隨著數位科技之應用發展，政府及企業所面臨的資安風險更趨複雜也更加受到重視。於 2021 年 5 月，國內新冠病毒疫情升溫，許多企業實施如居家遠距辦公之措施作為因應，使得企業所面臨之資安風險增加。近年來有多家產險業者推出資安相關保險商品，且保費收入逐年呈成長趨勢，然而其業務占比仍非常低。
因此本研究目的分別為探討企業組織所面臨之資安風險、新冠病毒疫情對資安風險之影響、臺灣企業組織對於資安風險之重視程度以及購買資安相關保險之意願。
本研究藉由網路問卷進行調查，並透過基本統計量、敘述性統計、單因子變異數分析以及羅吉斯迴歸分析等統計方法來探討。調查結果顯示多數受訪者不願意購買資安相關保險之原因為其不了解承保範圍、仍在觀望等；而迴歸結果顯示，行業類別、資本額及員工人數會影響資安相關保險商品的購買意願。

With the development of the application of digital technology, the information security risks faced by the government and the enterprises have become more complex and more valued. In May 2021, the COVID-19 in domestic was heating up, many companies have implemented measures such as working from home as a response, which has increased the information security risks faced by companies. In recent years, many non-life insurers had launched information security-related insurance products, and the total premium income has been growing year by year. However, the business proportion of the information security insurance is still very low.

Therefore, the purpose of this study is to explore the information security risks faced by enterprises and organizations, the impact of the COVID-19 on information security risks, the degree of concern of information security risks to Taiwanese enterprises, and their intention of purchasing cyber insurance.

This study conducted a survey through questionnaires, and discussed through statistical methods such as basic statistics, descriptive statistics, one-way analysis of variance, and logistic regression analysis. The results of the survey showed that most respondents are unwilling to purchase information security-related insurance because they do not understand insurance coverage and are still on the sidelines; The results of the regression analysis showed that the type of industry, the amount of capital and the number of employees will affect the intention of purchasing information security-related insurance products.

第一章 緒論 1
第一節 研究背景 1
第二節 研究動機及目的 3
第三節 研究流程 4
第二章 文獻回顧 6
第一節 資訊安全風險四層面 6
第二節 新冠病毒疫情對資安風險的影響 14
第三節 資訊安全保險 15
第三章 研究方法 18
第一節 問卷設計與調查 18
第二節 變數操作定義 19
第三節 資料分析方法 24
第四章 實證結果 25
第一節 基本統計量 25
第二節 敘述性統計 40
第三節 信度分析 42
第四節 變異數分析 43
第五節 迴歸分析 58
第五章 結論與建議 66
第一節 研究結論 66
第二節 研究限制與建議 67
參考文獻 68
附錄 72

表目錄
表 2-1  資安險保費占比 17
表 3-1  企業資安風險認知之題目 19
表 3-2  企業資安風險重視程度之題目 20
表 3-3  企業資安風險管理之題目 21
表 3-4  購買資安相關保險決策之題目 21
表 3-5  受訪者特性之選項 22
表 4-1  研究樣本之分布 27
表 4-2  從公司教育訓練得知資安議題之占比 30
表 4-3  不同行業於資安事故發生可能性之調查結果 31
表 4-4  各行業於資安事故所致影響之調查結果 33
表 4-5  保險成本之調查結果 38
表 4-6  受訪者對公司系統或設備信心程度之平均數及標準差 40
表 4-7  公司於資安風險重視程度之平均數及標準差 40
表 4-8  資安風險重視程度之信度分析 42
表 4-9  行業類別對「資安風險信心程度」之變異數分析 43
表 4-10 公司類型對「資安風險信心程度」之變異數分析 44
表 4-11 資本額對「資安風險信心程度」之變異數分析 44
表 4-12 員工人數對「資安風險信心程度」之變異數分析 45
表 4-13 是否有外資持股對「資安風險信心程度」之變異數分析 46
表 4-14 公司是否有經營電子商務對「資安風險信心程度」之變異數分析 47
表 4-15 職位對「資安風險信心程度」之變異數分析 48
表 4-16 是否為資訊部門人員對「資安風險信心程度」之變異數分析 48
表 4-17 有自身經歷-行業類別對「資安風險重視程度」之變異數分析 49
表 4-18 無自身經歷-行業類別對「資安風險重視程度」之變異數分析 49
表 4-19 有自身經歷-公司類型對「資安風險重視程度」之變異數分析 50
表 4-20 無自身經歷-公司類型對「資安風險重視程度」之變異數分析 51
表 4-21 有自身經歷-資本額對「資安風險重視程度」之變異數分析 51
表 4-22 無自身經歷-資本額對「資安風險重視程度」之變異數分析 51
表 4-23 有自身經歷-員工人數對「資安風險重視程度」之變異數分析 52
表 4-24 無自身經歷-員工人數對「資安風險重視程度」之變異數分析 52
表 4-25 有自身經歷-是否有外資持股對「資安風險重視程度」之變異數分析 53
表 4-26 無自身經歷-是否有外資持股對「資安風險重視程度」之變異數分析 53
表 4-27 有自身經歷-是否有經營電子商務對「資安風險重視程度」之變異數分析 53
表 4-28 無自身經歷-是否有經營電子商務對「資安風險重視程度」之變異數分析 54
表 4-29 有自身經歷-職位對「資安風險重視程度」之變異數分析 54
表 4-30 無自身經歷-職位對「資安風險重視程度」之變異數分析 55
表 4-31 有自身經歷-是否為資安人員對「資安風險重視程度」之變異數分析 55
表 4-32 無自身經歷-是否為資安人員對「資安風險重視程度」之變異數分析 56
表 4-33 變異數分析結果小結 57
表 4-34 變數定義一覽表 58
表 4-35 羅吉斯迴歸分析 60
表 4-36 金融及保險業無意願購買保險之原因 61
表 4-37 資本額為「1 億元以上」者無意願購買保險之原因 61
表 4-38 保險成本 62

圖目錄
圖 1-1  研究流程架構圖 5
圖 4-1  資訊安全議題來源之調查結果 29
圖 4-2  資安事故發生可能性之調查結果 30
圖 4-3  資安事故所致影響之調查結果 32
圖 4-4  資安威脅來源之調查結果 34
圖 4-5  實施資安風險管理情形之調查結果 35
圖 4-6  投資於資安防護上之調查結果 35
圖 4-7  執行相關資安措施之調查結果 36
圖 4-8  勒索軟體攻擊所致損失之調查結果 37
圖 4-9  資安相關保險商品購買意願之調查結果 37
圖 4-10 透過保險的機制移轉損失之調查結果 38
圖 4-11 不願意購買保險因素之調查結果 39

一、中文文獻
(一)論文期刊
1.林彥良, 2020, 「遠距工作的資安風險與防護重點」, 會計研究月刊, 414期：頁56-62
2.洪嘉慶、黃正魁、古政元, 2018, 「資訊安全新聞事件與企業股價異常報酬之研究」, 中華民國資訊管理學報，25 卷 3 期：頁283-306
3.黃瓊瑩, 2018, 「淺談關鍵基礎設施防護情資分享與分析之建置經驗與展望」, 財金資訊季刊, 94期：頁24-31
4.鄭昭平, 2019, 「高科技半導體廠資訊整合與安全」, 土木水利, 46卷6期：頁24-29
5.蔡在昇, 2020, 「淺談科技與網路安全防護趨勢發展」, 海軍學術雙月刊,  54卷2期：頁56-69
6.蔡一郎, 2019, 「數位時代下的多層次防禦」, 國土及公共治理季刊, 7卷4 期：頁40-49
7.簡立忠, 2019, 「2020 資本市場資訊科技發展與資安防護策略」, 證券服務, 674期：頁7-10。

(二)政府發行刊物
1.行政院國家資通安全會報, 2017, 「國家資通安全發展方案（106 年至 109 年）」
2.行政院國家資通安全會報, 2021, 「國家資通安全發展方案（110 年至 113 年）」

二、英文文獻
1.Chigada, J., & Madzinga, R. 2021. Cyberattacks and threats during COVID-19: A systematic literature review. South African Journal of Information Management, 23(1). doi: http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.4102/sajim.v23i1.1277
2.Colicchia, C., Creazza, A., & Menachof, D. A. 2019. Managing cyber and information risks in supply chains: Insights from an exploratory analysis. Supply Chain Management, 24(2), 215-240. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/SCM-09-2017-0289
3.Eling, M., & Schnell, W. 2016. What do we know about cyber risk and cyber risk insurance? The Journal of Risk Finance, 17(5), 474-491. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/JRF-09-2016-0122
4.Faisal, M. N.、Banwet, D. K., & Shankar, R. 2006. Supply chain risk mitigation: Modeling the enablers. Business Process Management Journal, 12(4), 535. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/14637150610678113
5.Ghadge, A., Weiß, M., Caldwell, N. D., & Wilding, R. 2020. Managing cyber risk in supply chains: A review and research agenda. Supply Chain Management, 25(2), 223-240. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/SCM-10-2018-0357
6.Hudson, D., & Brunsman, J. 2017. What CPAs need to know about cyber insurance: Understanding the threats and policy provisions: Certified public accountant. The CPA Journal, 77-84.
7.Jang-Jaccard, J., & Nepal, S. 2014. A survey of emerging threats in cybersecurity. Journal of Computer and System Sciences, 80(5), 973-993. doi:http://dx.doi.org/10.1016/j.jcss.2014.02.005
8.Keller, S., Powell, A., Horstmann, B., Predmore, C., & Crawford, M. 2005. Information security threats and practices in small businesses. Information Systems Management, 22(2), 7-19.
9.Kolodzinski, O. 2002. Cyber-insurance issues: Managing risk by tying network security to business goals: Certified public accountant. The CPA Journal, 72(11), 10-11.
10.Kuru, D., & Bayraktar, S. 2017. The effect of cyber-risk insurance to social welfare. Journal of Financial Crime, 24(2), 329-346. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/JFC-05-2016-0035
11.Levantesi, S., & Piscopo, G. 2021. COVID-19 crisis and resilience: Challenges for the insurance sector. Advances in Management and Applied Economics, 11(3), 1-12. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.47260/amae/1131
12.McFadzean, E., Ezingeard, J. N., & Birchall, D. 2007. Perception of risk and the strategic impact of existing IT on information security strategy at board level. Online Information Review, 31(5), 622. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/14684520710832333
13.Nyanchama, M. 2005. Enterprise vulnerability management and its role in information security management. Information Systems Security, 14(3), 29-56.
14.Pandey, S., Singh, R. K., Gunasekaran, A., & Kaushik, A. 2020. Cyber security risks in globalized supply chains: Conceptual framework. Journal of Global Operations and Strategic Sourcing, 13(1), 103-128. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/JGOSS-05-2019-0042
15.Rainer, R. K., Jr., Marshall, T. E., Knapp, K. J., & Montgomery, G. H. 2007. Do information security professionals and business managers view information security issues differently? Information Systems Security, 16(2), 100-108.
16.Shetty, S., McShane, M., Zhang, L., Kesan, J. P., Kamhoua, C. A., Kwiat, K., & Njilla L. L. 2018. Reducing informational disadvantages to improve cyber risk Management. Geneva Papers on Risk & Insurance, 43(2), 224-238. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1057/s41288-018-0078-3
17.Smidt, d. G., & Botzen, W. 2018. Perceptions of corporate cyber risks and insurance decision-making. Geneva Papers on Risk & Insurance, 43(2), 239-274. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1057/s41288-018-0082-7
18.Smith, G. S. 2004. Recognizing and preparing loss estimates from cyber-attacks. Information Systems Security, 12(6), 46-57.
19.Stewart, H., & Jürjens, J. 2017. Information security management and the human aspect in organizations. Information and Computer Security, 25(5), 494-534. doi:http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.1108/ICS-07-2016-0054
20.Susanto, H., Leu, F. Y., Mohiddin, F., Setiawan A. A. R., Parastou, K. H., & Setiana, D. 2021. Revealing social media phenomenon in time of COVID-19 pandemic for boosting start-up businesses through digital ecosystem. Applied System Innovation, 4(1), 6. doi: http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.3390/asi4010006
21.Yousif, M., Hewage, C., & Nawaf, L. 2021. IoT technologies during and beyond COVID-19: A comprehensive review. Future Internet, 13(5), 105.
doi: http://dx.doi.org.ezproxy.lib.tku.edu.tw/10.3390/fi13050105