隨著全球安全事件的層出不窮與資訊化深度的與日俱增，企業在面臨多變詭譎的網路環境，除了希望能建立資訊系統的穩定度，以維持持續性商業化營運外；同時也希望能兼顧投資成本的效益，因此資訊安全委外服務的模式逐漸興起。一項新興資安服務產業-資安監控中心(SOC, Security Operation Center)應運而生。而提供資安監控委外服務廠商(MSSP, Managed Security Service Provider)的產業也因此產生。根據資策會MIC調查，全球2005年資安軟體市場產值是65億美元，至2009年全年資安軟體市場產值將達到100億美元。資安儼然成為目前所有產業刻不容緩的資訊投資。
有別以往過去探討資訊安全產業之研究，大部份都致力於資安技術的探討，即便是對於資安委外的研究，大部份也是著重於類型的研討與介紹。本研究乃透過文獻與產業實務經驗的參考，運用Q方法理論，針對資訊安全委外採購的主要因素，發展出二十五句陳述句，四種不同構面，分析三十位受測IT人員的結果報告，使用Q-分類，並深入研討分析報告，將受測IT人員分為三類型，分別定義為專業技術類，成本法規類暨服務水準流程類。
專業技術類的IT人員多處於政府單位公營機關，同時採用資安委外的經驗比較豐富，所面臨的資安事件也比較針對性，對資安專業技術重視也實事求是；成本法規類則重視法律規範，強調資安事件訊息共享，更重視資安投資，成本控制，此類型之IT人員也多處理管理高層；服務水準類之IT人員多為資訊服務公司成員，如專案經理、資訊顧問等，比較重視服務水準的要求。
此分類的結果，呈現出對於不同產業，不同職務，不同的工作內容，對於資安委外採用的主要選擇有明顯的不同。本研究結果可供目前已採用資安服務，或即將採用資安委外的廠商，提供給企業或組織單位一些參考。

Under incessant global security events and increasing information depth, enterprises want information system stability to keep continuous commercial operation in changeable network environment.  At the same time, they also focus on investment cost effects.  This has led to booming outsourced information security services.  A new information security service industry--, Security Operation Center (SOC) was born, followed by Managed Security Service Provider (MSSP). According to a survey by MIC, Institute for Information Industry, global market value in 2005 is USD6.5 billion, which jumped to over USD10 billion in 2009.  Information security has become an urgent investment in all industries.
Different from earlier studies on information security industry focusing on exploration of information security technologies or discussions and introduction to outsourcing of information security, this study aims at key purchase factors of outsourcing of information security through literature and industry practical experiences and use of Q methodology.  Twenty-five statement sentences and four dimensions are developed to analyze result reports of 30 IT personnel in Q classification.  The IT personnel are divided into three types, defined as professional technology, cost regulations and service level procedure.
Most of professional technology IT personnel work at government institutes, having more experiences in outsourcing of information security and encountered more information security events.  They tend to seek truth from facts.  In cost regulation type, they focus on laws and regulations, emphasizing sharing of information security messages.  They also pay attention to information security investments, cost control.  These IT personnel are often in top management.  Service level IT personnel are often employees such as project managers or information consultants at information service companies.  They focus on service level requirements.
The results of classification show differences of using outsourcing of information security in different industries, positions, and job descriptions.  The findings of the study will serve as reference of companies or organizations that have already adopted or are going to adopt information security services.

第一章	緒論	1
第一節	研究背景與目的	1
第二節	研究流程與架構	2
第二章	資訊安全監控中心介紹與相關文獻探討	5
第一節	SOC之定義與發展	5
第二節	資安事件分析平台	6
一、	SIEM之理論背景	7
二、	事件安全收集器	8
三、	事件資料庫( massage box)	8
四、	關聯式引擎分析及資料庫	10
第三節	資訊安全外包作業	10
一、	為什麼要資訊安全外包	10
二、	資訊安全委外之風險及效益	11
三、	與MSSP互動	14
第三章	研究方法	18
第一節	Q-方法論概述	18
第二節	研究流程	23
第三節	測試工具與對象	24
一、	Q-敘述句	24
二、	Q-敘述句之發展	26
三、	測試對象	26
第四節	網站設計與施測	27
一、	Q-分類	27
二、	WebQ施測網	28
第五節	分析工具與過程	30
第四章	研究結果分析	37
第一節	資料分析	37
第二節	IT人員採用資訊安全委外監控(MSS)之類型	41
一、	類型一	41
二、	類型二	44
三、	類型三	47
四、	類型四	50
第三節	IT人員對MSS採購因素觀點之分類	52
第四節	IT人員對MSS採購觀點之分類結果詮釋	52
一、	類型一：注重專業技術能力	53
二、	類型二：注重成本預算	54
三、	類型三：重視服務水準(SLA)	56
四、	類型四：重視資安流程(process)	57
第五章	結論與建議	59
第一節	研究結論	59
一、	產業別的差異 (公營民營)	60
二、	資安委外程度 (已採用/未採用)	61
第二節	對學術界的貢獻	61
第三節	對實務界的貢獻	62
第四節	研究限制	62
第五節	未來研究方向	64
參考文獻	65
中文部分	65
英文部分	65
附錄一	………………………………………………………………………………….70
附錄二	…………………………………………………………………………………112
表目錄
表1	原始陳述句表	15
表2	R方法論與Q 方法論的比較	19
表3	分類表	28
表4	因素負荷表	38
表5	因素相關係數表	39
表6	因素(I)最佳化排列	40
表7	因素(II)最佳化排列	40
表8	因素(III)最佳化排列	40
表9	因素(IV)最佳化排列	40
表10	因素(I)最重要及最不重要的Q-敘述句	41
表11	類型一Z-SCORES表	44
表12	因素(II)最重要及最不重要的Q-敘述句	45
表13	類型二Z-SCORES表	47
表14	因素(III)最重要及最不重要的Q-敘述句	48
表15	類型三Z-SCORES表	49
表16	因素(III)最重要及最不重要的Q-敘述句	50
表17	類型四Z-SCORES表	51
表18	類型分類表	53
表19	類型一與其它類型的差別敘述句分別如下：	54
表20	其餘類型與類型一差異敘述句之型內分數	54
表21	類型二與其餘類型之敘述句差異表	55
表22	其餘類型與類型二差異敘述句之型內分數	55
表23	類型三與其餘類型之敘述句差異表	56
表24	其餘類型與類型三差異敘述句之型內分數	56
表25	類型四與其餘類型之敘述句差異表	58
表26	其餘類型與類型四差異敘述句之型內分數	58
表27	IT人員採用資訊安全委外服務的分類表	58

圖目錄
圖1	本研究流程	4
圖2	Conceptual Architecture of SIEM	8
圖3	Aggregation of Log Events	9
圖4	本研究流程	24
圖5	Web 網站測試畫面	29
圖6	評選結果	30
圖7	PQMethod主畫面	31
圖8	輸入Q-敘述句	32
圖9	輸入受測者評選結果	33
圖10	進行主成份分析_1	34
圖11	進行主成份分析_2	34
圖12	進行因素Rotate分析	35
圖13	IT人員採購MSS因素循環圖	60

參考文獻
中文部分

[1]	95年度國家資通安全技術服務與防護管理計劃SOC參考指引,2006.10,p25
[2]	王坤龍(1993)，「Q方法之簡介」，中國工商學報，第15期。
[3]	政府機關(構)資訊安全責任等級分級作業施行計劃 ,P8
[4]	何心宇,[全球資訊市場發展現況與趨勢],資策會MIC 2006
[5]	吳琮璠、謝清佳，「資訊管理理論與實務」，智勝出版社，2003。
[6]	盧欽銘(1989)，「Q技術」，於楊國樞、文崇一、吳聰賢、李亦園編著，「社會及行為科學研究法下冊」。台北：東華書局。
[7]	羅文輝，「Q方法的理論與應用」。民意學術專刊，春季號：45-71
[8]	羅文輝，(1986)，〈Q 方法的理論與應用〉，《民意學術專刊》，春季號，頁41-53。
[9]	孫同文、王家英，(2003)，〈國族認同的再檢驗：從R 到Q〉，論文發表於選舉與民主化調查規劃與推動委員會主辦「2002 年臺灣選舉與民主化調查」國際學術研討會，台北：政治大學
英文部分
[1]	Anon, TAPPI Test Methods. TAPPI Press, Atlanta, USA., 1996.
[2]	A. Williams, “Security Information and Event Management Technologies”, Siliconindia, Vol. 10, No.1, 2006, pp. 34-35.
[3]	Brown, S.R., “A primer on Q methodology”, Operant Subjectivity, 16(3/4), pp. 91-138, 1993.
[4]	Brown, S.R., Durning, D.W., & Selden, S.C., “Q methodology. In G.J. Miller & M.L. Whicker (Eds.)”, Handbook of research methods in public administration”, pp. 599-637, 1999.
[5]	Brown, S.R., “Q technique and questionnaires”, Operant Subjectivity, 26(2), pp. 117-126, 2002.
[6]	Brown, S.R., “Structural and functional information”, Policy Sciences, 35(3), pp. 285-304, 2002.
[7]	Brouwer, M., “Validity: Q vs. R”, Operant Subjectivity, (16), pp. 45-51, 1992.
[8]	B. Schneier, ”The Case for Outsourcing Security”, computer.org: 2002
[9]	B. Gilmer, “Firewalls and security”, Broadcast Engineering, Vol. 43, No. 8, 2001, pp. 36-37.
[10]	B. Schneier, Secrets and Lies, Digital Security in a Networked World, Wiley & Sons, New York et al.,2004.
[11]	Cash, J.I., McKenney, J.R., McFarlan M.R., “Corporate information Systems Managements: Text and Case”, Homewood, Irwin, IL, 1988.
[12]	C. Warren Axelrod, “Outsourcing Information Security”, London: Artech House, 2004.
[13]	Dos Santos, B.L., Hawk, S.R., “Differences in analyst's attitudes towards information systems development: evidence and implications”, Information & Management, 14(1), pp. 31-41, 1988.
[14]	D.G. Conorich, “Monitoring Intrusion Detection Systems: From Data to Knowledge”, Information Systems Security, Vol. 13, No. 2, 2004, pp. 19-30.
[15]	D.F. Carr, “Security Information and Event Management”. Baseline, No. 47, 2005, p. 83.
[16]	Fairweather, J.R., “Reliability and validity of Q‑method results:Some empirical evidence”, Operant Subjectivity, 5, pp. 2‑16, 1981.
[17]	Ginman, M., “De intellektuella resurstransformationerna : informationens roll i företagsvärlden”, Åbo: Åbo Akademis förlag, pp. 244, 1987.
[18]	Gottschalk, P., “Key issues in IS management in Norway: An empirical study based on Q methodology”, Information Resources Management Journal, 14(2), pp. 37-45, 2001.
[19]	http://www.kdnuggets.com/gpspubs/aimag-kddoverview-1996-Fayyad.pdf.
[20]	http://www.crisp-dm.org/CRISPWP-0800.pdf.
[21]	International Organization for Standardization, ISO/IEC 17799:2005, Information technology – Code of practice for information security management, 2005.
[22]	Internet Security Systems, “Outsourced Information Security Management”– a business case for shareholder value, 2001.
[23]	International Organization for Standardization, ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems– Requirements, 2005.
[24]	J. Han, and M. Kamber, Data Mining: Concepts and Techniques, Morgan Kaufmann, San Francisco, 2006.
[25]	J. Allen, D. Gabbard, C. May, “Outsourcing Managed Security Services”,
[26]	J.-C. Laprie, “Dependability of Computer Systems: from Concepts to Limits“, Proceedings of the 6thInternational Symposium on Software Reliability Engineering, 1995, pp. 2-11.
[27]	K. Yamanshi, J.-I. Takechu, and Y. Maruyama, “Data Mining for Security”, NEC journal of advanced technology, Vol. 2, No. 1, 2004, pp. 13-18.
[28]	K.C. Laudon, and J.P. Laudon, Management Information Systems, Managing the Digital Firm,Prentice Hall International, Upper Saddle River, 2005.
[29]	Kendall, J.E., Kendall, K.E., “Metaphors and methodologies: living beyond the systems machine”, MIS Quarterly 17(2), pp. 149-171, 1993.
[30]	Kerlinger, F.N., “Foundations of behavioral research, 3rd ed. ”, New York: Holt, Rinehart and Winston, 1986.
[31]	M. Nyanchama, and P. Sop, “Enterprise Security Management: Managing Complexity”, Information Systems Security, Vol. 9, No. 6, 2001, pp. 37-44.
[32]	“Outsourcing Security”, www.bama.ua.edu/~wilso098/project/security.
[33]	P. Chapman, J. Clinton, R. Kerber, T. Khazaba, T. Reinartz, C. Shearer, and R. Wirth, “CRISP-DM 1.0 Step-by-Step Data Mining Guide”, URL:
[34]	R. Anderson, Security Engineering, A Guide to Building Dependable Distributed Systems, Wiley & Sons, New York et al., 2008.
[35]	Schlinger, M. J., “Cues on Q-Techniques”, Journal of Advertising Research, 9(3), pp. 53-60, 1969.
[36]	Stephenson, W., “The study of behavior: Q-technique and its methodology”, Chicago: University of Chicago Press, 1953.
[37]	Stephenson, W., “Perspectives in psychology: consciousness out – subjectivity in”, Psychological Record, 18(1), pp. 499-501, 1969.
[38]	S.C. Shih, and H.J. Wen, “Building E-Enterprise Security: A Business View”, Information Systems Security, Vol. 12, No. 4, 2003, pp. 41-49.
[39]	Thomas, D.M., Watson, R.T., “Q-sorting and MIS research: A primer”, Communications of the Association for Information Systems, 8(9), pp. 141-156, 2002.
[40]	Tractinsky, N., Jarvenpaa, S.L., “Information systems design decisions in a global versus domestic context”, MIS Quarterly, 19(4), pp. 507-534, 1995.
[41]	U. Fayyad, G. Piatetsky-Shapiro, and P. Smyth, “From Data Mining to Knowledge Discovery in Databases”, AI Magazine, 1996, pp. 37-54, URL:
[42]	V. Kumar, M. Steinbach, and P.-N. Tan, Introduction to Data Mining, Addison Wesley, Upper Saddle River,2005.
[43]	Van Exel NJA, G de Graaf. “Q methodology: A sneak preview”, 2005.