研究結論

高度資訊化的社會，民眾對於政府與關鍵基礎建設的期待在於兩者所提供的 資訊服務是可以安心且可信賴的。政府組織投入資源以強化資訊的作為組織要務 之際，資安的重要性不應被忽視；以透過資安驗證方式，建構組織的能力成熟度，

為組織的核心業務創造價值，達成未來的競爭優勢。

一、典型相關結果的呈現，顯示 CMMI 推動的成效，應能有效提昇 ISO27001 資 訊安全管理系統的認知；在流程目標上，CMMI 所包含的成熟度領域，各層 次構面寬廣，可能對組織資訊安全流程提供許多助益。實務上，CMMI 驗證 所需的成本亦高於 ISO27001 驗證費用。若組織預算經費充足，可考量優先 導入 CMMI 成熟度整合模式，除滿足各資訊系統的流程管理外，亦能提高組 織資訊安全管理的相關認知，對未來 ISO27001 的導入將產生明顯效益。

二、以各節次大項分析結果，CNS27002 資訊安全管理系統規範實務，與 CMMI 能 力成熟度整合模式的分類流程領域(部份一般目標)，具有正向關係項目(表 6-1)，說明如下：

(一)、風險評鑑及處理(節次 4.1)

 專案管理-風險管理-界定管理風險（SP 2.1）應是有組織及透徹的 方法，使用風險分類表來評量風險。

 專案管理-風險管理-界定管理風險（SP 2.2）利用定義風險種類及 參數，評估及分類每個已界定的風險，並決定其當的優先處理順序。

 流程管理--組織流程定義-建立標準流程（SP 1.1）確保組織標準流 程能滿足流程需要與組織目標。

 專案管理-專案監控-監控資料管理（SP 1.4）定期審查承諾(包含外 部及內部的)，記錄承諾審查的結果。

(二)、資安政策文件(節次 5.1.1)

 流程管理-組織流程定義-建立調適準則及指引（SP 1.3）在調適與 定義流程的彈以及確保全組織流程的適當一致性。

 專案管理-風險管理-界定管理風險（SP 2.1）應是有組織及透徹的 方法，使用風險分類表來評量風險。

 專案管理-風險管理-界定管理風險（SP 2.2）利用定義風險種類及 參數，評估及分類每個已界定的風險，並決定其當的優先處理順序。

 流程管理--組織流程定義-建立標準流程（SP 1.1）確保組織標準流 程能滿足流程需要與組織目標。

 支援-建構管理-建立建構管理記錄（SP 3.1）建立並建構描述建構 項目的記錄。

 專案管理-專案監控-監控資料管理（SP 1.4）定期審查承諾(包含外 部及內部的)，記錄承諾審查的結果。

 流程管理-組織流程績效-建立流程績效基準（SP 1.4）從蒐集的度 量資料及分析結果，建立並維護組織的流程績效基準。

 流程管理-組織流程專注-彙整流程相關經驗納入組流程資產（SP 3.4）納入流程相關的工作產品、度量及導自規劃與執行流程的改 善活動活動記錄，至組織的流程資產。

(三)、資訊安全組織(節次 6)

 專案管理-風險管理-界定管理風險（SP 2.1）應是有組織及透徹的 方法，使用風險分類表來評量風險。

(四)、資產管理(節次 7)

 專案管理-風險管理-界定管理風險（SP 2.1）應是有組織及透徹的 方法，使用風險分類表來評量風險。

(五)、實體與環境安全(節次 9)

 專案管理-風險管理-界定管理風險（SP 2.1）應是有組織及透徹的 方法，使用風險分類表來評量風險。

(六)、存取控制(節次 11)

 流程管理-組織流程專注-建立組織流程需要（SP 1.1）界定適用於 組織流程的政策、標準及經營模式。

表 6-1 CMMI 相關流程領域部份目標與 ISO27001 實務項目具正向關係之項目表

ISO27001 資訊安全管理系統要求項目，與 CMMI 的專案管理、流程管理、支 援等分類流程領域的部份正向關係，顯示可同時努力促成。透過組織核心業務導 入資訊安全管理系統，通過國內或國外的 ISO27001 驗證，並建構 CMMI 成熟度能 力(連續式)相關流程領域部份一般目標。

規範，符合 CMMI 相關流程領域一般目標(流程)最多，可見其關聯性最高，代表 組織相當重視此項目且有效的落實執行；選定既有的流程領域流程，推展與公務 組織核心業務相關的流程領域，有助未來可能的建置與推廣。

資訊安全流程管理大部份非組織的核心業務，但其重要性與日俱增，運用資 訊安全管理流程支援組織核心業務的創新發展，有助提升公務部門的全球競爭 力。在資通訊科技一日千里的數位經濟時代，以創造新法則與新思維的方式，結 合政府與企業力量，共同營造台灣的優質安全的網路化社會。