國內關於資安相關的個案研究，大多針對單一組織管理面進行探討，而本研究係透過A公司執行三個政府機關技術面的資安健診專案所得到結果，進行交叉分析，希望透過三個個案的執行結果，進行比較，找出機關間共同存在的問題。透過問題的發現及評估可能的風險，進而提出降低風險的方式。

本研究針對三個個案結果進行比較分析後，發現針對網站安全、網路架構、內部網路防護機制、個人電腦與伺服器惡意程式防護與更新管理; 系統、資料庫與網路安全設定等五個構面存在類似的問題，如三個機關網站均存在OWASP 2013 TOP 10的問題，有兩個機關存在相同的惡意程式，使用者電腦與伺服器更新管控機制及內部網路存取管控均較弱等問題。兩個機關在資料庫重要資料加密與稽核機制均缺乏管控機制，三個機關對外服務使用之通訊協定均有未加密而產生可能洩露重要資訊的風險。行政院國家資通安全會報雖針對上述五個構面有訂定相關規範且不定期執行稽核，但由於各機關執行的範圍與落實度不盡相同，導致無法顯示真實的防護情況。例如X機關ISO27001驗證的範圍較其他機關廣泛，所以在資安健診結果上整體資安的強度較其他機關高。本研究提出幾個改善的建議，期望透過這些建議可改善政府的整體資安現況。

The majority of regional case studies on information security focus on the management of individual organizations, this study however cross an analysis diagnosis results from “Company A” on the information security (technology-wise) of three government agencies. Through this study, common mistakes among organizations can be identified, risks can be evaluated, and approaches to reduce such risks will be proposed.
It is found in this study that similar problems on web security, network architecture, internal network protection mechanisms, update management, databases security were identified in all three cases. Meaning that although regulations and guidelines on information security for all government divisions are set by the National Information and Communication Security Taskforce, and audits are carried out irregularly, the extent of accomplishments of each and individual divisions vary significantly, resulting their true security level not fully reflected. For instance, “Organization A” gets best mark on over all information security only because it has a wider inspection range on ISO27001. Several recommendations are proposed in this study for future improvements. It is expected that the information security level of our government will be enhanced through these suggestions.

目次   IV
表目錄  VI
圖目錄   VIII
第一章	緒論	1
第一節	研究背景與動機	1
第二節	研究目的	4
第三節	論文架構	5
第四節	研究範圍與限制	6
第二章	文獻探討	8
第一節	資訊安全的定義	8
第二節	機關資訊安全責任等級	10
第三節	執行方式	13
第四節	資訊安全風險等級	17
第三章	研究架構與設計	20
第一節	研究架構	20
第二節	研究設計	21
第三節	研究流程	22
第四章	個案研究與資料分析	23
第一節	個案描述	23
第二節	基本資料分析	27
第三節	三機關個案比較分析	60
第五章	結論與建議	76
第一節	結論	76
第二節	建議與未來研究方向	79
參考文獻	81
 
表目錄
表1-1資安健診計畫服務項目與範圍	7
表2-1政府機關（構）資訊安全責任等級應執行工作事項	12
表2-2資安健診計畫參考文獻與項目	15
表2-3微軟資安嚴重性等級	17
表3-1研究項目與研究資料之關聯	21
表4-1機關X檢測的範圍	34
表4-2機關Y檢測的範圍	46
表4-3機關Y惡意程式列表	46
表4-4機關Y使用者更新檢測結果列表	47
表4-5機關Y伺服器主機檢視發現	47
表4-6機關Y伺服器主機更新檢測	48
表4-7機關Y之AD群組原則檢視	48
表4-8機關Z本次檢測的範圍	56
表4-9機關Z惡意程式列表	56
表4-10機關Z使用者更新檢測結果列表	57
表4-11機關Z伺服器主機更新檢測	57
表4-12機關Z之 AD伺服器群組原則設定	58
表4-13三機關個案比較分析表	67
表4-13（A）三機關個案比較分析表（續）	68
表4-13（B）三機關個案比較分析表（續）	69
表4-13（C）三機關個案比較分析表（續）	70

 
圖目錄
圖2-1資訊系統分類分級與鑑別機制處理程序圖	18
圖3-1研究流程圖	22
圖4-1機關X之網路架構邏輯示意圖	23
圖4-2機關Y之網路架構邏輯示意圖	25
圖4-3中心P網路架構示意圖	25
圖4-4機關Z之網路架構邏輯示意圖	26
圖4-5機關X網站弱掃結果	28
圖4-6機關Y網站弱掃結果	37
圖4-7機關Z網站弱掃結果	50

一、中文文獻
1.行政院國家資通安全會報，《政府機關（構）資訊安全責任等級分作業施行計畫》，臺北：行政院，2009。
2.行政院國家資通安全會報，《國家資通訊安全發展方案（98年至 101年）》，臺北：行政院，2009。
3.行政院國家資通安全會報，《資訊系統分類分級與鑑別機制》，臺北：行政院，2009。
4.行政院國家資通安全會報，<政府機關是否辦理資安稽核業務？>，網址：http://www.nicst.ey.gov.tw/News_Content.aspx?n=283E5E09B7E62655&sms=BC5E204B65C9D817&s=B93FF8D386E9B7EC，上網日期：2014年4月11日
5.李振昌譯，Fischer and Green著，《企業安全管理完全手冊》，臺北：紐奧良文化，2002。
6.吳思菁，《資通安全治理之研究-以政府部門為例》，碩士論文，淡江大學資訊管理學系，2008。
7.林傳敏，電腦稽核— 網路世代不能沒有電腦稽核觀念(上)，企銀報導，18卷6期，頁44-55，6月，2000。
8.林傳敏，電腦稽核— 網路世代不能沒有電腦稽核觀念(下)，企銀報導，18卷7期，頁25-33，7月，2000。
9.柯炫旭，《政府機關資安治理之研究-以臺北市政府為例》，碩士論文，淡江大學資訊管理學系，2010。
10.陳瑞祥，<資訊安全治理：董事會與高層應全面主導>，網址：  http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6158#ixzz2u22P31NK，上網日期：2013年12月1日。
11.陳耀崑，電腦稽核與安全控管，89年農漁會信用部稽核人員班講義，2000。
12.張士龍，《政府部門導入ISO27001 關鍵成功因素之研究》，碩士論文，世新大學，資訊管理學系，2007。
13.張景皓，<韓國爆發史上最大駭客攻擊：下午2點硬碟自動銷燬>，網址：http://www.ithome.com.tw/node/79400#.Uwg_i_mSw4Y，上網日期：2013年11月13日。
14.黃亮宇著，《資訊安全規劃與管理》，台北：松崗電腦圖書公司，1992。
15.黃彥棻，<政府電子公文系統被駭，主管單位竟企圖遮掩>，網址：http://www.ithome.com.tw/node/80703#.UwhB_PmSw4Y，上網日期：2013年11月18日。
16.廖珮君，<強化政府資安防禦能力　從稽核與健診開始>，網址：http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7338，上網日期：2014年5月19日。
17.蕭秀琴，<資通安全大攻防>，網址：http://news.ey.gov.tw/News_Content2.aspx?n=DDD0705B2394AD88&s=B38799813171EEFF，上網日期：2013年12月19日。 
 

二、英文文獻
18.Cisco, “CISCO Network Security Baseline,” Cisco Corporation, 2008.
19.CSI, “2010/2011 Computer Crime And Security Survey,” Computer Security Institute, 2010.
20.ICSA, “Information Security Health Check,” Information and Computer Security Architecture, 2002.
21.ISO/IEC 27001:2005, Information Technology—Security Techniques—Information Security Management Systems—Requirements.
22.ISO/IEC 27002:2005, Information Technolog—Security Techniques—Code of Practice for Information Security.
23.ISO/IEC 27005:2008, Information Technology—Security Techniques—Information Security Risk Management.
24.Microsoft, “Security Health Check (SECHC),” Microsoft Corporation, 2007.
25.NIST, “Special Publication (SP) 800-44 Version 2,” National Institute of Standards and Technology, 2007.
26.OWASP, “OWASP Top 10 Application Security Risks 2013,”The Open Web Application Security Project, 2013.
27.Rusell, D. & Gangemi, G. T.  , “Computer  Security  Basics”,  California: O’Reilly & Associates Inc, 1992.
28.Robert K. Yin, Case Study Research: Design And Methods, California: Sage Publishing, 1994.
29.Weber, Ron., Information Systems Control and Audit , Prentice Hall Press, Inc., Oct. 1998.
30.SANS, “SANS Institute Linux Security Checklist,”SANS Institute, 2012.
31.Schneider, E.C. and Therkalsen, G.W., “How Secure Are Your System?” Avenues to Automation, 1990, pp.68-72.
32.Symantec,“2013 Norton Report, ”Symantec  Corporation, 2013
33.US Department of Commerce, 1979, Guidelines for automatic data processing risk analysis. FIPS Publications 65.