問卷設計

一、 設計過程

本研究根據中華民國國家標準「ISO27001」、「ISO27002」、「CMMI-1.2 中文 版」流程管理之能力度等級模式與文獻資料等，選擇適用於發展的能力成熟度 整合模式（CMMI）之流程領域與 CNS 資訊技術－安全技術－資訊安全管理作業 規範（ISO27002）條文符合性高度相關的內容設計問卷。問卷設計內容編排確 定後，請有計劃導入 ISO27001 公務部門資訊人員、已導入 ISO27001 公務部門 資訊人員與認證之相關人員進行前測，合計 6 人進行前測，修正缺失題目，修 改題意不清或艱深詞句，最後與專家學者討論後，完成正式問卷，期資訊部門 人員能夠了解問卷內容。問卷內容包含受訪者基本資料、ISO27002 的重要性認 知及 CMMI-流程管理之能力度等級施行程度三部分，共 40 題，整個填答過程應 可於十五分鐘內完成。

二、 正式問卷內容

本研究問卷內容共分為三個部用封閉式結構型問卷 1、 第一部份是組織資訊安全管理導入的選擇描述。

表 4-6 本研究問卷第一部份之衡量構面來源 分析項目 變項/

題數

節次 衡量問題

基本資料 4 1、請問您目前的職務是?

2、請問貴單位對於 ISO27001 的導入情形?

3、請問您是否知悉 ISO27001 資訊安全管理系統要求 事項?

4、請問您是否知道 CMMI 能力成熟度整合模式之流程 管理?

資料來源：本研究整理

2、 第二部份是 ISO27002 對資訊安全管理的重要性認知，以李克特 (Liker)五點量表進行調查。

表 4-7 本研究問卷第二部份之衡量構面來源

3、 第三部份是 ISO27001 條文與 CMMI 高度相關的各流程領域部份目標施 行程度，採用經濟部工業局軟體生產力提升計畫(經濟部工業局，民 91)-軟體發展能力評估問卷之評分標準，參酌 CMMI 流程改善量化績效 指標資料訂定衡量構面。

表 4-8 本研究問卷第三部份之衡量構面來源

ISO27001 要求事項對應 CMMI 各流程領域目標與執行方法 01 風險評鑑及處理 風險管理- SP 2.1 界定風險(p480) 02 風險評鑑及處理 風險管理-SP 2.2 評估、分類及排序風險

(p483)

03 資訊安全政策文件 組織流程定義+ IPPD-SP 1.1 建立標準流程 (p247)

04 資訊安全政策文件 組織流程定義+ IPPD-SP 1.3 建立調適準則 及指引(p248)

05 資訊安全的組織 組織流程專注-SP 1.1 建立組織流程需要 (p271)

06 資訊安全的組織 組織流程專注-SP 3.2 推展標準流程(p280) 07 資產管理 組織流程定義+ IPPD-SP 1.4 建立組織度量

儲存庫(p251)

08 資產管理 組織流程定義+ IPPD-SP 1.5 建立組織流程 資產館(p252)

09 人力資源安全 供應商協議管理-SP 2.1 執行供應商協議 (499)

10 人力資源安全 專案監控-SP 1.5 監控關鍵人員的參與 (p353)

11 實體與環境安全 風險管理-SP 1.3 建立風險管理策略(p479) 12 實體與環境安全 風險管理-SP 3.2 執行風險降低計畫(p489) 13 通訊與作業管理 建構管理-SP 1.2 建構管理系統(p127) 14 通訊與作業管理 建構管理-SP 3.1 建立建構管理記錄(p133) 15 存取控制 專案監控-SP 1.4 監控承諾事項(p351) 16 存取控制 專案監控-SP 2.3 管理矯正措施(p357) 17 資訊系統獲取開發及維

護

專案監控-SP 1.7 進行里程碑審查 (p355) 18 資訊系統獲取、開發及維

護

組織流程績效-SP 1.4 建立流程績效基準 (p298)

19 資訊安全事故管理 組織流程績效-SP 1.3 設定品質及流程績效 目標(p295)

20 資訊安全事故管理 組織流程專注-SP 3.4 彙整流程相關經驗納

入組織流程資產(p281)

21 營運持續管理 組織創新與推展-SP 1.4 選擇改善措施以便 推展(p228)

22 營運持續管理 組織創新與推展-SP 2.3 度量改善效果 (p233)

23 遵循性 組織流程績效-GP 5.1 確保持續的流程改善 (p306)

24 遵循性 組織流程績效-GP 2.9 客觀評估遵循程度 (p304)

資料來源：本研究整理