第一節 研究架構
本研究以行政院所屬機關安全等級為 B 級單位之公務機關,進行 ISO27001 實務導入,探討行政組織導入時,所面臨的實務困難及提出解決經驗,以提供 公務組織導入的參酌。
綜合第二章文獻探討所述,根據個案以 ISO27001 驗證機制及 CMMI 之流 程管理、專案管理及支援之連續式能力度流程領域相關一般目標,執行程度調 查與分析,藉此了解組織之資訊安全能力,並據以提出 ISO27001 資訊安全管 理系統與 CMMI 能力成熟度整合模式可能共舞的未來改進方向。此架構如圖 3-1 所示。
圖 3-1 研究架構圖
第二節 研究方法
一、研究樣本
目前行政院所屬機關已有許多單位通過 ISO27001 的驗證,但業務性質不盡 相同,導入實務也不同,本研究從公務行政部門探討導入經驗,期提供受預算 限制而擬以較低成本自行導入的機關,分享實務經驗,提升整體行政體系的資 訊安全管理系統,達成保護民眾個人財產資料,符合政府的資通訊安全要求。
台灣地區對 CMMI 的研究(鍾依萍、周樹林,民 93)多以民間企業軟體專 案有關,公務機關對 CMMI 應用稀少;因 CMMI 評鑑要求已於民國 97 年 5 月 列入中華民國國家標準,有利公務部門的適用導入。本研究從政府的資通訊安 全性要求,考量作業環境等因素,從 ISO27001 導入著手,建立組織安全資訊 系統框架及相關流程管理規範。然後,探討 CMMI 中連續式表述模式相關的流程 管理類別與領域目標,調查 CMMI 相關各流程領域目標的執行程度,確認未涉 及組織的業務機密後,定義欲評量的構面,以可能參與 ISO27001 認證的相關 B 級公務機關,進行問卷調查與歸納分析,對象是可能參與 ISO27001 認證組織 的資訊系統單位管理人員,從實務面觀點出發,了解組織的資訊安全能力度,
提出未來資訊安全管理創新發展的建議。
二、資料分析方法
本研究使用 SPSS for windows 13.0 與 statistica 7.0 統計套裝軟體作為分析工 具,所採用的統計方法如下所示:
(一)、信度分析(Reliability analysis )
本研究採用 Cronbach s α 信賴係數法,檢驗 CNS27001 相關節次與 CMMI 相關領域測量問卷的信度。
(二)、敘述性統計分析(Descriptive Statistics analysis)
針對蒐集樣本的背景資料進行敘述性統計分析,包含職稱、組織參與 ISO27001 驗證情形與了解 ISO27001 情形、知悉 CMMI 情形,其所佔百分 比及平均值的分佈情形。
(三)、單因子變異數分析(One-way ANOVA)
用以比較不同組織對 ISO27001 資訊安全管理系統的認知,與 CMMI 相關領域執行程度是否有差異。
(四)、相關分析
採用相關分析方式,利用 SPSS 軟體分析,CNS27001 相關節次與 CMMI 相關部份領域具有顯著相關的項目,進行相關分析,了解 CNS27001 相關 節次認知程度與 CMMI 相關部份領域相關係數之比例。
(五)、典型相關分析
以 statistica 進行典型相關分析(canonical analysis),透過典型變數的相 關係數,綜合地描述兩組變數的線性關係。
三、問卷發放與抽樣
為衡量資訊安全管理系統有關的重要性認知與實際施行的程度關係,本問 卷以各個公務部門資訊單位且以實際負責資訊安全管理等工作之相關人員為對 象,選擇業務屬性相同的 B 級機關人員,包括台灣省之北部、中部、南部及東 部,共 6 個組織以 e-mail 或紙本寄送方式發放。
四、研究步驟
本研究將回收問卷進行編碼與儲存建檔,以套裝軟體 SPSS13.0 及 STATISTICA 7.0 進行資料分析與假設驗證,研究步驟如下:
(一)、對問卷基本資料進行敘述統計分析,以了解各項資料之分配情況。
(二)、分析各組織資訊人員對 ISO27001 的認知重要程度與知悉 CMMI 情 形,以探討它們之間的是否有關聯。
(三)、以單因子變異數分析,來比對 ISO27001 的認知重要程度與 CMMI 各個流程領域執行的實施程度的顯著情況。
(四)、進行相關分析與典型相關分析,探討 ISO 與 CMMI 兩組變項結構間 的相關程度。
(五)、就各資訊安全管理系統及實際符合 CMMI 能力度等級分析,鑑別未 來公務部門資訊安全管理適切的發展方向。