銀行自訂的資訊安全政策應該是一份詳盡的文件，記載著銀行對於資訊財產方面的保護措施，利用這份文件來做到內部安全控管以及加強員工訓練，使得此安全政策可以由上至下加以貫徹，達到良好的安全管理機制。
　　金融資訊化建設的安全架構，必須遵循政府主管機關財政部要求，及法令制定部門頒布的法律，同時在因應世貿組織策略上，更必須了解歐美重要的金融法案與相關訊息，調整銀行本身的經營策略與資訊安全政策，提昇與世界同業的競爭力以求生存，然而以資訊安全這個重要議題在內部控制與資訊治理上，政府與銀行間究竟存在何種的互動關係，這就是本文要研究的議題。

The accession to the World Trade Organization (WTO) brings the turning point for our country’s banking industry.  But, it also brings severe challenges, in which the financial information security problem is most essential.  Information is the first globalized after the economic globalization has been done.  As everything enters the information epoch, it plays extremely important role to widely utilize information in the banking industry.  The banking industry is the core and key for national economy development.  It involves everything in social life.  Once any case relevant to information security takes place, the credit crisis will be caused and it will make the society unstable.
　　The banking industry is one of the industries which most highly invested and utilized the information technology (IT).  The application of IT has nearly covered all present information products.  Under the principle of bank management’s security, beneficial and fluidity, it will significantly impact success or failure of the bank.  While the information operation has already permeated to bank management in all aspects, it becomes the infrastructure and the basic request for the bank’s sales expansion.  Therefore, the financial information security is significant key point in the bank’s management.  The banking industry is so important, it relates to whole country’s economy and the people's livelihood.  The security and reliable operation of financial system is important guarantee for economy development and the social stability.
　　The management principle of banking industry is converted to treat customer as the center of everything.  To expand the financial product and improve its service quality, the foundation is financial informationization construction.  To protect herself and customer’s data and important property, the banks follow the laws drawn up by the government authorities, like Ministry of Finance, Ministry of Economic Affairs, and Ministry of Justice and so on, and establish their own information security policy and strategy.  The strategy should be an exhaustive document. It records the protective measures on bank’s information property.  The bank uses this document to achieve the internal security control as well as to enhance staff’s training.  It makes the security policy to be full implement from top to down and reach the good system of security management.
　　The security frame for the financial informationization construction must follow the requirement of government authorities - Ministry of Finance, and obey the law promulgated by Law Department.  In accordance to the WTO strategy simultaneously, it’s necessary to understand European and American important financial laws and regulations, as well as the relevant news.  To adjust bank’s management strategy and the information security policy, and to promote competition in the global banking industry for survival. However, based on this important subject about information security for internal control and the information management, what kind of interactive relation will be there between the government and the bank?  It is the topic that we are going to study in the text.

目次
謝辭	I
中文摘要	II
英文摘要	III
目次	IV
表目錄	V
圖目錄	VI
第一章 緒論	1
第一節 研究動機與目的	1
第二節 研究範圍與架構	3
第三節 研究方法與限制	6
第四節 文獻探討	9
第二章 政府推動資訊安全政策之規範	17
第一節 資訊安全政策架構之規範	17
第二節 導入資訊安全政策之挑戰	28
第三章 稽核因應資訊安全之建構	39
第一節 內外部稽核機制之簡介	39
第二節 對資訊安全實施之因應	51
第四章 落實資訊安全之實施	62
第一節 資訊安全管理概述	62
第二節 落實資訊安全因素	74
第五章 結論	87
參考文獻	94
附錄	103

表目錄
表1 1　探討資訊系統安全領域之相關資料	6
表2 1　全球通過ISO 27001認證單位數	29
表3 1　最近年度檢查業務計畫及執行情形	44
表3 2　2008年重大銀行裁罰案件	52
表3 3　預計2008年度資安防護經費佔資訊總預算比例	56
表3 4　金融控股公司之子公司情形	57
表3 5　依BS7799章節編制文件表	60
表4 1　BS 7799資訊安全管理系統演進	64
表4 2　ISO/IEC 27001:2005管理要項參考表	68
表4 3　法令遵循、內部控制與內部稽核之比較	80
表4 4　資訊安全標準比較表	85

圖目錄
圖1 1　研究架構圖	5
圖1 2　COSO的內部控制整合性架構圖	12
圖2 1　建立我國通資訊基礎建設安全機制計畫範圍	19
圖2 2　資安規範藍圖之發展架構	20
圖2 3　CNS 17800之PDCA過程	23
圖3 1　金管會組織架構圖	41
圖3 2　檢查局機關組織架構圖	43
圖3 3　銀行的內部控制制度管理與運作範圍圖	46
圖3 4　風險部門與內部稽核的區分圖	54
圖4 1　資訊安全管理系統管理要項架構圖	67
圖4 2　資訊安全風險管理流程圖	73
圖4 3　資訊安全管理系統過程框架	74
圖4 4　資訊處組織圖	77
圖4 5　馬斯洛需求理論與資訊治理框架發展順序	84

一、書籍
(一)中文
1、巴塞爾委員會，Enhancing Bank Transparency強化銀行透明度，巴塞爾委員會，1998。
2、巴塞爾委員會，FRAMEWORK FOR INTERNAL CONTROL SYSTEMS IN BANKING ORGANISATIONS銀行組織內部控制系統架構，巴塞爾委員會，1998。
3、王文宇，金融法，台北：元照公司，2007。
4、伍忠賢，公司治理的第一本書，台北：商周公司，2003。
5、行政院國家資通安全會報，建立我國通資訊基礎建設安全機制計畫（94年至97年），台北：行政院國家資通安全會報，2004。
6、行政院科技顧問組，資安推動發展政策整合研究-資安治理機制與資安建設持續發展規劃，台北：行政院科技顧問組，2007。
7、吳玲玲，政府機構資訊安全防護概況調查報告，台北：行政院主計處，2008。
8、李仁暉，台灣金融業導入資訊安全管理系統關鍵成功因素研究-以A金控為例，淡江大學管理科學研究所碩士論文，2008。
9、林鈴玉，國內網路銀行現況發展及交易安全之研究，交通大學資訊管理學程碩士論文，2001。
10、林文遠，政府機關資訊系統維運概況調查報告，台北：行政院主計處，2008。
11、金融聯合徵信中心，金融與徵信叢書電腦處理個人資料保護法，台北：金融聯合徵信中心，1996。
12、姚子青，中央銀行外匯資產之風險管理-談內部控制與內部稽核，台北：行政院及所屬各機關出國報告，2004。
13、洪裕傑，企業資訊安全風險評估-以電腦病毒為例，政治大學資訊管理研究所碩士論文，2005。
14、徐廣寅，資訊安全管理導論，台北：金禾資訊公司，2004。
15、張玉敏、賴淑萍，現代內部稽核概述，台北：行政院及所屬各機關出國報告，2006。
16、郭志賢，以BS 7799為基礎評估大學資訊中心之資訊安全管理-以淡江大學為例，淡江大學資訊管理研究所碩士論文，2003。
17、郭祐誠，資通安全治理之研究-以民間企業為例，淡江大學資訊管理研究所碩士論文，2007。
18、陳文棠，我國資訊電子產業遠景規劃前瞻報告，台北：資訊工業策進會，2006年11月，頁6。
19、陳俊彥，以量化軟體度量指標支援CMMI模式的導入與評鑑，台灣科技大學資訊管理學研究所碩士論文，2003。
20、陳春山，金融改革及存保法制之研究，台北：元照公司，2004。
21、彭勝鍠，台灣中大型企業之IT治理與IT服務管理的探討，清華大學高階經營管理研究所碩士論文，2007。
22、曾淑惠，以BS 7799為基礎評估銀行業的資訊安全環境，淡江大學資訊管理研究所碩士論文，2002。
23、黃國欽，公部門資訊安全治理，高雄第一科技大學資訊管理研究所碩士論文，2006。
24、黃銘傑，公開發行公司法制與公司監控－法律與經濟之交錯，台北：元照公司，2001。
25、經濟部標準檢驗局，資訊技術-資訊安全管理系統規範CNS 17800，台北：經濟部標準檢驗局，2002。
26、資訊工業策進會，九十四年度國家資通安全技術服務與防護管理計畫資安規範整體發展藍圖，台北：資訊工業策進會，2005。
27、資訊工業策進會，安全評估規劃報告V1.02(行政院研考會電子化政府共通作業平台規劃委外服務案)，台北：資訊工業策進會，1994。
28、資通安全報告書編纂委員會，2001年資通安全報告書，台北：國家資通安全會報技術服務中心，2001。
29、銀行局和金融研究發展基金管理委員會，2006巴賽爾有效銀行監理之核心原則與實施方法，台北：金融監督管理委員會銀行局和金融研究發展基金管理委員會編譯，2007。
30、劉智敏，運用BS 7799建構資訊安全風險管理指標，台北大學企業管理研究所碩士論文，2004。
31、樊國楨，資通安全專輯之五資訊安全風險管理導引，台北：行政院國家科學委員會科學技術資料中心，2002。
32、蕭文生，中央銀行與金融監理，台北：元照公司，2000。
(二)英文
1、Bologna, Jack G.., & Lindquist, Robert J., Fraud Auditing And Forensic Accounting: New Tools Of Auditing , 2nd ed., U.K.: John WILEY &SONS, INC.,1995.
2、Bowen, Pauline., ＆ Hash, Joan., ＆ Wilson, Mark., Information Security Handbook: A Guide for Managers, U.S.A.:NIST SP 800-100(Initial Public Draft), October, 2006.
3、Committee Of Sponsoring Organization Of The Treadway Commission (COSO), Internal Control-Integrated Framework, New York: AICPA, 1992.
4、ISMS International User Group, Number Of Certificates Per Country: International Regi ster Of ISMS Certificates, ISMS International User Group, 2008.
5、Maiwald, Eric., Fundamentals of Network Security, IL U.S.A: McGraw-Hill Osborne Media Inc., 2003.
6、OECD, OECD Guidelines For The Security Of Information Systems and Networks: Towards a Culture Of Security, OECD, 2003.
7、OECD, OECD Principles Of Corporate Governance, Organization For Economic Co- Operation And Development, 2004.
8、World Bank, Corporate Governance: A Framework For Implementation-Overview, World Bank, 1999.
二、期刊網站
(一)中文
1、Blue，「英政府網站資安出岔千萬民眾個資恐遭竊」，http://www.itis.tw/node/2234，最後瀏覽日期：2008年11月25日。
2、Isediror，「英政府資安再出問題，1,200萬民眾個資堪慮」，資安人科技網，2008年11月10日，http://www.informationsecurity.com.tw/ISTF2008/，最後瀏覽日期：2008年11月25日。
3、中央存款保險公司，賠付資產負債缺口情形資料，台北：中央存款保險公司，http://www. cdic.gov.tw/public/Attachment/81171410158.pdf，最後瀏覽日期：2008年11月25日。
4、中央銀行，中央銀行檢查金融機構業務要點第3條，中央銀行網站，http://www.cbc. gov.tw，最後瀏覽日期：2008年11月25日。
5、巴塞爾委員會，巴塞爾資本協定，巴塞爾委員會，http://www.bis.org/publ/index.htm，最後瀏覽日期：2008年11月25日。
6、王健安，「不同金融中介體系與公司治理的關係」，台灣金融財務季刊，第2輯第4期，2001，頁63-88。
7、何全德，「資訊安全控管與偵防-從電子化政府談資訊安全控管與偵防」，資訊安全通訊，第6卷第1期，1999年12月，頁95-98。
8、何宏儒，「政院白皮書：資訊安全專責人力普遍不足」，台北：中央通訊社，2008年3月14日。http://tw.money.yahoo.com/news_article/adbf/d_a_080314_1_v1ev，最後瀏覽日期：2008年11月25日。
9、吳元曜，「對行政院金融監督管理委員會組織法之評析」，台灣本土法學雜誌，第61期，2004，頁116-135。
10、吳旻芳，「稽核人員要能判斷公司風險的輕重緩急」，期貨人季刊，第14期，2006，頁49-51。
11、呂啟元，「論個人資料於共同行銷時之保護-以台新銀行個案為例」，國家政策論壇，第92期，2003，頁196-204。
12、李婉萍、鄭菀瓊，「金融服務百貨化與消費者個人資料之保護-法律與經濟分析之觀點」，法令月刊，第54卷第10期，2003，頁60-76。
13、林傳敏，「電腦稽核-網路世代不能沒有電腦稽核觀念(上)(下)」，企銀報導，18卷6期，2000年6月，頁44-55和18卷7期，2000年7月，頁25-33。
14、林士和，「由風險防制論內部控制與稽核制度」，內部稽核，第52期，2005，頁45-51。
15、林溫琴，「內部控制制度之最新規範」，內部稽核，第54期，2006，頁34-39。
16、法務部，電腦處理個人資料保護法修正草案總說明，法務部全球資訊網，http://www. moj.gov.tw/public/Attachment/622116374334.pdf，最後瀏覽日期：2008年11月25日。
17、金管會，行政院金融監督管理委員會銀行局組織規程第2條，行政院金融監督管理委員會全球資訊網，http://www.fscey.gov.tw/mp.asp，最後瀏覽日期：2008年11月25日。
18、金管會，金控公司設立情形表，行政院金融監督管理委員會全球資訊網，http://www. fscey.gov.tw/competitive/3.1.1金控公司設立情形表.doc，最後瀏覽日期：2008年11月25日。
19、金管會，金管會組織架構，行政院金融監督管理委員會全球資訊網，http://www. fscey.gov.tw/ct.asp?xItem=1833573&CtNode=2120&mp=2，最後瀏覽日期：2008年11月25日。
20、金管會，重大裁罰公布，行政院金融監督管理委員會全球資訊網，http://www.fscey. gov.tw/lp.asp?ctNode=579&CtUnit=218&BaseDSD=4&mp=2，最後瀏覽日期：2008年11月25日。
21、金管會，檢查局機關組織架構，行政院金融監督管理委員會全球資訊網，http://www. feb.gov.tw/ct.asp?xItem=29808&CtNode=266&mp=3，最後瀏覽日期：2008年11月25日。
22、金管會，檢查執行情形，行政院金融監督管理委員會全球資訊網，http://www.feb. gov.tw/ct.asp?xItem=5091590&CtNode=2638&mp=3，最後瀏覽日期：2008年11月25日。
23、美國沙氏法案全文，http://corporate.findlaw.com/industry/corporate/docs/ publ107.204. pdf，最後瀏覽日期：2008年11月25日。
24、馬秀如，「內部控制、內部稽核及內部審核範圍之探討」，主計月報，第521期，1999年5月，頁26-33。
25、馬秀如及李美雀，「內部控制與員工舞弊-理律案的省思」，會計研究月刊，第218期，2004年1月，頁114-130。
26、寇惠植，「稽核與風險管理」，內部稽核，第54期，2006，頁61-68。
27、張日炎，「台灣銀行業的內控與風險管理」，內部稽核，第61期，2007年12月，頁25-29。
28、張宏賓，「金融控股公司共同行銷法令之探討」，集保月刊，第110期，2003，頁3-16。
29、許妙靜，「舞弊防制之計畫與控制要點」，會計研究月刊，第221期，2004年4月，頁122-134。
30、郭兆玲、賴佳誼，「內部稽核於健全風險管理之關鍵角色」，內部稽核，第50期，2005，頁52-58。
31、陳志豪，「鍵入死要錢北市局處網站跑出個資」，聯合報，2008年11月18日，http:// udn.com/NEWS/DOMESTIC/DOM2/4605031.shtml，最後瀏覽日期：2008年11月25日。
32、陳俊德、鄭祐全，「NFC近端服務系統資訊安全政策風險評估之研究」，2008數位科技與創新管理研討會，2008，頁1587-1600。
33、陳美如、梁懷信，「金融控股公司下有關個人資訊隱私權保護之探討」，月旦法學雜誌，第91期，2002，頁271-279。
34、黃達業，「我國金融監理機構之設計與各式可行方案之比較」，國家政策季刊，第1期，2002，頁39-52。
35、黃龍春，「作業風險ABC」，華南金控，第54卷，2007年6月，頁24-34。
36、廖恭仁，「企業符合BS 7799資訊安全的風險管理評估要則」，經營決策論壇，第27期，2001，頁86-88。
37、監察院，財政部糾正案文，台北：監察院，http://www.cy.gov.tw/XMLPOST/xml_di/ attach/0932200576-1.DOC，最後瀏覽日期：2008年11月25日。
38、劉淑茹，「新巴塞爾資本協定下內部稽核之角色」，華南金控，第63期，2008年3月，頁15-21。
39、劉清明，「自我檢視機制乃企業的核心價值」，內部稽核，第58期，2007，頁21-23。
40、樊國楨、徐鈺宗，「數位社會資訊安全管理系統驗證規範初探」，資訊安全論壇，第10期，2003，頁39-50。
41、樊國楨、黃健銘，「重要民生基礎建設與資訊安全-以醫療產業資訊安全之風險管理為例」，經濟部標準檢驗局資料中心外國標準館藏目錄查詢系統，2008年3月31日，頁1-13。
42、歐弘詹，「中小企業資訊安全管理」，企業資安how to系列，台北：國家資訊基本建設產業發展協進會，2008年1月30日，https://www.i-security.tw/topic/ topic_sg.asp?id=125，最後瀏覽日期：2008年11月25日。
43、蔡進財，「我國金融安全網建構之歷程與挑戰」，建華金融季刊，第28期，2005年3月，頁25-54。
44、鄭桓圭，「公司治理與內部控制」，今日會計，第100期，2005，頁57-61。
45、鄧永基，「符合特定等級的資(通)訊安全管理制度(Information Security Management System；ISMS)」，電腦科技雜誌，第88期，2004年3月，http://dbmaker.syscom.com.tw/ Frame_ComputerMagazine.html，最後瀏覽日期：2008年11月25日。
46、盧文聰，「新巴塞爾資本協定下內部稽核新挑戰」，內部稽核，第50期，2005，頁10-13。
47、賴鈺城、陳賢名，「金融風險管理機制-銀行之公司治理」，財稅研究，第36卷第5期，2004，頁頁156-168。
48、薛明玲，「內部稽核的最佳實務」，內部稽核，第55期，2006，頁30-33。
49、薛翔之、彭禎伶，「金檢大不同 優劣差18個月 高風險者金檢頻率，最短間隔12個月」，工商時報，2008年10月31日，A10，http://news.chinatimes.com/CMoney/News/ News-Page/0,4442,content+120607+122008103100315,00.html，最後瀏覽日期：2008年11月25日。
50、薛翔之、彭禎伶，「金檢缺失，將依業別揭露」，工商時報，2008年11月19日，http://news.chinatimes.com/CMoney/News/News-Page/0,4442,content+120607+122008111900370,00.html，最後瀏覽日期：2008年11月25日。
51、羅贊興、陳逸珊、黃書芸、黃馨儀，「美國企業改革法案(Sarbanes-Oxley Act of 2002)市公司管理制度適用性之探討對我國上市公司管理制度適用性探討(上)」，第505期，證交資料，2004年5月，頁8-34。
(二)英文
1、Barnard, Lynette., & Von Solms, Rossouw., “A Formalized Approach to the Effective Selection and Evaluation of Information security Controls”, Computers ＆ Security, volume 19,number 2,2000,pp. 185-194.
2、Buchanan, Steven., ＆ Gibb, Forbes., “The Information Audit: Role And Scope”, International Journal Of Information Management, volume 27, number 3, 2007, pp. 159-172.
3、Eloff, M. M. ＆ Von Solms S.H., “Information Security Management: An Approach to Combine Process Certification And Product Evaluation,” Computers ＆ Security, volume 19, issue 8, 2000, pp. 698-709.
4、ISO, Information Technology-Security Technigues-Information Security Management Systems-Requirements , ISO/IEC 27001:2005-10-15, 2005.
5、IT Governance Institute, COBIT Mapping: Overview Of International It Guidance 2nd Edition, IT Governance Institute, April, 2006.
6、McManus, John., “Working Towards An Information Governance Strategy”, Management services, volume 48, number 8, 2004, pp. 8-13.
7、Nolan, Richard., & McFarlan, F.Warren., “Information Technology And The Board Of Directors＂, Harvard Business Review, volume 83, number 10, 2005, pp. 96-105.
8、Peterson, Ryan., “Crafting Information Technology Governance”, Information Systems Management, volume 21, number 4, 2004, pp. 7-22.
9、Schwarz, A., & Hirschheim, R., “An Extended Platform Logic Perspective Of IT Gover nance: Managing Perceptions And Activities Of IT＂,Journal Of Strategic Information Systems, volume 12, number 2, July, 2003, pp. 129-166.
10、Sohal. Amrik. S., ＆ Fitzpatrick. Paul., “IT Governance And Management In Large Australian Organizations”, International Journal Of Production Economics, volume 75, number 1-2, 2002, pp. 97-112.
11、Svoronos, Jean-Philippe., “Risk-Focused Supervision: How Is Risk Defined?” , Financial Stability Institute ＆ The Committee Of Banking Supervisors , Switzerland: Basel Com mittee on Banking Supervision, volume 8,number 12,2002,pp. 1-25.
12、Svoronos, Jean-Philippe., “Risk-Focused Supervision: How Is Risk Defined?”, Financial Stability Institute ＆ The Committee Of Banking Supervisors Of West And Central Afri ca, volume 8, number 12, 2002, pp. 1-25.
13、Symantec，“IT Risk Management Report: Trends through December 2006”, volume 1, Published February, 2007, pp. 1-52.
14、Von Solms, Basie., “Information Security Governance: COBIT Or ISO 17799 Or Both？”, Computers ＆ Security, volume 24, number 2, 2005, pp. 99-104.
15、Von Solms, Rossou., ＆ Von Solms, S. H., “Information Security Governance: A Model Based On The Direct-Control Cycle.”, Computer & Security, volume 25, number 6, 2006 , pp. 408-412.
16、Von Solms, S. H., “Information Security Governance-Compliance Management VS. Oper ational Management”, Computer & Security, volume 24, number 6, 2005, pp. 443-447.
17、Warren Samuel & Barandeis Louis, “The Right to Privacy”, Harvard Law Review, volume 5, December, 1890, accessed from http://www.lawrence.edu/fast/BOARDMAW/Privacy _brand_warr2.html, last visited on 25, November, 2008.
18、Weill, Peter., & Ross, Jeanne., “A Matrixed Approach To Designing IT Governance＂,MIT Sloan Management Review, volume 4, number 2, 2005, pp. 26-34.