一、 緒論
5.3 未來研究建議
本研究以 ISO 9001、ISO 27001、ISO 20000 與 CMMI 條文為基 礎,比較分析異、同,找出相同項目及整合建構模式,以解決條文 繁多,執行不易的管理困難。並未就績效面及成本面做研究。
品質是績效的一環,也需要量化的評估指標,來判定其執行成 效。另,全面品德管理(Total Ethical Management, TEM)是近年來極 為受重視的議題,由「人」的觀點探討「品質」與「品德」,亦是 後續值得加以研究的方向。
表 19:品質管理與品德管理比較
項目 品質管理 品德管理
管理對象 人 人
學術領域 科學管理 社會學/心理學
衡量標準 可制定量化指標 主觀之認定
管理方法 程式/規範/SOP 規範/自主管理
養成方法 組織文化/教育訓練 組織文化/教育訓練
最終目標 內化為工作習慣 內化為行為習慣
資料來源:本研究整理
44
參考文獻參考文獻 參考文獻參考文獻 一、英文文獻
1. IT Service Management System Lead Auditor Course,The British standards Institution,2009。
2. International Organization for Standardization,ISO 9001:2008 Standard。
3. International Organization for Standardization,ISO 27001:2005 Standard。
4. International Organization for Standardization,ISO 20000:2005 Standard。
5. Boris Mutafelija,Harvey Stromberg ,Systematic Process Improvement Using ISO 9001:2000 and CMMI,2003 ARTECH HOUSE, INC., p8。
6. Dale R. Spaulding,“CMMI-ISO Can we all just get along?”, The Boeing Company,2008。
7. Mikko Siponen 、 Robert Williston, “Information security management standards: Problems and solutions”,Information & Management,
p267–p270,2009。
8. Ditech Networks Inc.,”Integrated Management System Manual- ISO 9001:2000 and 14001:2004”,2006。
9. Dimitris Petropoulos,”ISO/IEC 27001:2005A brief introduction”,
Information Risk Management,September 2006。
10. David Brewer," Exploitation an Integrated Management System ",Quality Progress,p1-p6,2005。
11. Boris Mutafelija & Harvey Stromberg ,ISO 9001:2000 – CMMI v1.1 Mappings,July 2003,p1-p31。
12. Mikko Siponen 、 Robert Williston b,“Information security management standards: Problems and solutions”, Information & Management,
No.46 ,p267–p270, 2009。
13. Ho-Won Jung 、Robin Hunter,“The Relationship between ISO/IEC 15504
45
Process Capability Levels,ISO 9001 Certification and Organization size:
An Empirical Study”, The Journal of System and Software,59,p43-p55,
2001。
14. Chanwoo Yoo 、 Junho Yoon、Byungjeong Lee ,“A unified model for the implementation of both ISO 9001:2000 and CMMI by ISO-certified
organizations”,The Journal of System and Software,p954-p961,January 2006。
15. Bilge Karabacaka,& Ibrahim Sogukpinarb, “A quantitative method for ISO 17799 gap analysis”,Computers and Security,p413-p419,2006。
16. Mustafa V. Uzumeri,“ISO 9000 and Other Met standards:Principles for Management Practice”,IEEE Engineering Management Review,V26 N.3,
p5-p15,Fall 1998。
二、中文文獻
17. 楊政學,企業研究方法,初版,台北,普林斯頓國際有限公司,民國九 十四年。
18. Thomas L.Good & Jere Brophy 著,當代教育心理學,李素卿譯,五南 圖書出版有限公司,台北,民國 98 年 3 月。
19. 高旭,深入探討 ISO 9001/14001 文件資料管理制度,五版,台北,中 華民國品質學會,民國九十八年八月。
20. 王文華,「帶我們爬樓梯-給馬總統的信」,聯合報, A4 版,民國九 十九年五月十六日。
21. 卡內基美隆大學軟體工程學院,適用於發展的能力成熟度整合模式 (CMMI-DEV),1.2 版,民國九十五年八月。
22. 楊錦洲,服務品質-從學理到應用,初版,台北,華泰文化,民國九十 八年,p4-p20。
46
23. CMMI 產品團隊,適用於發展的能力成熟度整合模式(CMMI-DEV)1.2 版,財團法人資訊工業策進會,民國九十六年十一月。
24. 資策會 MIC,資訊服務業市場現況與發展趨勢分析,財團法人資訊工業 策進會,民國八十五年七月,p8-p11。
25. 翁偉修、林信亨、王義智、李震華、黃正傑、洪聖敏,”台灣資訊服務 產業發展現況與趨勢”,MIC 產業研究報告,民國九十八年十二月。
26. 經濟部工業局,2008 年台灣自由軟體產業產銷調查報告- 軟體與服務,
民國九十七年十一月,p1-p4。
27. 管倖生,設計研究方法,二版,台北,全華科技,民國九十八年,第十 五章。
28. 黄承傳,系統方法上課講義,民國九十九年二月,P2-P5。
29. 資策會,適用於發展的能力成熟度整合模式(CMMI-DEV),1.2 版,民 國九十六年十一月。
30. 高小玲,「企業道德風險及基於中國企業的實證研究」,復旦大學管理 學院,博士論文,民國九十八年二月。
31. 吳佳純,「企業策略與資訊系統策略之策略性校準對企業流程之影響 -MIT90s 模式之應用」,國立交通大學經營管理研究所,博士論文,民 國九十六年一月。。
32. 標準檢驗局,標準檢驗局 97 年年報,民國九十八年二月。
33. 黃鴻順、游伯龍,「探討消費者的潛在領域,創造企業價值-以《Wii》
產品為例」,第 16 屆習慣領域年會論文集,p169-p181,民國九十七年 七月。
34. 湯玲郎、林李旺,“企業文化與推行 ISO 品質制度對組織績效之影響”,
品質學報 Vol. 14, No. 3,p251-p265,民國九十六年。
35. 資策會,”2009 年台灣資訊市場-資訊硬體、資訊軟體市場”,MIC 調查 報告,民國九十八年。
36. 資策會,”2010 不容忽視的網路七大安全威脅”,MIC 調查報告,民國
47
九十九年二月。
37. 高惠堂,CMMI 簡介,民國九十五年十二月。
38. 唐震,”企業流程標準化對組織內部協調影響之研究”, 管理與資訊學 報,13 期,p41-p76,民國九十七年。
39. 王小芳、王瑞芳、杨兴涛,”基于 I SO 2 0 0 0 0 的 IT 服务管理平台的研 究与实现”, 计算机系统应用,第 5 期,民國九十八年。
40. 查士朝,“BS7799/ISO17799/ISO27001 資訊安全管理制度介紹與導入實 務”,資誠企管簡報。
41. 吳政叡,“ISO 27001「資訊安全管理系統要求」在圖書館的應用”, 臺 灣圖書館管理季刊,第四卷第二期,p89-p99,民國九十七年四月。
42. 黃能堂,“未來優質公民:品格力修練”, 臺北市終身學習網通訊網,
37 期,p26-p30。
43. Yuan, Yu Rong,“Build a Two-Tier TQM Model Beyond ISO 9000”, 中 華民國品質學會第 43 屆年會暨第 13 屆全國品質管理研討會,p1-p12。
44. 李旭華、黃翠鈴,“全面品德管理之特性分析”, 中華民國品質學會第 42 屆年會暨第 12 屆全國品質管理研討會,p1-p10。
45. 陳皆成,推動 CMMI 認證的基礎概念簡報檔,民國九十五年五月。
46. 經濟部工業局,經濟部工業局資訊服務業發展計畫提案說明會簡報檔。
47. 楊千,策略管理-理論與實務,初版,台北,華泰文化,p209,民國九 十六年一月。
48. 洪震宇,資訊夢工廠-資策會:數位台灣推手,第一版,台北,天下文 化,民國九十三年。
49. 游伯龍,HD:習慣領域-IQ 和 EQ 沒有談的人性軟體,初版,台北,時 報文化,民國八十七年。
50. 蔡今中,如何撰寫與發表社會科學論文-國際刊物指南,初版,北京,
北京大學出版社,民國九十八年一月。
48
51. SGS 台灣檢驗科技公司,ISO 9001:2008 版實務與驗證指引-重新檢視 調整以增進系統效益,初版,民國九十八年一月。
52. 畢恆達,白痴造句法,把論文變難看了,聯合報 A4 版,民國九十八年 二月二十八日。
53. Richard Whiteley and Diane Hessan,贏得顧客心,譚家瑜譯,天下文化,
台北,民國九十六年六月。
54. John Seely Brown,資訊革命了什麼,顧淑馨譯,初版,北京,先覺出 版社,民國九十年一月。
三、網站
55. 台灣服務業聯網,http://www.twcsi.org.tw/columnpage/service/definition.aspx。 56. 資策會網站http://www.iso.org/iso/home.html。
附件一:ISO 9001、ISO 27001、ISO 20000 條文比較
50
51
52
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
7.6 監督及量測裝置之管制 A.7.1.1 資產清冊 A.7.1.2 資產的擁有權 A.7.1.3 資產之可被接受的使
用 A.7.2 資訊分類
A.7.2.1 分類指導綱要 A.7.2.2 資訊標示與處置 A.8 人力資源安全
A.8.1 聘僱之前 A.8.1.1 角色與責任 A.8.1.2 篩選
A.8.1.3 聘僱條款與條件 A.8.2 聘僱期間
A.8.2.1 管理階層責任 A.8.2.2 資訊安全認知、教育
及訓練 A.8.2.3 懲處過程 A.8.3 聘僱的終止或變更
A.8.3.1 終止責任 A.8.3.2 資產的歸還 A.8.3.3 存取權限的移除 A.9 實體與環境安全
A.9.1 安全區域
ISO 27001 條文 A.8 對人員工作 品德的管理仍不易規範,除由系 統軟硬體的安全措施管理外,仍 需經由內部加強品德觀念。
53
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.9.1.1 實體安全周界 A.9.1.2 實體進入控制措施 A.9.1.3 保全辦公室、房間及
設施
A.9.1.4 對外部與環境威脅的 保護
A.9.1.5 在安全區域內工作 A.9.1.6 公共進出、收發及裝
卸區 A.9.2 設備安全
A.9.2.1 設備安置與保護 A.9.2.2 支援的公用設施 A.9.2.3 佈纜的安全 A.9.2.4 設備維護
A.9.2.5 場所外設備的安全 A.9.2.6 設備的安全汰除或再
使用
A.9.2.7 財產的攜出 A.10 通訊與作業管理
A.10.1 作業之程序與責任 A.10.1.1 文件化作業程序 A.10.1.2 變更管理
A.10.1.3 職務的區隔
54
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.10.1.4 開發、測試及運作設 施的分隔
A.10.2 第三方服務交付管理 A.10.2.1 服務交付
A.10.2.2 第三方服務的監視 與審查
A.10.2.3 第三方服務變更的 管理
A.10.3 系統規劃與驗收 A.10.3.1 容量管理 A.10.3.2 系統驗收
A.10.4 防範惡意碼與行動碼 A.10.4.1 對抗惡意碼的控制
措施
A.10.4.2 對抗行動碼的控制 措施
A.10.5 備份
A.10.5.1 資訊備份 A.10.6 網路安全管理
A.10.6.1 網路控制措施 A.10.6.2 網路服務的安全 A.10.7 媒體的處置
A.10.7.1 可移除式媒體的管
55
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
理
A.10.7.2 媒體的汰除 A.10.7.3 資訊處置程序 A.10.7.4 系統文件的安全 A.10.8 資訊交換
A.10.8.1 資訊交換政策與程 序
A.10.8.2 交換協議
A.10.8.3 輸送中的實體媒體 A.10.8.4 電子傳訊
A.10.8.5 營運資訊系統 A.10.9 電子商務服務
A.10.9.1 電子商務 A.10.9.2 線上交易
A.10.9.3 公眾可用的資訊 A.10.10 監視
A.10.10.1 稽核存錄
A.10.10.2 監控系統的使用 A.10.10.3 日誌資訊的保護 A.10.10.4 管理者與操作者日
誌
A.10.10.5 失誤存錄 A.10.10.6 鐘訊同步
56
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.11 存取控制
A.11.1 存取控制的營運要求 A.11.1.1 存取控制政策 A.11.2 使用者存取管理 A.11.2.1 使用者註冊 A.11.2.2 特權管理
A.11.2.3 使用者通行碼管理 A.11.2.4 使用者存取權限的
審查 A.11.3 使用者責任
A.11.3.1 通行碼的使用 A.11.3.2 無人看管的使用者
設備
A.11.3.3 桌面淨空與螢幕淨 空政策
A.11.4 網路存取控制
A.11.4.1 網路服務的使用政 策
A.11.4.2 外部連線的使用者 鑑別
A.11.4.3 網路設備識別 A.11.4.4 遠端診斷與組態埠
保護
57
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.11.4.5 網路區隔 A.11.4.6 網路連線控制 A.11.4.7 網路選路控制 A.11.5 作業系統存取控制
A.11.5.1 保全登入程序 A.11.5.2 使用者識別與鑑別 A.11.5.3 通行碼管理系統 A.11.5.4 系統公用程式的使
用
A.11.5.5 會談期逾時 A.11.5.6 連線時間的限制 A.11.6 應用系統與資訊存取
控制
A.11.6.1 資訊存取限制 A.11.6.2 敏感性系統的隔離 A.11.7 行動計算與遠距工作
A.11.7.1 行動計算與通信 A.11.7.2 遠距工作
A.12 資訊系統獲取、開發及維護 A.12.1 資訊系統的安全要求
A.12.1.1 安全要求分析與規 格
A.12.2 應用系統的正確處理
58
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.12.2.1 輸入資料確認 A.12.2.2 內部處理的控制措
施
A.12.2.3 訊息完整性 A.12.2.4 輸出資料確認 A.12.3 密碼控制措施 A.12.3.1 使用密碼控制措施
的政策 A.12.3.2 金鑰管理 A.12.4 系統檔案的安全
A.12.4.1 作業軟體的控制 A.12.4.2 系統測試資料的保
護
A.12.4.3 程式源碼的存取控 制
A.12.5 開發與支援過程的安 全
A.12.5.1 變更控制程序 A.12.5.2 作業系統變更後的
應用系統技術審查 A.12.5.3 套裝軟體變更的限
制
A.12.5.4 資料洩漏
59
ISO 9001 條文 ISO 27001 條文 ISO 20000 條文 差異說明
A.12.5.5 委外的軟體開發 A.12.6 技術脆弱性管理
A.12.6.1 技術脆弱性控制 A.13 資訊安全事故管理
A.13.1 通報資訊安全事件與 弱點
A.13.1.1 通報資訊安全事件 A.13.1.2 通報安全弱點 A.13.2 資訊安全事故與改進
的管理
A.13.2.1 責任與程序 A.13.2.2 從資訊安全事故中
學習
A.13.2.3 證據的收集 A.14 營運持續管理
A.14.1 營運持續管理的資訊 安全層面
A.14.1.1 資訊安全納入營運 持續管理過程 A.14.1.2 營運持續與風險評
鑑
A.14.1.3 發展與實作包括資 訊安全的持續計畫
60
61
附件二:CMMI 與 ISO 之比較
附件二:CMMI 與 ISO 之比較