中國諺語：「水能載舟、亦能覆舟」。電腦資訊時代為組織帶來處理事務的方便性，但也同時遭受資訊安全的威脅與侵害。因此，在推動資訊安全工作的前題下，亟需一套符合組織目標的資訊安全政策，以作為組織人員所共同遵守之依規。由此觀之，資訊安全政策是資訊安全管理的基礎。
據此，本研究先運用「公共政策」角度探討國軍資訊安全執行現況，再由「危機理論」觀點，檢視國軍資訊安全政策執行困境。冀望藉由學術討論發現潛存國軍資訊環境中潛存的危機因素，並於整理後作出適當政策建議，使政策能更符合國軍現階段保密任務之需要。
本研究依上述論點，透由質化研究方式，依研究架構先行建立研究問題、確立重要名詞界定、再行完成研究途徑與方法及流程、限定研究範圍、說明研究限制等。逐步完成各階段研究重點。
主要研究發現如下：一、現行政策未有建立電腦知識庫及回饋系統，造成知識不易累積；二、政策沒有層次性，沒有防禦深度；三、單位主官的支持度，決定政策推動的程度；四、「公務家辦」未能根決。
建議事項如下：一、建立電腦知識庫與危機回饋系統，以便提高使用者的方便性及安全性；二、案件處理依重要性區分層次性，以強化資訊安全的防禦的深度；三、提高主官的支持度，引發單位人員的關注；四、自制國軍的電腦的軟、硬體，以防止「公務家辦」情形再生。如此方能有效改善目前的資訊安全環境，提升國軍資訊的安全性及方便性，並增加整體的工作效率，防止資訊洩密事件發生。

Just as a Chinese proverb goes that “the water that bears the boat is the same that swallows it up”, an era of computer information not only brings the convenience of dealing with the matters for an organization, but it also undergoes the threat and infringement of information security in the meantime. Therefore, a set of information security policy that meets the organizational objective is required while driving information security tasks. From this perspective, information security policy is the fundamental basis of information security management.   
Hence, this research is mainly to plore the current status of information security execution for national army from the perspective of “Public Policy” and reviews the obstacle of policy implementation from the viewpoint of “Crisis Theory”. It is expected that a potential crisis factor to be found via academic discussion with proper policy proposed. 
Based on the above point, this research is preliminarily to establish issues via a qualitative research method, to accomplish the research focuses of each individual stages step by step, to attain the purpose of being focused on research.The proposed items are as following : （1） Establish computer database feedback system and enhance the users’ convenience； （2） Cases were segmented by importance to strengthen the depth of defense of information security；（3） Enhance the level of director’s support to bring about the attention of unit personnel； （4） A self control of the PC hardware/software of the national army to prevent the status of “business processed at home” from happening. Consequencely how to enhance the safety and convenience on the information of the national army is the main job foday.

目   錄

第一章 緒 論	1
第一節 研究緣起	1
第二節 研究目的與問題	2
第三節 概念名詞界定	3
第四節 研究途徑與方法	7
第二章 理論探討	13
第一節 危機之內涵	13
第二節 危險管理之理論	18
第三節 文獻回顧	31
第四節 國軍資訊安全個案	36
第五節 國軍資訊安全政策	42
第六節 資安事件	47
第三章 研究設計	49
第一節 研究架構	49
第二節 訪談題綱	50
第三節 研究對象	52
第四節 訪談過程	53
第四章 研究結果與分析	54
第一節 資訊安全危機管理認知分析	54
第二節 國軍資訊危機管理分析	58
第三節 國軍資訊危機管理困境分析	64
第四節 建議改進情形	68
第五章 結論	72
第一節 研究發現	72
第二節 研究建議	77
參考文獻	79
附錄一 國軍資訊安全政策	89
附錄二 國家機密保護法	97
附錄三 國家機密保護法施行細則	103
附錄四 軍事機密與國防秘密種類範圍等級劃分準則	111
附錄五 國防部外洩機密資訊審議委員會設置及審議要點	117
附錄六 從事及參與國防安全事務人員安全調查辦法	123
附錄七 訪談資料	125
附錄八 編碼資料	155

表  目  次

表一 危機管理定義表	6
表二 國內外各學者對危機定義的看法	14
表三 危機特性整理表	15
表四 危機的類型	17
表五 相關學者對危機管理的定義	18
表六 資訊安全定義	26
表七 資訊安全分析表	27
表八 資訊安全政策論文整理	31
表九 危機管理相關論文整理	34
表十 政府行政機關93-95年遭遇資通安全事件概況表	48
表十一 訪談題綱	51
表十二 受訪談者代碼及基本資料表	52

圖  目 次

圖一 研究流程圖	9
圖二 安全特定的階級	26
圖三 資訊安全架構	29
圖四 總政治作戰局組織圖	43
圖五 通信資訊次長室組織圖	44
圖六 政府機關93-95年通資安全事件圖	48
圖七 研究架構	49

壹、中文部分
一、專書
于鳳娟譯 Otto Lerbinger原著（2001）。危機管理。台北：五南。
文崇一、楊國樞（2000）。社會及行為科學研究法（下冊）－訪問調查法。台北：東華。
王文科(2001）。教育研究法。台北：五南。
朱延智（2003）。企業危機管理（Business Crisis Management）。台北：五南。
朱愛群（2002）。危機管理－解讀災難謎咒。台北：五南。
行政院（2004）。行政院資安法律案例彙編第3輯。台北：行政院。
吳佩玲譯（2001）。危機管理。台北：時報。
吳定（2001）。公共政策。台北：空大。
吳定（2001）。公共政策辭典。台北：五南。
吳芝儀、廖梅花（2002）。質性研究入門。台北：濤石。
吳琮璠、謝清佳（2000）。資訊管理理論與實務(MANAGEMENT INFORMATION SYSEMS)。台北：五南。
宋明哲（2002）。現代風險管理。台北：五南。
李順仁（2002）。資訊安全，台北：文魁。
周宣光（2002）。管理資訊系統。台北：東華。
林水波、張世賢（2006）。公共政策。台北：五南。
邱強（2001）。危機聖經。台北：天下。
邱毅（1999）。危機管理。台北：中華。
徐漢章譯（1999）。企業危機管理。台北：卓越。
徐廣寅（2004）。資訊安全管理導論。台北：金禾。
張中勇（1993）。情報與國家安全之研究。台北：三峰。
張覺明著（2003）。90分鐘「掌握危機管理」。台北：勝景。
曹瑞泰（2005）。化危機為利機 成功的菁英之學。台北：文英堂。
許龍君（1998）。校園安全與危機處理。台北：文南。
陳向明（2002）。社會科學質的研究。台北：五南。
陳彥學（2000）。資訊安全理論實務。台北：文魁。
陸炳文（1998）。如意雙手—公關與危機處理七講。台北：黎明。
黃朗文(1999）。標準化的調查訪問。台北：國立編譯館。
黃瑞琴(1999）。質性研究。台北：心理。
黃銘惇(2000）。社會科學研究法一社會關係研究取向。台北：五南。
葉乃菁、李順仁（2004）網路安全與理論實務。台北：文魁。
葉至誠、葉立誠（1999）。研究方法與論文寫作。台北：商鼎。
詹中原（2003）。危機管理－個案分析。台北：神州。
潘淑滿（2003）。質性研究理論與應用。台北：心理
鄭瑞隆（2002）。質的研究方法－符號互動論及其在教育研究上的應用。台北：心理。
瀧澤正雄（1999）。企業危機管理。台北：高寶。
二、期刊論文
明居正（2006）。美國的全球戰略：新現實主義之剖析，全球趨勢下之世界、區域與國家建構學術研討會，台北：台大社科院國際會議廳，頁25－30。
胡正光（2003）。危機社會中的正義問題：對“危機”與“危機社會”之批判。哲學與文化，第30卷，第11期，頁12－31。
唐慧文（1998）。談學校之危機處理-以北一女潑酸事件處理。學生輔導雙月刊，第58期，頁58－69。
陳彥甫、高天佑（2006）。封閉型之資訊安全防護機制建置。新新季刊，第34卷，第2期，頁22－31。
鈕先鍾（1986）。危機與危機管理：理論與實際。中華戰略學刊春季版，頁90－111。
詹中原（1993）。英、美國際危機管理體系－決策組織與過程。美國外交與危機處理專刊，頁4－6。
樊國楨、方仁威、林勤經（2003）。資訊安全管理系統驗證作業之研究。國防通信電子及資訊季刊，第五期，頁102－121。
蔡崇振（1997）。從兩個實例校園危機處理。教育資料與研究，第14期，頁58－61。
鄭美華（2000）。危機管理機制之建立-以校園危機事件為。人力發展月刊，第83期，頁42－50。
鍾景生（2001）。校園危機事件處理專家系統開發研究。和春學報，頁171－177。
三、研究計畫
徐鈺宗、樊國楨（2001）。資訊安全管理系統稽核(驗證)作業標準與資訊安全危機管理。堅實我國資訊安全管理系統稽核作業相關標準系列討論會之六－，未出版。
樊國楨、方仁威、徐士坦（2001）。建立我國通資基礎建設安全機制標準規範實作芻議研究報告書。經濟部標準檢驗局委辦計畫，未出版。
四、學位論文
王百川（2002）。資訊安全管理系統的導入與管理模式之研究。中國文化大學資訊管理研究所碩士在職專班學位論文。
王繼顯（2007）。以本體論方法驗證與實踐企業資安樣式與知識。國防管理學院國防資訊研究所學位論文。
何瀛州（2007）。區域級學術網路組織之資訊安全危機評估－以宜蘭縣學術網路為例。佛光大學資訊學系學位論文。
吳俊鴻（2001）。建構台灣地區整合性災害防救體制之研究－以總體戰略戰論觀點。淡江大學國際事務與戰略研究所學位論文。
吳萬教（2002）。危機管理模式之研究－以嘉義機場為例。南華大學非營利事業管理研究所學位論文。
吳碧珠（2002）。國營事業危機管理之媒體溝通策略－以假米酒事件為例。台北大學企業管理學系碩士在職專班學位論文。
李俊隆（2002）。論災難備援計畫在資訊安全的重要性－以美商CTS Corporation 為例。國立中山大學資訊管理學系研究所學位論文。
林昇德（2000）。我國緊急災難管理機制建立之研究。政治大學公共行政學系研究所學位論文。
林俊銘（2001）。從企業資訊安全備援系統的計劃與實務。中山大學國際高階經營管理研究所學位論文。
林賢春（2002）。台北市大學校院校園危機管理之研究。台北市立師範學院國民教育研究所學位論文。
洪珮菁（2002）。政府災變公共關係管理之研究－以台北市政府因應納莉風災為例。政治大學公共行政研究所學位論文。
張芳珍（2004）。以BS7799落實資訊安全管理-管理類資訊資產分類與控管。國立中央大學資訊管理學系碩士在職專班學位論文。
張詠翔（2004）。結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究。銘傳大學資訊管理學系碩士在職專班學位論文。
莊惠惠（2004）。醫療院所制訂資訊安全政策之研究。國立中正大學資訊管理學系學位論文。
郭香吟（2006）。自危機管理觀點探討資安監控中心建置契約之研究。國立台北科技大學建築與都市設計研究所學位論文。
陳怡利（2003）。工作流程機制整合之以角色為基礎之存取控制理論。國立清華大學工業工程與工程管理學系研究所學位論文。
陳連枝（2002）。國內金融控股公司資訊安全管理系統之探討。長庚大學企業管理研究所學位論文。
楊博麟（2007）。公務部門資訊安全政策導入過程中組織承諾的影響因素：組織衝突觀點。長庚大學資訊管理研究所學位論文。
楊達妮（2002）。企業網路謠言之危機管理策略研究－消費者行為與企業策略觀點。政治大學廣告學系研究所學位論文。
雷誠久（2006）。醫院資訊安全管理系統之探討。國立東華大學資訊工程學系研究所學位論文。
劉光慈（2000）。電子化政府資訊安全管理之研究－以中央健康保險局為例。國立台北大學企業管理學系研究所學位論文。
劉維宗（2007）。資訊安全成熟度之校園實證研究–科技接受模式與組織協調觀點。國立臺北商業技術學院商學研究所學位論文。
鄭信一（1998）。現代企業資訊安全之個案研究。銘傳大學管理科學研究所學位論文。
閻立泰（2001）。政府與民眾危機溝通知研究—九二一個案分析。政大公共行政所碩士學位論文。
鍾秋坤（2003）。我國行政機關安全防衛政策之研究－政策執行分析。中國文化大學政治學研究所碩士在職專班學位論文。
蘇耿弘（2002）。以BS7799為基礎探討石化產業導入資訊安全管理機制之關鍵因素。中正大學資訊管理學系研究所學位論文。
五、網路
中華民國國防部網站中文版。2008。知識檢索系統。http://search.mnd.gov.tw/cgi/searcher.exe?o=2&v=root&p=%b8%ea%b0T%a6w%a5%fe%acF%b5%a6（2008年6月22日擷取）。
中華民國國防部網站中文版。2008。軍事新聞。加強資安違規案例宣導 落實風險管理http://www.mnd.gov.tw/Publish.aspx?cnid=65&p=25092（2008年6月22日擷取）。
中華民國國防部網站中文版。2008。國軍單位。http://www.mnd.gov.tw/Publish.aspx?cnid=460&p=552（2008年1月11日擷取）。
行政院主計處。2008。統計專題分析http://www.dgbas.gov.tw/lp.asp?ctNode=3233&CtUnit=927&BaseDSD=7（2008年3月11日擷取）。
電子計算機中心.。2007。資安事件案例宣導簡報。http://www.edu.tw/files/site_content/b0089/1245.ppt,（2008年6月22日擷取）。
 
貳、西文部份
Allision, G.  T. （1971）.  Essence of Decision: Explaining the Cuban Missile Crisis. Illinois: Scott, Foresman and Company. 
Berge, Dieudonnee ten, （1990）. The First 24 Hours: A Comprehensive Guide to Successful Crisis Communications. Cambridge, Massachusetts: Basil Blackwell Ltd.
Booth, S.  A. （1993）.  Crisis Management Strategy: Competition and Change in Modern  Enterprises,  London,  New York: Routledge,.
Caplan,  G.  （1961）.  An  Approach to Community Mentalhelth. New York, NY: Grune and staratton, Inc.
Charles, M.  T.  and  John Coon.（1998）.  Crisis Management: A Casebook Illinois. Spingfield: Charles  C  Thomas  Publisher
Dana James, When your company goes code blue: How Crisis Mmanagementh has Changed, (Chicago: Marketing News), Nov 6, 2000： pp.  1-15.
FBI, （1991）Advanced Hostage Negotiation Seminar.  San Antonio, TX.August.
Fink, Steven. （1986） Crisis Management: Planning for Inevitable.  New York: American Management Association.
Hermann, Carles F.  （1972）.    Some Issues in the Study of International Crisis.  in Charles F.  Hermann ed., International Crisis: Insight from Behavioral Research,  Free Press.
Hurst, David K. （1995）.   Crisis & Renewal-Meeting: The Challenge of Organizational Change.  Massachusetts: Harvard Business School Press.
Innes, George, （1988）.  Emergency Planning in the UK: A View from the Inside.  In Cow, H.  B.  F.  and Kay, R.  W.  : Emergency Planning for Industrial Hazards. New York:  Elsevier Applied Science.。
Janis, Irving L.  （1989）.  Leadership in Policymaking and Crisis Management. New York: The Free Press.
McCarthey, Shaun P.  （1998）. The Function of Intelligence in Crisis Management:Towards an Understanding of the Intelligence Producer-con-sumer Dichotomy. USA:Ashgate Publishing Company.
Mitroff,  I.  &  Christian , M.  P. （1993）.   Crisis Management: Diagnostic Guile for Improving Your Organization’s Crisis-Preparedness, (New York: Jossey-Bass Inc),   p.  9.。
Mitroff, I. （1988）.  Crisis management cutting through the comfusion sloan management Reciew,  (New York: Jossey-Bass Inc) ,  pp.  15-20.
Nudell,  M.   &  Norman A.  （1988）.  In Case of Emergency:A Handbook for Effective Emergency and Crisis Managemen, Lexington, MA: Lexington Books.
Nunamaker,  Jay f.  JR.  Weber,  E.  Sue, and Chen, Minder（1989）, Organizational  Crisis  Management  Systems: Planning for Intelligent  Action.  Journal  of  Management Information Systems.  Vol.  5, No.  4, pp.  7-32.
OECD（2002）.  Guidelines for the Security of Information Systems and Networks Towards a Culture of Security,  Paris,  OECD.
Otto,  Lerbinger （1997）.  The Crisis Manager:Facing Risk and Responsibility, (New Jersey:  Lawrence  Erlbaum  Associates).
Pauchant, Thierry C.  and  Mitroff, I.  I.  （1992）.  Transforming the Crisis-Prone Organization.San Francisco, CA: Jossey-Bass.
Philip,  Henslowe （1999）.  Public Relations: A Practical Guide to the Basics, (London:  The Institute of Public Relations).
Roberta,  B.  M.  （2004）.  Network Security:  the Complete Reference, USA:  McGraw Hill Compamies,  Inc.
Robinsion, James A, （1972）.  Crisis: An Appraisal of Concepts and theories. In Charles F. Hermann ed., International Crisis:Insiht from Behavioral Research, Free Press.
Statoil,  A.  Wilhelmsen. （1994）.   A Simulation Approach to Crisis Management and Emergency Response Training.  In Emergency Preparedness and Crisis Management.  AEA Technology.  The SRD Association. 
Tudor, J.  K.  （2000）. Infornation  Security Architecture:  An Integrated Approach to Security in the Organization, lorida, U.  S.  A.  CRC press LLC