近年來全球資訊安全事件頻傳，犯罪手法不斷翻新，造成的損害影響甚鉅。為保護企業持續營運，企業領導人負有實施資訊安全之責，而國際認證的資訊安全管理系統ISMS（ Information Security Management Systems ），便是一套能有效控制與持續運作的系統化管理機制。本研究目的在瞭解組織導入資訊安全管理系統時，組織需要有那些配套措施或必備的條件才能使制度發揮其功效。本研究採用了質性研究的訪談法，以適應性結構化理論角度，選取四間公司為研究對象，從實際導入ISMS 的經驗中，發現組織應具備哪些互補性資產與關鍵成功因素。研究結果不但呈現導入期間的困難與解決方式。

In recent years, the number of cyber (information security) attacks has been increasing all over the world and such attacks are constantly evolving and cause huge damage. In order to protect the operation of enterprises, the enterprise leaders have the responsibility to take information security measures. The internationally certified ISMS (Information Security Management Systems) is a systematic management mechanism for achieving effective control and continuous operation. The purpose of this study is to understand, when introducing ISMS, what supporting measures or conditions the organization will need in order to effectively implement the system. This study is based on qualitative research carried out by interviews, and from the aspect of the adaptive structural theory, four companies have been chosen as the study objects. This study is to find what complementary assets and critical success factors are required for the organization from the experience of actually introducing ISMS. The results show the difficulties during introduction and the solutions.

目　次
目　次	IV
表目錄	V
圖目錄	VII
第一章	緒論	1
第一節　研究背景與動機	1
第二節　研究目的	5
第二章	文獻探討	8
第一節　資訊安全管理系統	8
第二節　適應性結構化理論	14
第三節 關鍵成功因素	23
第四節 互補性資產理論	33
第三章	研究方法	38
第一節 研究架構	38
第二節 研究方法	39
第三節 研究流程	42
第四節 訪談對象簡介	44
第五節 資料分析與收集方法	49
第四章	資料研究與分析	53
第一節 資料分析	53
第二節 發現與比較	95
第五章	研究探討與結論	100
第一節 研究發現	100
第二節 管理建議	104
第三節 研究建議	105
第四節 結論	106
參考文獻 	………………………………………………………………………108
 
表目錄
表2-1　ISO 27001:2013版與2005版標準列表	13
表2-2　適應性結構化理論命題	19
表2-3相關文獻列表	20
表2-4相關定義列表	24
表2-5相關定義列表	27
表2-6其他在學術上被提及的互補性資產	35
表3-1質性研究法的比較	40
表3-2個案研究類型與本質	41
表3-3個案研究法之建構理論程序與本研究流程執行步驟對照表	41
表4-1：第0階段的目的與常見問題	66
表4-2：第1階段的目的與常見問題	68
表4-3：第2階段的目的與常見問題	70
表4-4：第3階段的目的與常見問題	72
表4-5：第4階段的目的與常見問題	74
表4-6：第5階段的目的與常見問題	77
表4-7：第0階段的常見問題與改善方法	79
表4-8：第1階段的常見問題與改善方法	81
表4-9：第2階段的常見問題與改善方法	83
表4-10：第3階段的常見問題與改善方法	85
表4-11：第4階段的常見問題與改善方法	87
表4-12：第5階段的常見問題與改善方法	89
表4-13：各階段關鍵成功因素	90
表4-14：關鍵成功因速分析與構面分類	92
表4-15：各階段互補性資產	94
表4-16：各階段互補性資產與學者分類比較	96
表4-17：以AST理論歸納分類導入ISMS之關鍵成功因素與互補性資產	97
圖目錄
圖2-1　適應性結構化流程概觀圖	16
圖2-2　適應性結構化理論主要架構圖	16
圖3-1　本研究理論架構圖	39
圖3-2　研究流程圖	42

參考文獻
一、	中文文獻
1.	王文科(1990)。教育研究，台北：五南。
2.	王貴民, 韓慧林, 陳建任, 李承漢, 陳鼎元, & 洪全緯. (2010). 國防資訊安全管理系統之導入專案管理模式建構. 國防雜誌 National Defense Journal, 25(6), 24-36. doi:10.6326/NDJ.2010.25(6).3 
3.	古永嘉譯，企業研究方法，華泰書局，台北，2003年。
4.	田效文(Shiaw-Wen Tien), 陳秀玲(Hsiu-Lin Chen), 黃文聰(Wen-Tsung Hwang), & 顏榮甫(Rong-Fu Yan). (2011). 中小企業資訊安全診斷之個案研究. 馬偕學報, (8), 19-49. Retrieved from AiritiLibrary database. 
5.	吳俊德（2002），ISO 17799 資訊安全管理關鍵重點之探討，國立中正大學企業管理研究所。
6.	吳琮璠、謝清佳，資訊管理-理論與實務，台北：智勝，2002年。
7.	吳萬益,林清河(2000)。企業研究方法。台北市：華泰。
8.	呂長民(2003)。行銷研究：研究方法與實例應用(四版)。臺北市：前程企業管理。
9.	周宣光 (2000-03)，虛擬實境系統開發模式與應用,技術學刊,15(1), 第79-87頁。
10.	周宣光，管理資訊系統-管理數位化公司 (Management Information Systems:Managing the Digital Firm, 7th Ed.)，東華，2007 年 9 月 12 日。
11.	林宜隆(I-Long Lin), 張文耀(Wun-Yao Chang), & 劉耿旭(Geng-Shiu Liou). (2013). 建構個人資料保護之數位證據鑑識標準作業程序. 電腦稽核, (27), 136-148. Retrieved from AiritiLibrary database. 
12.	林宜隆(I-Long Lin), 謝宗翰(Tsung-Han Hsieh), 黃正宇(Cheng-Yu Huang), & 廖女清(Neu-Ching Liao). (2014). Iso 27002與iso 27799之比較分析―以醫療機構為例. 管理資訊計算, 3(2), 331-344. doi:10.6285/MIC.3(2).23 
13.	林昆平(Kun-Ping Lin). (2014). iso27001資訊安全品質管理系統風險評鑑作業經驗分享（上）. 品質月刊, 50(1), 23-27. Retrieved from AiritiLibrary database. 
14.	林昆平(Kun-Ping Lin). (2014). iso27001資訊安全品質管理系統風險評鑑作業經驗分享（下）. 品質月刊, 50(2), 35-38. Retrieved from AiritiLibrary database. 
15.	林東清，資訊管理-ｅ化企業的核心競爭力，台北：智勝，2010年。
16.	林金定、嚴嘉櫥與陳美花(2005)。質性研究方法：訪談模式與實施步驟分析，身心障礙研究，3(2)，122-136。
17.	林展慶，德菲法與模糊邏輯知識整合模式於軍事課程績效評估之研究，成功大學工業與資訊管理學系碩士論文，2008年。
18.	胡瑞賢. (2010). 資訊安全風險評估模式之研究―以某半導體封裝公司為例（下）. 電腦稽核, (22), 1-22. Retrieved from AiritiLibrary database. 
19.	高新發（2006），德菲法，刊於管倖生編，設計研究方法，台北市: 全華出版社。
20.	張士龍（2007），政府部門導入ISO27001 關鍵成功因素之研究，世新大學資訊管理學系。
21.	曹惠琴（2005），企業導入BS 7799 之關鍵成功因素，國立高雄第一科技大學資訊管理所。
22.	莊裕澤，「資訊安全管理認證制度」，民國九十二年十一月。
23.	許瑋麟(Wei-Lin Hsu), 郭仁宗(Ren-Chung Kuo), & 何玉菁(Yu-Ching Ho). (2014). 台灣企業實施資訊安全管理系統關鍵成功因素調查. 慈濟技術學院學報, (22), 95-107. Retrieved from AiritiLibrary database. 
24.	陳向明(2000)。教師如何作質的研究。臺北市：洪葉文化。
25.	陳信章（2004），服務業推動BS7799認證關鍵因素之研究，國立中正大學資訊管理學系。
26.	楊欣哲(Shin-Jer Yang), & 林裕倫(Yu-Lung Lin). (2014). 企業資訊網站設計之資訊安全的評估模式與評量工具之研究. 資訊管理學報, 21(2), 107-137. Retrieved from AiritiLibrary database. 
27.	葉乃菁、李順仁，網路安全理論與實務，台北：文魁資訊，2004年。
28.	葉桂珍與張榮庭 (2006), 企業之資訊安全策略與其產業別及電子化程度關係探討, 資訊管 理學報 13(2), 第 113-143 頁。
29.	資訊安全管理制度風險評估手冊，行政院國家資通安全會報技術服務中心，2002年。
30.	管倖生 等著 (2009)，《設計研究方法Design research methods》(第二版)，台北：全華圖書出版公司。
31.	潘淑滿(2003),質性研究：理論與應用，台北：商鼎文化。
32.	蔡培村、鄭彩鳳與張秀娟(2012)。公立博物館經營績效評估指標建構之研究。管理學報，29(3)，187-206。
33.	鍾惠琦（2004），影響國內醫院導入與發展資訊安全管理系統關鍵因素之研究，國立中正大學醫療資訊管理所。
34.	韓慧林 (H. L. Hai), 王貴民 (K. M. Wang), 劉佩葶 (P. T. Liu), 蔡齡葦 (J. Tsai), 劉姵吟 (P. Y. Liu), & 方鄒如 (T. R. Fang). (2013). iso27001認證之關鍵成功因素評估. 危機管理學刊 , 10(1), 21-32. Retrieved from AiritiLibrary database.
35.	韓慧林, 王貴民, 黃昭盈, 林金燕, & 許詩屏. (2013). 以時間柵欄評估iso 27001認證之關鍵成功因素. 全球商業經營管理學報, (5), 189-199. Retrieved from AiritiLibrary database. 
36.	羅英嘉，CISSP與資訊安全基礎技術，台北，資策會，2008年。
37.	藩國楨，謝麗珠，et al. 資訊安全治理(ISG)與資訊安全管理系統(ISMS)實作初探：根基於ISG框架之策略校準(中)。
38.	蘇文彬(民105年7月12日)。一銀ATM遭駭事件大剖析。iThome電子報。民105年7月12日，取自 http://www.ithome.com.tw/news。
39.	蘇耿弘（2002），以BS7799為基礎探討石化產業導入資訊安全管理機制之關鍵因素，國立中正大學資訊管理學系。
40.	Information Security 資安人科技網，「從金融資安事件談 BS7799 之應用」，作者：BSI 英國標準協會 大中國區訓練經理/主導稽核員，民國九十三年二月九日。

二、	英文文獻

1.	Baronas, A. & Louis, M. (1988) Restoring a sense of control during implementation: how user involvement leads to system acceptance. MIS Quarterly, 12(1), pp.111-123.
2.	Baroudi, J. J., Olson, M. H. and Ives, B. (1986) “An empirical study of impact of user involvement on system usage and information satisfaction”, Communications of the ACM, 29 , 3 , pp.232-238.
3.	Björck, F., "Insititutional theory: a new perspective for research into IS/IT security in organizations.", Proc. of the 37th Hawaii Conference on System Sciences, pp.1-5 (2004).
4.	Bullen, V. L. and Rockart, J. F. , 1984 , A primer on critical success factors, CISR Working Paper, No. 69, SSM/MIT.
5.	Creswell, J. W. (1994). Research Design： Qualitative & Quantitative Approaches,Newbury Park： Sage.
6.	Dalkey, N., and Helmer, O., “An Experimental Application of the Delphi Method to the Use of Exports”, Managem
7.	 David J. Teece (1986), Research Policy Vol, 15, Iss 6, PP 285-352.
8.	Davis, F. D. (1989a). Perceived usefulness, perceived ease of use, and user acceptance of information technology. MIS Quarterly, 13(3), pp.319-340.
9.	Davis, F. D., Bagozzi, R. P., & Warshaw, P. R. (1989b). User Acceptance of Computer Technology：A Comparison of Two Theoretical Model . Management Science, 35(8), pp.982-1003.
10.	DeSanctis, G. & M.S. Poole, "Capturing the Complexity in Advanced Technology Use: Adaptive Structuration Theory", Organization Science, Vol.5, No.2, pp.121-147 (1994).
11.	Easter C. K. Huang, & Chung-Jen Chin. (2014). New risk analysis method for information system security. 資訊安全通訊, 20(4), 23-40. Retrieved from AiritiLibrary database. 
12.	Eisenhardt, K.M. 1989. Building theories from case study research. The Academy of Management Review, 14(4): 532-550.
13.	Ferguson, C.R. & R.Dickinson (1982). Critical Success Factor for Directors in the Eighties, Business Horizons, PP.14-18.
14.	Fichman & Nambisan, 2010 , "Deriving Business Value from IT Applications in Product Development: A Complementarities-Based Model"
15.	Giddens, Anthony, Central Problems in Social Theory: Action, Structure and Contradiction in Social Analysis, Macmillan Education Ltd, 1979.
16.	Goodhue D.L. & Straub D.W., "Security concerns of system users- A study of perceptions of the adequacy of security.", Information & Management, Vol. 20, Iss.1, pp.13-27(1991). 22
17.	Hinde S., "The law, cybercrime, risk assessment and cyber protection.  " , Computers & Security, Vol. 22, No.2, pp. 90-95 (2003).
18.	Hinde, S., If you can Meet with Truimph and Disaster and Treat Those Two Impostors Just the Same., Computers & Security, 2001.
19.	Hinde, S., Security Surver Spring Corp, Computers & Security, Vol.21, No.4, 2002, PP.310-321.
20.	ISO 27001:2013，https://www.itgovernance.co.uk/iso27001
21.	Jenster, P.V. (1987), “Using Critical Success Factors in Planning”, Long Rang planning, Vol.20, No.4, PP. 102-109.
22.	Keen, Peter G. W. (1993). Information technology and the management difference: a fusion map. IBM Systems Journal, 32(1), pp.17-39. 
23.	Ketteringham, John M., Nayak, P. Ranganath (1993) Breakthroughs! How the Vision and Drive of Innovators in Sixteen Companies Created Commercial Breakthroughs that Swept the World, Rawson Assoc.
24.	Laudon Kenneth C., Laudon Jane P.,"Management Information Systems", 2003.
25.	Leavitt, H. J. (1965). Applied organizational change in industry: structural, technical and humanistic approaches, in March, J. G. (ed.), Handbook of Organizations, 1144-1170.
26.	Linstone, H. A., and Turoff, M., “The Delphi Method: Techniques and Applications”, Addison-Wesley, 1975.
27.	Majed Al-Mashari and Mohamed Zairi,” Creating a Fit between BPR and IT Infrastructure: A Proposed Framework for Effective Implementation”, The International Journal of Flexible Manufacturing Systems, 12, pp.253–274, 2000.
28.	Parker, D. B. (1997). Information Security in a Nutshell, InformationSecurity Journal: A Global Perspective, 6(1), 14-19.
29.	Powell, T. C., & Dent-Micallef, A. (1997). Information technology as competitive advantage: The role of human, business, and technology resources. Strategic Management Journal, 18(5), 375-405.
30.	Schneider , Eugene C. and Gregory W.Therkalsen 1990 How Secure Are Your System?Avenues To Automation,November :pp 68-72.
31.	Teece, D. (1986) “Profiting from Technological Innovation: Implications for Intergration, Collaboration, Licensing and Public Policy.”
32.	Teece, D., Pisano, G. and Shuen, “Dynamic capabilities and strategic management”, Strategic Management Journal, forthcoming, 1997.
33.	Yin, R. K. (1994).Case study research: design and methods. Thousand Oaks: Sage.