我國2012年有344萬次的駭客攻擊，有251次成為資安事件，鑑於2013年美國史諾登（Edward Snowden）洩密案，對國家安全的影響，從資安的角度來探討其原因，資安治理工作執行的落差也可能是主要的肇因之一，所以本文以我國相關部門為例，探討治理現況與執行上的落差與問題。
本研究採用個案研究法，對象為國安機關某業務單位，爰引我國資通安全政策等相關文獻，以問卷調查及深入訪談來瞭解個案現況，找出不同部門及階層之間對資安治理工作推展現存落差與問題，並提出建議。研究結果發現在風險管理及組織與人員方面，因不同部門與階層確實存有顯著性落差，根究其原因在於人員對政策指導認知、教育訓練及作業權責區分等都有所不足，建議治理高層與資訊部門應加強整體人員對政策與規範的認知，同時可藉由導入ISO27001(CNS27001)、ISO27005(CNS27005)等國際標準最佳實務，來提升組織內人員對風險管理的認識與能力，結合適當的資安人力配置、提供必要的專業訓練、合理明確的授權等措施，以增進國家資安防處之嚴謹可靠。

We were attacked by hackers 3,340,000 times in 2012, and almost caused 251 information crisis. That Edward Snowden revealing confidential state secret in 2013 had great influence on the relationship between information security and national security. One of the reasons that cause the case might be lake of information security management. In this study, we discuss the status quo of information security management and investigate the real challenge it faces in our country.
In this study, we take one of the departments of Ministry of state security as our case study. With relative references about information security policies of our country and that of the government, we use survey to know the status quo of the case and investigate the real challenge it faces, trying to find out if the information security works well, and if there is any obstacle existed in information security between different departments and different positions. The results of this study indicates some gaps among risk management, organizations and personnel does exist, and that’s because lack of policy acknowledgement, training and distinction between responsibility and accountability. The governing body and the information department should help their personnel to fully understand the policy, and help them know more about risk management through ISO27001(CNS27001) and ISO27005(CNS27005). With adequate information security manpower disposition, training, reasonable and definite authorization, the information security of our national system would be much stronger.

第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 3
第三節 研究範圍與限制 4
第四節 研究流程 5
第五節 論文架構 6
第二章 文獻探討 7
第一節 治理的定義 7
第二節 IT治理的定義 8
第三節 資通訊安全治理的定義 9
第四節 資通安全治理成熟度 11
第五節 我國的資通安全政策 15
第三章 研究設計 19
第一節 研究方法 19
第二節 研究對象 19
第三節 問卷設計 20
第四節 抽樣情況 23
第四章 資料分析 25
第一節 問卷回收與信度 25
第二節 單位資安現況基本調查分析 26
第三節 資安治理成熟度調查結果 28
第四節 顯著性落差構面與問題分析 30
第五節 深入訪談情況彙整 41
第五章 結論與建議 54
第一節 結論 54
第二節 建議 57
第三節 未來研究方向 59
參考文獻 62
附錄一、單位治安治理成熟度調查問卷 65
附錄二、深入訪談問卷 72
附錄三、Wilcoxon-Mann-Whitney檢定四個構面各群體的結果 75

表目錄
表2-1資安治理成熟度評估工具列表 15
表3-1資安治理-業務對IT依賴度與成熟度對應關係 22
表3-2問卷調查抽樣情況列表 23
表3-3深入訪談取樣情況列表 24
表4-1 Cronbach'sα信度列表 25
表4-2單位資安現況基本調查列表 27
表4-3資安治理成熟度評分結果 29
表4-4資安治理成熟度評鑑結果 30
表4-5各構面分別以部門及階層為分組變數的檢定結果 31
表4-6各構面之問項分別以部門與階層為分組變數的檢定結果 32
表4-7在各構面出現顯著的問項數目分佈情況 33
表4-8經Wilcoxon-Mann-Whitney 檢定顯著的問項列表 34
表4-9風險管理問項填答分布的情況 37
表4-10組織與人員問項填答分布的情況 40
表4-11深入訪談內容彙整表 43

圖目錄
圖2-1本研究之研究流程圖 5
圖2-2資通安全治理與IT治理間之關係 9
圖2-3資通安全治理概念圖 10
圖2-4我國重大資安政策發展進程 16
圖2-5四期計畫執行策略與行動方案圖 18

一、中文文獻
[1]中央廣播電台，〈史諾登偷資料 網路蜘蛛建功〉，網址：http://news.rti.org.tw/index_newsContent.aspx?nid=482973&id=2。上網日期：2014年2月10日。
[2]中時電子報，〈國安局:駭客陸駭客攻擊我高科技〉，網址：http://news.chinatimes.com/focus/11050106/122013032100084.html。上網日期：2013年12月22日。
[3]東森新聞雲，〈除「駭」　蕭秀琴：去年被攻擊344萬次，只有251次得逞〉，網址：http://www.ettoday.net/news/20130429/199243.htm#ixzz2uFX5mfDN 。上網日期：2013年12月30日。
[4]蘋果日報，〈1天316次 國安局：中國駭客攻擊大幅成長〉，網址：http://www.appledaily.com.tw/realtimenews/article/new/20130901/252141/ 。上網日期：2013年12月27日。
[5]電週文化事業，〈韓國史上最大APT駭客事件始末〉，網址：http://www.ithome.com.tw/node/80029 。上網日期：2013年12月27日。
[6]行政院科技顧問組，《資安推動發展政策整合研究－資安治理機制與資安建設持續發展規劃》，臺北，2007。
[7]行政院科技顧問組，《資安治理機制研究規劃報告》，臺北，2009。
[8]行政院國家資通安全會報，《建立我國通資訊基礎設安全機制計畫(94年至97年) 》，臺北，2007。
[9]行政院國家資通安全會報，《政府機關（構）資訊安全責任等級分級作業施行計畫》，臺北， 2009。 
[10]行政院國家資通安全會報，《國家資通訊安全發展方案(98年至101年) 》，臺北，2009。
[11]行政院國家資通安全會報，《2010資通安全政策白皮書》，臺北，2013。
[12]行政院國家資通安全會報，《國家資通訊安全發展方案(103年至105年) 》，臺北， 2013。
[13]國家標準檢驗局，《CNS27014》，臺北，2013。  
二、英文文獻
[1]CGTF, “Information Security Governance: A Call to Action,” Corporate Governance Task Force Report, 2004.
[2]ESCAP.What is Good Governance? http://www.unescap.org/pdd/prs/ProjectActivities/Ongoing/gg/governance.asp, accessed 2014/02/28.
[3]EDUCAUSE Security Tasks Force, “Information Security Governance Assessment Tool For Higher Education,” Colorado and Washington, 2004.
[4]Hair, J. F., Multivariate Data Analysis: A Global Perspective, Upper Saddle River, N.J.; London : Pearson Education, 2010.
[5]ISO/IEC 27014:2013, Information technology—Security techniques—Governance of information security, 2013.
[6]IT Governance Institute. About Governance of Enterprise IT (GEIT). http://www.itgi.org/About-Governance-of-Enterprise-IT.html, accessed 2014/02/28.
[7]IT Governance Institute, Board briefing on IT Governance 2nd Edition, 2003.
[8]IT Governance Institute, Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition, 2006.
[9]Posthumus, S., and von Solms. R., “A Framework for the Governance of Information Security,” Computers & Security (23:8), Dec. 2004, pp. 638-646.
[10]The World Band. What is our approach to governace. http://web.worldbank.org/WBSITE/EXTERNAL/WBI/EXTWBIGOVANTCOR/0,,contentMDK:20678937~pagePK:64168445~piPK:64168309~theSitePK:1740530,00.html , accessed 2014/02/28
[11]van Grembergen, W., “Introduction to the Minitrack IT Governance and its Mechanisms,” Proceedings of the 38th Hawaii International Conference on System Sceiences, 2005, pp. 235-235.
[12]von Solms, R., and von Solms, S. H., “Information Security Governance: A model based on the Direct-Control Cycle,” Computers & Security (25:6), 2006, pp. 408-412.