後續研究建議

本研究之研究方法與研究結論，礙於若干因素限制(請參考 3.5 節)，未臻完備之處，

尚待後續研究持續探討：

 本研究主題探討電信業者的資訊安全管理，對於部分敏感的資訊，受訪者在安全 考量與自我防衛的前提之下，陳述時傾向持保留態度，建議採長期參與觀察的方 法，以利深入瞭解；此外，本研究根據有限的個案資料歸納分析，缺乏量化數據 的支持，未來藉由結構化問卷的方式進行定量研究，以做進一步驗證。

 國內電信業務繁雜，經營業者眾多，總計高達 606 家，本研究以第一類電信業者 為研究對象，未來可將第二類電信業者納入研究範圍，以對整體電信產業的資訊 安全管理狀況有完整的瞭解。

 本研究以 ISO 27001 作為探討電信業者資訊安全管理的基礎，其標準規範的 133 項控制措施雖然涵蓋範圍廣泛，但仍可能有未盡之事宜，未來可針對電信產業的 特性，發展額外的控制目標與控制措施，讓電信業者的資訊安全管理更為完善。

 資訊系統的發展趨勢由封閉式系統過渡至開放式系統，電信產業亦不例外，許多 通訊標準與設備逐漸走向開放式架構，這也意謂著電信業者將面臨更為嚴峻的資 訊安全威脅，未來可針對開放式系統對於電信業者在資訊安全管理的影響層面做 深入的探討。

 現階段電信業者提供網路服務予使用者，但並未阻斷惡意的攻擊活動，因此在某 種程度上電信業者間接成了資訊安全問題的幫兇，未來如何提供更多資訊安全的 解決方案或加值服務(例如：病毒掃描或入侵偵測防護等)，提升電信服務的等級 與價值，可作為市場行銷的研究主題，也是電信業者需加以思考的課題。

參考文獻

中文部分

[1] Babbie, Earl R. (2007)，社會科學研究方法，十版，陳文俊譯，雙葉書廊，台北。

[2] BSI 英國標準協會(2007)，「資訊安全管理系統基礎課程」。

[3] 方仁威(2006)，「資訊安全管理系統驗證作業之研究」，國立交通大學，博士論文。

[4] 行政院國家資通安全會報，http://www.nicst.nat.gov.tw，2009 年 3 月。

[5] 李仁暉(2008)，「台灣金融業導入資訊安全管理系統關鍵成功因素研究─以 A 金控 為例」，淡江大學管理科學研究所，碩士論文。

[6] 杜偉欽(2006)，「結合 HIPAA 與 ISO27001 為基礎探討醫療院所資訊安全管理之研 究」，國立成功大學，碩士論文。

[7] 李慧蘭(2006)，「國際資訊安全標準 ISO 27001 之網路架構設計–以國網中心為例 探討風險管理」，TANET2006，台北。

[8] 林曙熙(2004)，「企業資訊安全管理之認知與實施研究」，國立清華大學工業工程 研究所，碩士論文。

[9] 侯皇熙(2004)，「植基於 BS7799 探討政府部門的資訊安全管理─以海關資訊部門 為例」，國立成功大學，碩士論文。

[10] 查士朝(2006)，「BS 7799/ISO 17799/ISO 27001 資訊安全管理制度介紹與導入實 務」，資誠會計師事務所。

[11] 柯心瀅(2000)，「大陸軟體研發人才招募與管理」，國立交通大學，碩士論文。

[12] 國家通訊傳播委員會，http://www.ncc.tw，2009 年 2 月。

[13] 國家資通安全會報(2004)，「各政府機關(構)落實資安事件危機處理具體執行方案」。 [14] 國家資通安全會報(2005)，「政府機關(構)資訊安全責任等級分級作業施行計畫」。

[15] 許雪蓮(2006)，「以 BS7799 為基礎評估軍事單位資訊安全環境之研究：以國軍 M 單位為例」，大同大學資訊經營研究所，碩士論文。

[16] 陳兆祺(2007)，「導入 BS7799 標準對建立資訊安全文化影響之經驗研究─以 Y 公 司為例」，大同大學資訊經營研究所，碩士論文。

[17] 陳連枝(2003)，「國內金融控股公司資訊安全管理系統之探討」，長庚大學企業管 理研究所，碩士論文。

[18] 曾淑惠(2002)，「以 BS 7799 為基礎評估銀行業的資訊安全環境」，淡江大學資訊 管理研究所，碩士論文。

[19] 楊智翔(2007)，「運用 CNS17799 檢視醫療院所之資訊安全管理─以屏東地區大型 醫院為例」，屏東科技大學，碩士論文。

[20] 經濟部標準檢驗局(2006)，「ISO 27001:2005 資訊安全管理系統要求」。

[21] 葉相妤(2002)，「運用 BS 7799 檢測醫療院所資訊安全管理作業文件之研究」，國 立陽明大學衛生資訊與決策研究所，碩士論文。

[22] 鄭東昇(2005)，「資訊安全管理系統與企業網路安全實作探討」，國立交通大學資 訊管理研究所，碩士論文。

英文部分

[1] Bellone, Jason (2008), “Reaching escape velocity: A practiced approach to information security management system implementation”, Information Management & Computer Security, 16(1), pp. 49-57.

[2] Boehmer, Wolfgang (2008), “Appraisal of the Effectiveness and Efficiency of an Information Security Management System Based on ISO 27001”, The Second

International Conference on Emerging Security Information, Systems and Technologies, pp. 224-231.

[3] Broderick, J. Stuart (2006), “ISMS, security standards and security regulations”, Information Security Technical Report, 11(1), pp. 26-31.

[4] Chang, Shuchih Ernest & Ho, Chienta Bruce (2006), “Organizational factors to the effectiveness of implementing information security management”, Industrial Management & Data Systems, 106(3), pp. 345-361.

[5] Eisenhardt, Kathleen M. (1989), “Building Theories from Case Study Research”, Academy of Management Review, 14(4), pp. 532-550.

[6] Ezingeard, Jean-Noel & Birchall, David (2006), “Information Security Standards:

Adoption Drivers”, IFIP International Federation for Information Processing, 193, pp.

1-20.

[7] Freeman, Edward H. (2007), “Holistic Information Security: ISO 27001 and Due Care”, Information Security Journal: A Global Perspective, 16(5), pp. 291-294.

[8] Huang, Shi-Ming (2006), “Balancing performance measures for information security management - A balanced scorecard framework”, Industrial Management & Data Systems, 106(2), pp. 242-255.

[9] Humphreys, Edward (2008), ”Information security management standards: Compliance, governance and risk management”, Information Security Technical Report, 13(4), pp.

247-255, November 2008.

[10] Humphreys, Ted & Plate, Angelika (2005), Measuring the effectiveness of your ISMS implementations based on ISO/IEC 27001, BSI Standards.

[11] International Register of ISMS Certificates, http://www.iso27001certificates.com, Mar 2009.

[12] ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements, October 2005.

[13] ISO/IEC 27002:2005, Information technology – Security techniques – Code of practice for information security management, April 2008.

[14] Jayawickrama, Wipul (2006), “Managing Critical Information Infrastructure Security Compliance: A Standard Based Approach Using ISO/IEC 17799 and 27001”, Lecture Notes in Computer Science, 4277, pp. 565-574.

[15] Klempt, Philipp (2007), “Business Oriented Information Security Management – A Layered Approach”, Lecture Notes in Computer Science, 4804, pp. 1835-1852.

[16] Lambo, Taiye (2006), “ISO/IEC 27001: The future of infosec certification”, ISSA Journal.

[17] Laudon, Kenneth C. & Laudon, Jane P. (2006), Management Information Systems：

Managing The Digital Firm, 10th Edition, Pearson Education.

[18] Sanchez, L.E. (2006), “Practical approach of a secure management system based on ISO/IEC 17799”, First International Conference on Availability, Reliability and Security (ARES’06).

[19] Yin, Robert K. (2002), Case Study Research: Design and Methods, 3rd Edition, Applied Social Research Methods Series, Vol 5, Sage Publications.

附錄 A

資料來源：ISO/IEC 27001:2005