資訊安全無疑的是現今金融業內最重視的一環，且隨著資訊科技進步、個人電腦技術的精進及駭客手法分享的迅速，企業對於資安問題的防堵與解決疲於奔命，資訊安全不再是一個企業對外展現其附加價值的標籤，而是成為企業內的基本配備。金融業因為資訊安全問題所導致的損失，已經嚴重打擊到內部的營收，所以金融業逐年加重其於資訊安全的支出比例，但資安問題仍是層出不窮。資安問題從過去外部的攻擊事件逐漸轉為內部人員的不當行為竊取，而金融危機引發的經濟衰退，導致過去一年開始，許多公司大幅裁員，不僅資訊人力緊縮，離職員工在離開公司時會隨身帶走屬於公司的機密資料，而這其中的許多人將會在新公司使用這些資料，此舉將對企業的競爭力及營運造成很大的影響。因此企業加強對資安的需求，加上科技快速的演進，資訊人員的工作量不斷增加，精神壓力倍增，在兩項因素互相影響循環之下，將會降低企業執行資安工作的效能。

本研究將以ISO27001為基礎，探討金融業在導入資訊安全管理系統後，資訊人員所屬組織性質、職務性質、個人性質對資安政策導入之必要性、工作量增減程度、實際提升資訊安全之看法及影響。本研究透過問卷的形式來蒐集資料，藉由金融專業人士協助二階段的問卷設計及前測作業，並經由敘述性統計、變異數分析 (One-way ANOVA)、平均數分析等統計方法進行分析，研究結果顯示企業導入資訊安全後，資訊人員之所屬「公司產業」、「公司規模」、「學歷」在資安『導入之必要程度』有顯著差異；資訊人員之所屬「公司產業」、「公司是否取得ISO27001」、「工作性質」、「性別」在資安導入後『工作量增減程度』有顯著差異；資訊人員之所屬「公司規模」、「學歷」在『資訊安全提升程度』有顯著差異，且在所有資安條項中，除了「資產管理」以外，資訊人員皆認同資安『導入之必要程度』高於『資訊安全提升程度』，更高於『工作量增減程度』。

期望未來在企業導入的資安政策中，能運用本研究建議分析資訊人員認同其導入必要且實際改善資訊安全的條項，以提供企業思考其資安預算及人力之配置，及找出增加其工作量之原因，改善作業流程，尋求配套措施，以減輕其工作負擔，落實資安政策，收事半功倍之效。

Information security is no doubt the most important part of current financial industry. Enterprises are always busy in solving the information security problems with the progress of information technology, the improvement of computer technology, and the quickness of spreading hack skills. Information security is no longer a label that enterprises show their added values, but the basic equipments within the enterprises. The income of the financial industry is impacted by the losses caused by information security problems. Therefore the financial industry increases its proportion of information security expenditures year by year, but more and more information security issues still exist. These information security issues change from the external attacking events to the internal employee thefts. The economic recession caused by financial crisis makes enterprises laying off employees started from last year. It also makes the lacking of information manpower, and even more worse, the leaving employees carry the employer's confidential information away. Some of the leaving employees then use the stealing data in the new companies. This surely causes huge impacts to the capabilities of enterprises' competition and operation. So enterprises strength the need of information security. Along with the progress of information technology, the Information Professionals' workloads and mental pressure increase by times. In the interactions between these two factors, the efficiency of information security jobs is reducing. 

    This research, based on the ISO27001 standard, discusses the viewpoints and influences of the financial industry about the organizations types, position types, and personal characteristics of Information Professionals to the necessity of information security policies, the extent of increasing workloads, and the level of improving the information security after implementing the information security management systems. The data was collected in the method of questionnaire proposed by this research with aided of 2-phase designing and fore testing by the financial professionals, and was analyzed in the method of statistics such as descriptive statistics, One-way ANOVA, and average analysis. The results of this research show that after implementing the information security policies there exists significant differences in the issues of Information Professionals: the "The Company's Industry", "The Company's Size", and "The Educational Background" issues exist significant differences in the "Whether the Company Needs to Implement Information Security Policies Or Not" factor; the "The Company's Industry", "If the Company Gets a ISO27001 Standard", "The Job Type", and "The Gender" issues exist significant differences in the "The Extent of Increasing Workloads" factor; the "The Company's Size", and "The Educational Background" issues exist significant differences in the "The Extent of Improvements of Information Security" factor. In addition, Information Professionals commonly agree with that the "Whether the Company Needs to Implement Information Security Policies Or Not" issue is more important than the "The Extent of Improvements of Information Security" one and much more important than the "The Extent of Increasing Workloads" one among all information security items except for the "The Assets Management" issue.

    This research expects that the enterprises will consider the results and analysis of this research about the items agreed by the Information Professionals which need to implement and surely can improve the security while implementing the information security policies. Enterprises using the results of this research to figure out their appropriate settings of information security budgets and human resources and to find out the reasons of increasing workloads can improve their operating process and seek the accompanying measures to lighten the burden on related jobs. So that enterprises can implement the policies on information security properly and gain more benefits and rewards.

目次
誌謝	IV
目次	V
表目錄	VII
圖目錄	IX
第一章 緒論	1
第一節 研究背景	1
第二節 研究動機	2
第三節 研究目的	2
第二章 文獻探討	4
第一節 資訊安全	4
一、資訊安全之定義	4
二、資訊安全之威脅	6
三、資訊安全之現況	6
四、資訊安全導入所遇之困難	8
第二節 ISO27001之概述	8
一、BS7799/ISO27001之演進歷程	8
二、BS7799/ISO27001之內容說明	9
三、標準檢驗局(CNS)引用之歷程	12
四、ISO27001目前全球及台灣導入現況	13
第三節 資訊人員類別與特質	15
一、資訊人員之定義	15
二、資訊人員之類型及職務內容	16
三、資訊人員之特質	18
第三章 研究方法	20
第一節 研究架構	20
第二節 資訊安全構面	20
一、資訊安全構面	21
二、資訊人員所屬組織性質、職務性質、個人性質構面	21
三、「導入之必要程度」、「工作量增減程度」、「提升資訊安全程度」構面		21
第三節 研究假設	22
第四節 研究流程	23
第五節 研究問卷與前測分析	24
一、問卷設計程序	24
二、初稿設計	25
三、問卷前測	26
四、正式問卷設計及操作型定義	27
第六節 資料分析分法	28
第七節 研究限制	28
第四章 研究結果與分析	29
第一節 問卷回收	29
一、問卷寄發與回收過程	29
第二節 問卷的信度與效度	29
一、資訊安全管理構面之信度檢定	30
二、效度檢定	31
第三節 問卷樣本資料之描述統計分析	31
第四節 資訊人員性質對於企業導入資訊安全管理之變異數分析	35
一、資訊人員對資訊安全管理其『導入之必要程度』之變異數分析	35
二、資訊人員對資訊安全管理其『工作量增減程度』之變異數分析	42
三、資訊人員對資訊安全管理其『資訊安全提升程度』之變異數分析	50
四、『導入之必要程度』、『工作量增減程度』、『資訊安全提升程度』之平均值分析	57
第五章 討論	59
第六章 結論與建議	65
第一節 研究結論	65
一、從資訊人員觀點探討資訊安全管理「導入必要程度」	65
二、從資訊人員觀點探討資訊安全管理導入對其「工作量增減程度」	66
三、從資訊人員觀點探討資訊安全管理「導入之必要程度」	66
四、『導入之必要程度』、『工作量增減程度』、『資訊安全提升程度』之分析討論	67
第二節 研究建議及限制	67
一、	對企業導入資訊安全之建議	67
二、	對後續研究者的建議	68
參考文獻	69
附錄	1

表目錄
表2-1：國內外對資訊安全之定義	5
表2-2：資訊安全威脅之原因及說明	6
表2-3：國內外近年重大金融資訊安全事件	7
表2-4：ISO27001：2005演進歷程	9
表2-5：ISO27001：2005之控制要項及控制目標	10
表2-6：CNS27001及CNS27002之演進歷程	12
表2-7：全球通過ISO27001認證的國家企業組織數量表	13
表2-8：台灣通過ISO27001認證之金融企業表	14
表2-9：資訊人員之分類表	16
表3-1：前測問卷各構面之操作化結果	25
表3-2：第二部份基本資料問項之分類及操作型定義	27
表4-1：正式問卷信度分析表	30
表4-2：正式問卷之次數分配表	31
表4-3：單因子變異數分析彙整表--「公司產業」	35
表4-4：平均數分析—「公司產業」	36
表4-5：單因子變異數分析彙整表--「公司規模」	36
表4-6：平均數分析--「公司規模」	37
表4-7：單因子變異數分析彙整表--「性別」	37
表4-8：單因子變異數分析彙整表--「學歷」	38
表4-9：平均數分析--「學歷」	38
表4-10：單因子變異數分析彙整表--「年紀」	39
表4-11：單因子變異數分析彙整表--「資訊單位之服務年資」	39
表4-12：單因子變異數分析彙整表--「工作職位」	40
表4-13：單因子變異數分析彙整表--「工作性質」	41
表4-14：單因子變異數分析彙整表--「公司是否取得ISO27001認證」	41
表4-15：單因子變異數分析彙整表--「公司產業」	42
表4-16：平均數分析--「公司產業」	43
表4-17：單因子變異數分析彙整表--「公司規模」	43
表4-18：單因子變異數分析彙整表--「性別」	44
表4-19：平均數分析--「性別」	44
表4-20：單因子變異數分析彙整表--「學歷」	45
表4-21：單因子變異數分析彙整表--「年紀」	46
表4-22：單因子變異數分析彙整表--「資訊單位之服務年資」	46
表4-23：單因子變異數分析彙整表--「工作職位」	47
表4-24：單因子變異數分析彙整表--「工作性質」	47
表4-25：平均數分析--「工作性質」	48
表4-26：單因子變異數分析彙整表--「公司是否取得ISO27001認證」	49
表4-27：平均數分析--「工作性質」	49
表4-28：單因子變異數分析彙整表--「公司產業」	50
表4-29：單因子變異數分析彙整表--「公司規模」	51
表4-30：平均數分析--「公司規模」	51
表4-31：單因子變異數分析彙整表--「性別」	52
表4-32：單因子變異數分析彙整表--「學歷」	52
表4-33：平均數分析--「學歷」	53
表4-34：單因子變異數分析彙整表--「年紀」	54
表4-35：單因子變異數分析彙整表--「資訊單位之服務年資」	54
表4-36：單因子變異數分析彙整表--「工作職位」	55
表4-37：單因子變異數分析彙整表--「工作性質」	55
表4-38：單因子變異數分析彙整表--「公司是否取得ISO27001認證」	56
表4-39：單因子變異數分析彙整表--「公司產業」	57
表5-1：在「導入之必要程度」方面，資訊人員所屬性質對資訊安全導入構面是否有顯著差異之列表	59
表5-2：在「工作量增減程度」方面，資訊人員所屬性質對資訊安全導入構面是否有顯著差異之列表	59
表5-3：在「提升資訊安全程度」方面，資訊人員所屬性質對資訊安全導入構面是否有顯著差異之列表	60

圖目錄
圖3-1：研究架構圖	20
圖3-2：研究流程圖	23
圖3-3：問卷操作化程序	24

參考文獻
一、英文文獻：
1.Bartol,K.M.,“Turnover Among DP Personnel: A Causal Analysis,”Communication of The ACM, Vol.26,No.10,1983, pp.807-811. Hills, CA: Sage, 155.
2. Bartol, K. M., & Martin, D. C., “Managing Information Systems Personnel : A of Review of The Literature and Managerial Implications,” MIS Quarterly,Vol.6,No.2, December ,1982, pp.49-70.
3. Computer Security Institute http://www.gocsi.com/forms/csi_survey.jhtml;jsessionid=FC0GQ0GDU2PFPQE1 GHRSKHWATMY32JVNMcQuail, Denis. (1994) Mass Communication Theory: An Introduction, Beverly Hills, CA: Sage, 155.
4. Cordes, C., Dougherty, T. W., & Blum, M., “Patterns of Burnout among Managers and Professionals : A Comparison of Models,” Journal of Organizational Behavior, Vol.18, 1997, pp.685-707.
5. David, I., Karl, S., Willaiam, V., 1999, Computer Crime, O'Reilly Associates Inc., Taiwan Branch.
6. Igbaria, M., “Career Orientations of MIS Employees : An Empirical Analysis,” MIS Quarterly, June, 1991, pp.151-169.

7. Igbaria, M. & Guimaraes, T., “Antecedents and Consequences of Job Satisfaction among Information Center Employees,” Journal of Management Information Systems, Vol.9, No.4, 1993, pp.145-174.

8. Igbaria, M., & Siegel, S. R., “The Reasons for Turnover of Information Systems Personnel,” Information and Management, Vol.23, 1992, pp.321-330.

9. King, R., & Sethi, V., “The Moderating Effect of Organizational Commitment on Burnout in Information System Professionals,” European Journal of Information Systems, Vol.6, 1997, pp.86-96.

10. Laudon,K.C.and Laudon, J.P. Management Information Systems:Organization and Technology in the Networked Enterprise ,6th ed , 2000.
11. Parker D.B.(1997),”Information Security in a Nutshell”,Information Systems Security , Spring, 16.

二、中文文獻：
1.IThome電腦報(2009a)，電腦雜誌，第406期，19頁。
2.IThome電腦報(2009b)，電腦雜誌，第423期，18頁。
3.IThome電腦報(2009c)，電腦雜誌，第419期，20頁。
4.黃亮宇（1992）「資訊安全規劃與管理」，松崗電腦圖書，台北。
5.黃文杰（1996）「電腦病毒與資訊安全」，初版，30-36。
6.李順仁（2007）「資訊安全」，文魁資訊股份有限公司，台北。
7.吳琮璠、謝清佳 (2007）「資訊管理理論與實務」，增訂版，松崗電腦圖書，台北。
8.林東清 (1994）「影響資訊人員工作滿意程度與工作績效的因素分析」，人力資源學報 , 第 3 期 , 頁 35-51。
9.Security (20090113) online available at http://www.i-security.tw
10.IThome (20090804) online available at http://www.ithome.com.tw/
11.杜偉欽（2006）「結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究」，成大工程科學研究所碩士論文。
12.林宏昇（2008）「植基於ISO 27001標準建構資訊安全稽核決策之研究－以股務資訊系統為例」，國防大學管理學院資訊管理學系碩士班碩士論文。
13.曾志忠（2002）「網際網路技術對資訊從業人員影響之研究」，義守大學資訊工程研究所碩士論文。
14.蘇守謙（2000）「資訊人員職業焦崩與離職決策研究」，國立中央大學資訊管理學系博士論文。
15.王建昌（1997）「學校教育對資訊從業人員技術養成之研究」，國立中央大學資訊管理學系研究所碩士論文。
16.邱淞瑋（2003）「企業導入ERP 對MIS角色影響之研究」，世新大學資訊管理研究所碩士論文。
17.黃良傑（2007）「證券業資訊人員工作壓力與職業倦怠關係之研究」，銘傳大學管理研究所在職專班碩士論文。
18.范錚強、Couger, J. D.、宋鎧（1993）「資訊人員的工作激勵－中美的差異， 資訊管理，第1卷第1期，民國82年，頁79-87。
19.周文賢（2002）「多變量統計分析—SAS/STAT之應用」，智勝文化。
20.劉敏智（2004）「運用BS7799建構資訊安全風險管理指標」，台北大學企業管理學系碩士論文。
21.詹燦芳（2007）「國內ISMS導入效益、成功要素與遭遇困難之研究」，國立臺灣科技大學資訊管理系碩士論文。
22.邱漢松（2008）「台灣資訊工作人員的樂觀程度研究-以某大型金控公司資訊部為例」，中央大學資訊管理研究所碩士論文。
23.鍾明憲（2008）「資訊人員對資訊安全系統導入意向之研究」，元智大學資訊管理學系碩士班論文。
24.吳明隆（2007）「SPSS統計應用學習實務(問卷分析與應用統計)」，知城圖書，經緯國際股份有限公司。