ISO 27001 為目前國際公認最完整之資訊安全管理標準。因此本研究希望能透過分析個案企業導入資訊安全管理系統之經驗，萃取各階段導入成功之因素，以期能對未導入ISO 27001 組織提供經驗之分享及建議方向。
本研究蒐集資料範圍包括：（一）個案公司內部之檔案文件資料；（二）針對導入專案參與者包括高、中主管及ㄧ般員工進行深度訪談；（三）觀察並記錄個案在導入資訊安全管理系統各個階段過程中之實地觀察情形。本研究透過學者文獻探討的方式，彙整出導入資訊安全管理系統一十六項關鍵成功因素，再依據個案公司五個導入工作階段逐一分析、探討：（一）導入資訊安全管理系統的各個工作階段中，哪些關鍵成功因素必需重視？（二）導入資訊安全管理系統的各個工作階段中，遭遇到哪些困難？因應措施為何？ 
研究結果如下：高階主管的全力支持並參與運作、專責的資訊安全管理單位與顧問經驗豐富並提供過去導入的經驗法則在所有階段均重要，其他因素僅在部分階段為關鍵成功因素。另外本研究顯示具有完善的資訊安全防禦設備與具備資安專業技能的資訊安全人員等技術層面因素，並非導入資訊安全管理系統之關鍵因素。

In today’s environment, financial reporting processes and services are driven by IT systems,More and more, IT systems are automating business processes. In doing so, these systems often replace manual control activities with automated or IT dependent control activities. As a result, compliance programs need to consider system-based controls to keep pace with changes in business processes and new system functionality.
Performing a thorough review of IT control processes and documenting them as the enterprise moves forward can be a time-consuming task. The review of application and IT processes will be driven by the risk of the business processes and environments. Without appropriate knowledge and guidance, organizations run the risk of doing too much or too little. This document’s purpose is sharing the “real world” experience to those enterprise which hope or need to design and assessment of IT controls or lack the necessary skill or management structure to identify and focus on the correct model .
The methodology of this research will base on case study model,scope of this research include:
（1）Documentation evidence – include internal project document；
（2）Interview - with project stakeholder,either Executive leadership or operation team member；
（3）Observation - In circumstances in which documentary evidence of controls or the operation of controls does not exist and is not expected to exist.
Critical success factor finding – extract all evidence and summary as 16 critical success factor
Suggestion：
（1）Enterprise need to deploy ISO 27001 guideline must develop their own critical factor, such as necessary skill or management structure. Well-prepared for those critical factor will be a important key of ISMS project.
（2）Enterprise need to deploy ISO 27001 guideline can develop external workshop for those argument and difficulty. Well-prepared for those argument and difficulty can help project move on more efficiency.

目錄
封面內頁	0
謝詞		Ⅰ
中文摘要	Ⅱ
Abstract（英文摘要）	Ⅲ
目錄		Ⅴ
表目錄		Ⅸ
圖目錄		Ⅹ
第一章 緒論	1
第一節 研究背景與動機	1
ㄧ、 研究背景	1
二、 研究動機	2
第二節 研究範圍與目的	4
第三節 研究流程	4
第四節 論文架構	6
第二章 文獻探討	8
第一節 資訊安全	8
ㄧ、 資訊的定義	8
二、 資訊安全的定義	8
三、 資訊安全所面臨的問題	10
四、 全球資訊安全事件	11
第二節 資訊安全管理系統	13
ㄧ、 資訊安全標準簡介(BS 7799) 	13
二、 ISO 27001規範內容	15
三、 ISO 27001運作	16
四、 組織實施資訊安全管理的優勢	17
五、 小結	19
第三節 關鍵成功因素	19
ㄧ、 關鍵成功因素的定義	19
二、 關鍵成功因素的特性、功能與來源	21
三、 關鍵成功因素相關文獻探討	23
四、 ISO 27001認證之關鍵成功因素	29
五、 小結	35
第三章 個案公司介紹	36
第ㄧ節 公司簡介	36
第二節 導入資訊安全管理系統動機與目的...	39
第三節 導入資訊安全管理系統的效益...	42
第四章 研究方法	44
第ㄧ節 研究層面	44
第二節 個案研究方法...	44
ㄧ、 定性研究	44
二、 個案研究	45
第三節 研究步驟...	47
ㄧ、 研究個案選擇	47
二、 資料來源	48
三、 訪談設計	48
四、 研究進行方式	50
五、 個案資料分析	51
六、 研究品質	52
第五章 資料分析與結果	53
第ㄧ節 資料分析	53
ㄧ、 營運現況分析階段	53
二、 安控風險分析階段	58
三、 政策與安控程序輔導制定階段	62
四、 資安體系輔導建置階段	67
五、 資安認證準備階段	72
六、 綜合分析	76
第二節 分析結果	77
ㄧ、 導入資訊安全管理系統之各階段工作關鍵成功因素	77
二、 關鍵成功因素對各工作階段之影響	80
三、 各階段遭遇到的困難與因應措施	84
第六章 結論與建議	88
第ㄧ節 結論	88
第二節 研究貢獻與後續建議	89
參考文獻	92
中文文獻	92
英文文獻	96
網站部份	99
附錄ㄧ 協助訪談調查函	100
附錄二 參與研究同意書	101
附錄三 研究說明書	102
附錄四 訪談大綱	104
附錄五 訪談重點文字稿	105














 


表目錄
表2-1 資訊安全的定義	9
表2-2 影響資訊安全之威脅分析表	10
表2-3 資訊安全近年威脅	11
表2-4 BS 7799 資訊安全管理系統演進歷史	14
表2-5 關鍵成功因素定義整理	20
表2-6 關鍵成功因素四個主要來源	22
表2-7 關鍵成功因素分析之八種技術與分析來源	23
表2-8 關鍵成功因素文獻彙整表	29
表4-1 個案公司訪談對象表	49
表5-1 營運現況分析階段訪談彙整表	56
表5-2 營運現況分析階段之關鍵成功因素	57
表5-3 安控風險分析階段訪談彙整表	60
表5-4 安控風險分析階段之關鍵成功因素	62
表5-5 政策與安控程序輔導制定階段訪談彙整表	65
表5-6 政策與安控程序輔導制定階段之關鍵成功因素	67
表5-7 資安體系輔導建置階段訪談彙整表	70
表5-8 資安體系輔導建置階段之關鍵成功因素	72
表5-9 資安認證準備階段訪談彙整表	74
表5-10資安認證準備階段之關鍵成功因素	76
表5-11導入資訊安全管理系統各工作階段之關鍵成功因素	79
表5-12關鍵成功因素對各工作階段之影響	84
表5-13各階段遭遇到的困難與因應措施	86
圖目錄
圖 1-1 研究流程圖	6
圖 2-1 ISMS之PDCA模型	16
圖 3-1 A金控IT/OPs組織架構圖	38
圖 3-2 A金控資訊暨作業本部組織架構圖	39
圖 3-3 A金控「ISO 27001 建置專案」專案組織架構圖	40
圖 3-4 A金控「ISO 27001 建置專案」專案工作階段圖	42
圖 4-1 導入資訊安全管理系統關鍵成功因素研究分析層面	44
圖 4-2 個案研究步驟	47
圖 6-1 個案企業導入資訊安全管理系統各工作階段與關鍵成功因素    關係圖	88

參考文獻
ㄧ、中文文獻（依姓氏筆劃排列）
1.	大前研一，黃宏義譯（1985），策略家的智慧，台北長河出版社。
2.	王文強（2005），導入QAD ERP 的關鍵成功因素之探討，靜宜大學資訊管理學系。
3.	王建華（2006），導入ERP系統各階段成功關鍵因素之研究─以M鋁擠型廠為例，長榮大學經營管理研究所。
4.	王伯珩（2007），市區聯營公車之經營關鍵成功因素研究-以台北市公車為例，中華大學科技管理研究所。
5.	方仁威（2004），資訊安全管理系統驗證作業之研究，國立交通大學資訊管理研究所。
6.	司徒達賢（1998），「資源基礎理論與企業競爭優勢關係之探討」，國科會專題研究計劃成果報告。
7.	李順仁（2002），資訊安全，文魁圖書。
8.	呂惠玲（2007），精品產業關鍵成功因素研究，淡江大學國際商學碩士在職專班。
9.	余崇洲（2005），政府資訊業務委外成功關鍵因素之研究，台灣大學資訊管理學研究所。
10.	林燦煌、胡金勝（2005），台灣切花物流產業經營之關鍵成功因素與策略，農業經濟管理年刊，11期，頁35~62。
11.	林永慶（2006），產業轉型關鍵成功因素之探討—以Ａ企業為例，台北科技大學商業自動化與管理研究所。
12.	林宗輝（2005），營造業經營模式關鍵成功因素之研究 -以台灣綜合營造業為例，國立成功大學/高階管理碩士在職專班。
13.	吳琮璠（1997），資訊管理個案研究方法，資訊管理學報，4，7-17。
14.	吳俊德（2002），ISO 17799 資訊安全管理關鍵重點之探討，國立中正大學企業管理研究所。
15.	吳思華（1988），產業政策與企業策略，中國經濟研究所。
16.	吳青松（1992），台灣資訊電子關鍵成功因素之探討，科技體制與產業發展小型研討會。
17.	周宣光（2000），管理資訊系統，東華書局。
18.	孟德云（1988），企業關鍵成功因素之研究-以個人電腦產業為實証。中興大學企業管理研究所。
19.	侯衍任（2006），網路電話服務業者之核心資源及關鍵成功因素研究，元智大學資訊傳播學系。
20.	范文偉（1993），休閒產業經營之關鍵成功因素分析--以台灣職業棒球業為實證，台灣大學商業管理學系。
21.	張育誠（2005），網際網路與電視匯流關鍵成功因素探討，政治大學傳播學院。
22.	張士龍（2007），政府部門導入ISO27001 關鍵成功因素之研究，世新大學資訊管理學系。
23.	崔德昌（2001），網路企業成功關鍵因素的研究。中華大學資訊工程碩士論文。
24.	陳信章（2004），服務業推動BS7799認證關鍵因素之研究，國立中正大學資訊管理學系。
25.	陳順宇（1998），多變量分析，華泰書局。
26.	曹惠琴（2005），企業導入BS 7799 之關鍵成功因素，國立高雄第一科技大學資訊管理所。
27.	連智民（2006），台灣中小企業自有品牌關鍵成功因素之研究，中興大學社會科學暨管理學院。
28.	黃營杉（1996），企業政策，國立空中大學圖書。
29.	黃慶堂（1999），我國行政機關資訊安全管理之研究，政治大學公共行政學系。
30.	黃雅君（2000），資訊電子產業導入企業間電子商務之成功關鍵因素。雲林科技大學工業工程與管理研究所碩士論文。
31.	曾能汀（2006），閒置空間再利用為藝文用途之關鍵成功因素分析-以十二號倉庫為例，雲林科技大學文化資產維護系。
32.	董運美（2007），養生館連鎖加盟之關鍵成功因素分析，東華大學高階經營管理碩士在職專班高階經營管理碩士在職專班。
33.	雷誠久（2006），醫院資訊安全管理系統之探討，國立東華大學資訊工程學系。
34.	廖卉蓁（2007），企業競爭力關鍵成功因素之個案研究，臺灣科技大學　管理研究所。
35.	經濟部標準檢驗局（2006），CNS 27001資訊技術-資訊安全管理系統規範，經濟部標準檢驗局。
36.	蒲樹盛 (2004)，資訊安全在台灣，BSI台灣，頁1-2。
37.	劉國昌、劉國興（1995），資訊安全，儒林。
38.	劉玟杰（2005），數位課程設計之關鍵成功因素與台灣數位課程之分析，中華大學資訊管理學系。
39.	蕭源林（2005），化學產業高值化研發部門創新管理關鍵成功因素之研究，中山大學管理學院。
40.	樊國禎、徐鈺宗、楊仲英、李孝詩（2004），「美國聯邦政府資訊安全管理系統稽核作業與相關標準初探」。
41.	賴慧如（2005），男性保養品市場之關鍵成功因素之探討，淡江大學商學院國際商學系。
42.	鍾惠琦（2004），影響國內醫院導入與發展資訊安全管理系統關鍵因素之研究，國立中正大學醫療資訊管理所。
43.	蘇耿弘（2002），以BS7799為基礎探討石化產業導入資訊安全管理機制之關鍵因素，國立中正大學資訊管理學系。
























參考文獻
二、英文文獻（依字母順序排列）
1.	Aaker, D. A. (1984), Strategic Market Management, NY: John Wiley & Sons Inc.
2.	Boynton, A. C., and Zmud, R. W.（1984）, “An Assessment of Critical Success Factors”, Sloan Management Review, pp.17-27, 1984.
3.	Bamberger I.(1989). Developing Competive Advantage in Small and Medium-size Firms, Long Range Planning, Printed in Great BritaIn, 22, 85.
4.	British Standards Institution, (1999), BS 7799-1 Information Security Management-Part 1：Code of Practice for Information Security Management, London.
5.	British Standards Institution, (1999), BS 7799-2 Information Security Management-Part 2：Specification for Information Security Management System,London.
6.	Carter, D. L. and A. J. Katz（1996）, “Computer Crime and Security: the Perceptions and Experiences of Corporate Security Directors,” Security Journal, 7,101-108.,1996.
7.	Commons,J.R. (1934),Institutional Economics.New York:The Macmillan Company
8.	Daniel, D.R.（1961）, “Management Information Crisis”, Harvard Business Review, p.111-121, 1961.
9.	Fuerguson, C. R.（1982）, and Dickinson, R., “Critical Success Factor for Directors in the Eightes”, Business Horizons, pp.14-18, 1982.
10.	Finne, T.（2000）, “Information Systems Risk Management: Key Concepts and Business Processes”, Computer and Security, Vol.19, No.3, pp.234-235, 2000.
11.	Hofer, C. W.（1978）, and Schendel, D., “Strategy Formulation：Analytical Concept. NY:Wear Publishing”, 1978.
12.	Hutt, A. E.（1995）, “Management’s Role in Computer Security”, New York, John Wiley, 1995.
13.	IBM（1984）, “IBM Data Security Support Programs”, 1984.
14.	Jorge, Vasconcellos（1988）, “The Impact Key Success Factors on Company Performance”, Long Range Planning, PP.61-62, 1988.
15.	Leidecker, J. K., and Bruno, A. V.（1984）, “Indentifying and Using Critical Success Factor”, Long Range Planning, P.26, 1984.
16.	Leidecker, J. K., and Bruno, A. V.（1984）, “Indentifying and Using Critical Success Factors”, Long Range Planning,Vol.17,spring,pp.23-32, 1984.
17.	Laudon, K. C. and J. P. Laudon（1998）, Management Information Systems: NewApproaches to Organization and Technology, New Jersey: Prentice Hall.
18.	Parker D. B.（1997）, “Information Security in a Nutshell”, Information Systems Security, 1997.
19.	Rockart , J. f. (1979), “Chief Executing Define Their Own Data Need” Harvard Business Review, Mar/Apr, pp.81-93.
20.	Rockart, J. F.（1979）, “Chief Executing Define Their Own Data Need”, Harvard Business Review, pp.20-25, 1979.
21.	Thompsons, A., and Strickland, A. J.（1998）, “Common Types of Key Success Factors. Strategic Management Concepts and Case”, Business Publication Inc, 1998.
22.	Track,Denis.（2003）, “An Integral Framework for Information Systems Security Management ,” Computers & Security,Vol.22,No.4,2003.
23.	Yin, R.K.（1987）,Case Study Research：Design and Methods：Sage Publications,1987.
24.	Yin, R.K.（1994）,Case Study Research：Design and Methods, Applied Social Research Methods Series Volume 5,2nd Edition,London：Sage Publications,1994.























參考文獻
三、	網站部份
1.	A金控2006年公司年報（2006），http://www.corpasia.net/canreport/main.php?ticker=2881&id=3®ionid=1
2.	Computer Security Institute（2008），CSI Survey 2007, http://www.gocsi.com/forms/csi_survey.jhtml
3.	DragonSoft網站，系統安全概念-BS7799簡介。http://www.dragonsoft.com.tw/doc/bs7799-intro.php
4.	UL 網站（2006），資訊安全管理系統標準-ISO/IEC 27001：2005，2006。  http://www.ul.com.hk/b5/news_nl/2006-Issue17/page6.htm
5.	郭慧姿（2002），資訊安全科技網-特別報導：人才你在哪裡？，http：//www.isecutech.com.tw/feature.htm
6.	歐弘詹（2006），中小型企業客製化資安維護系列專輯之ㄧ 資安漫談， http://www.i-security.tw/topic/topic_sg.asp?id=20
7.	賽門鐵克網站（2002），導入資訊安全標準—企業責無旁貸。http://www.symantec.com/region/tw/enterprise/article/bs7799.html