在我國競爭激烈的證券市場中，除了繁雜的證券交易，證券業也逐漸的重視資訊安全，『安全』是投資交易最根本的條件，證券業每日經手投資人龐雜的交易資料，牽涉巨額款項及資料安全，必須提供可信賴的投資環境。本研究將探討資訊人員資訊安全認知與資安治理成熟度之關聯性。研究採用實證法，透過問卷的形式來蒐集資料，問卷對象為證券業資訊人員，嘗試從分析結果中瞭解研究對象的資訊安全認知，對於證券業資安治理成熟度之影響。
   研究結果顯示資訊安全認知對資安治理成熟度有顯著正向相關影響，亦即資訊安全認知會顯著影響資安治理的成熟度高低；資訊安全認知僅與資訊人員的資安治理指瞭解程度有顯著影響有顯著影響，亦即資訊人員對資安治理瞭解程度越高越會影響對資訊安全認知的程度。

A reliable investing environment is a must for Security Companies due to the involvement of huge sum of money and information security. This study would discuss the correlation between information security awareness and the maturity level of how information security should be managed by IT personnel. This study was empirically tested  through gathering information and conducting survey on IT personnel from security companies, identifying how the information security awareness of IT personnel influence their maturity level of managing information security in terms of the security companies government.
   The results of this study indicated that information security awareness and the maturity level of information security’s management are positively correlated, meaning that information security awareness has direct significance over the maturity level of information security’s management. However, information security awareness related to various understanding from IT personnel towards how information security should be managed , meaning that the higher understanding IT personal have towards information security management; the greater significance it has over information security awareness would be.

目次 IV
表目次 VII
圖目次 IX

第一章 緒論 1
第一節 研究動機與目的 1
第二節 研究流程 4
第二章 文獻探討 5
第一節 資訊人員 5
第二節 治理 6
第三節 IT治理 8
第四節 資訊安全治理 9
第五節 資訊安全治理成熟度 12
第六節 資訊安全認知 15
第三章 研究設計 19
第一節 研究架構 19
第二節 研究假說 21
第三節 問卷設計及抽樣方法 24
第四節 資料分析方法 30
第四章 研究結果與分析 34
第一節 敘述統計分析 34
第二節 信度與效度分析 38
第三節 因素分析 40
第四節 獨立樣本T檢定與單因子變異數分析 46
第五節 相關分析 49
第六節 多元迴歸分析 51
第七節 資訊業務主管訪談彙整 56
第八節 研究假說驗證結果 62
第五章 討論 64
第一節 我國證券業資安治理現況 64
第二節 證券業資安治理成熟度 67
第三節 證券業資訊人員資訊安全認知程度 72
第四節 資訊安全認知與資安治理成熟度 74
第五節 未來資安治理改善項目 76
第六節 證券業資訊安全教育訓練 80
第六章 結論與建議 82
第一節 研究結論 82
第二節 研究建議及限制 84
參考文獻 86
附錄 92


表 2-1 資訊安全基礎知識與素養課程架構整理對照表 17
表 3-1 資訊安全認知題目彙整表 24
表 3-2 資安治理成熟度題數彙整表 25
表 3-3 抽樣樣本分佈情形 27
表 3-4 評估工具項目分類 28
表 3-4 組織IT依賴度分數級距	29
表 3-5 四類項目級距、分數、整體評價對應關係 29
表 4-1 施測樣本分佈情形 36
表 4-2 研究構面之信度分析表	39
表 4-3 各量表KMO及Bartlett's檢定結果 40
表 4-4 資訊安全認知之因素分析表 42
表 4-5 資安治理成熟度之因素分析表 45
表 4-6 獨立樣本T檢定與單因子變異數分析彙整表 46
表 4-7 資訊安全認知與資安治理成熟度之相關係數表	49
表 4-8 資訊安全認知影響組織IT依賴度之迴歸係數表 52
表 4-9 資訊安全認知影響風險管理評估之迴歸係數表 53
表 4-10 資訊安全認知影響組織與人員評估之迴歸係數表 54
表 4-11 資訊安全認知影響流程評估之迴歸係數表 55
表 4-12 資訊業務主管訪談彙整表(一) 56
表 4-13 資訊業務主管訪談彙整表(二) 60
表 4-14 H1～H4假說驗證結果表 62
表 5-1 證券業IT依賴度分數級距和分佈狀況 67
表 5-2 證券業資安治理成熟度評價和分佈狀況 68

圖 1-1 研究流程圖	4
圖 2-1 資訊安全治理概念模式圖 10
圖 2-2 資訊安全治理構成要素圖 11
圖 2-3 資訊安全治理成熟度模型 12
圖 3-1 研究架構圖 19

一、中文文獻

1.ITHome電腦報（2009），419，20。
2.台證稽字第0950031486號（2006）。
3.余崇倫（2006）。組織人員對資訊安全認知之研究，文化大學資訊管理研究所碩士論文。
4.行政院研究考核發展委員會（2006）。我國政府資通安全應用調查報告，台北市：行政院。
5.行政院科技顧問組（2007）。資安推動發展政策整合研究-資安治理機制與資安建設持續發展計畫，7-43。
6.行政院科技顧問組（2008）。資安治理機制研究規劃報告，39-51。
7.行政院科技顧問組（2010）。資通安全政策白皮書，台北市：行政院。
8.行政院國家資通安全會報（2009）。國家資通訊安全發展方案(98年至101年) ，18-21。
9.吳偲箐（2007）。資通安全治理之研究-以政府部門為例，淡江大學資訊管理研究所碩士論文。
10.吳倩萍（2005）。政府機關個人資訊安全認知與行為之探討，國立台北大學行政暨政策學系碩士論文。
11.吳明隆、涂金堂（2006）。SPSS與統計應用分析。台北市：五南圖書。
12.吳統雄（1990）。電話調查：理論與方法。台北市：聯經。
13.吳萬益（2008）。企業研究方法。台北市：華泰文化。
14.林定杰、郭姮劭（2010）。跟我學Word2010。台北市：碁峯資訊。
15.林惠玲、陳正倉（2004）。基礎統計學-觀念與應用。台北市：雙葉書廊。
16.柯炫旭（2010）。政府機關資安治理之研究-以台北市政府為例，淡江大學資訊管理研究所碩士論文。
17.財團法人中華民國國家資訊基本建設產業發展協進會（2006）。全球資安重點從技術防護調整為系統化、制度化的資安建置。
18.彭淑玲（2009）。我國企業IT治理之現況研究，淡江大學資訊管理研究所碩士論文。
19.曹明玉（2006）。資訊安全認知評量表之研究，淡江大學資訊管理研究所碩士論文。
20.孫強（2004）。資通安全治理。中國資訊系統審計與控制專業委員會，5-10。
21.管理資訊系統-管理數位化公司（周宣光譯）（2007）。台北市：東華書局。（原著出版年：2003）。
22.樊國禎、黃健誠（2009）。資安治理推動方案與落實電子化資安管理初探，資訊安全通訊，15(4)，1-23。
23.邱皓政（2005）。量化研究法(二)：「統計原理與分析技術」。台北市：雙葉書廊。
24.邱耀漢（2008）。公部門資訊治理評估模式，國家菁英季刊，5(2)，37-60。
25.郭佑誠（2008）。資通安全治理之研究-以民間企業為例，淡江大學資訊管理研究所碩士論文。
26.黃國欽（2006）。公部門資訊安全治理，國立中山大學企業管理研究所博士論文。
27.陳瑞祥（2003）。資訊安全治理白皮書談內控機制-董事會與高層應全面主導。資安人雜誌。
28.萬幼筠（2008）。以IT治理策略到企業績效管理。台北市：勤業會計師事務所。
29.羅雅萍（2010）。非營利組織資訊科技能力對資訊安全認知影響之研究，淡江大學資訊管理學系碩士論文。
30.謝清佳、吳琮璠（2003）。資訊管理理論與實務（5版）。台北市：智勝文化。

二、英文文獻
31.Andersen, P. W. (2001). Information Security Governance. Information Security Technical Report, 6, 3, 60-70.
32.Bourdariat, J. (2001). Corporate Governance and ICT : A Marriage of reason. Information Systems Control Journal, 6, 23-25.
33.Bryman, A. & Cramer, D. (1997). Quantitative Data Analysis with SPSS for Windows. London: Routledge.
34.Check Point Software Technologies Ltd. and Ponemon Institute (2010).  Understanding Security Complexity in 21st Century IT Environments.
35.Corporate Governance Task Force (2004). Information Security Governance a call to Action. Corporate Governance Task Force Report. 
36.DeVellis, R. F. (1998). Scale Development: Theory and Applications. NewBury Park, CA: Sage.
37.Gay, L. R. (1996). Educational research: Competencies for analysis and application. Englewood Cliffs, NJ: Merrill, Prentice-Hall.
38.Grembergen, W. V. (2003). Introduction to the Minitrack IT Governance and its Mechanisms.
39.Information Technique Governance Institute (2003). Board Briefing on IT Governance (2nd ed.). Rolling Meadows, IL.
40.ITGI (2006). Information Security Governance: Guidance for Boards of Directors and Executives Management (2nd ed.). Rolling Meadows, IL.
41.John, L. (2003). Improving user security behavior. Computers and Security, 22(8), 685-692.
42.Levine, K. (1986). The social context of literacy. London: Routledge & Kegan Paul.
43.Lord, R. G. (1985). An information processing approach to social perceptions, leadership perceptions and behavior measurement on organizational settings. Research in organizational behavior, 7, 87-128.
44.MaManus, J. (2004). Workong toward an information governance strategy. Management Services, 48(8), 8-13.
45.McKenney, J. L. (1995). Waves of Change: Business Evolution Through Information Technology. Cambridge, MA: Harvard Business School Press.
46.Moulton, R., & Coles, R. S. (2003). Applying Information Security Governance. Computers and security, 22, 580-584.
47.National Information Standards and Technology (1998). Information Technology Security Training Requirements: A Role- and Performance-Based Model ( NIST SP 800-16). Washington, DC: U.S. Government Printing Office.
48.NIST (2006). Information security Handbook : A Guide for Managers. Washington, DC: U.S. Government Printing Office.
49.NIST (2003). Building an Information Technology Security Awareness and Training Program. (NIST SP 800-50). Washington, DC: U.S. Government Printing Office.
50.Pedhazur, E. J. (1982). Multiple regression in behavioral research: Explanation and prediction (2nd ed.). New York: Holt, Rinehart, and Winston.
51.Peterson, R. (2004). Crafting information technology governance. Information Systems Management, 21(4), 7-22. 
52.Pettigrew, A. M. (1983). On Studying Organizational Cultures. Administrative Science Quarterly, 28.
53.Poole, V. (2006). Why Information Security Governance Is Critical to Wider Corporate Governance Demands- A European Perspective. Information Systems Control Journal, 1, 23-25.
54.Ralph Spencer Poore. (2005). Information Security Governance. EPDACS.
55.Schwarz, A., & Hirschheim, R. (2003). An extended platform logic perspective of IT governance managing perceptions and activities of IT. The Journal of Strategic Information Systems, 12(2), 129-166.
56.Shaun Posthumus, & Von Solms, R. (2004). A Framework for the governance of information security. Computers and security, 23, 638-646.
57.Von Solms, R., & Von Solms, S. H. (2006). Information Security Governance:A model based on the Direct-Control. Computer and Security, 25, 408-412.
58.Weill, P., & Ross, J. W. (2004). IT governance : How top performers manage IT decision rights for superior results. Boston, MA : Harvard Business School Press.
59.Weill, P. (2004). Don’t Just Lead Govern: How Top-Performing Firms Govern IT. MIS Quarterly Executive, 3(1), 1-17.
60.Wilson, M. & Dorothea E. de Zafra, Sadie I. Pitcher, John D. Tressler, John B. Ippolito. (1988). Information Technology Security Training and Performance-Based Model. (NIST SP 800-16). Washington, DC: U.S. Government printing office