台灣企業資訊倫理政策現況調查

(1)

輔仁管理評論

中華民國 97 年 1 月，第十五卷第一期，155-176

台灣企業資訊倫理政策現況調查

莊雅茹莊雅茹

莊雅茹莊雅茹‧ ‧ ‧ ‧郭俊宏郭俊宏郭俊宏郭俊宏

^∗∗∗∗

(收稿日期：96 年 10 月 2 日；第一次修正：96 年 12 月 4 日；

接受刊登日期：96 年 12 月 20 日)

摘要摘要摘要摘要

本研究調查台灣企業資訊倫理政策現況與問題，從政策的規範內容、形成、執行、對企業的影響、實施時所遭遇困難、對其他企業推行政策的看法、實際案例等七個構面進行調查。藉由個別訪談 5 家不同類型企業資訊部門經理，以對台灣企業資訊倫理政策現況進行探索性了解，作為正式問卷調查的基礎。正式調查則以 2005 年台灣三大產業：製造業、服務業以及金融業之前 1000 大企業為樣本，以紙本問卷與網路問卷進行資料蒐集與分析，回收有效樣本數 143 家企業。

研究發現不同產業類型之企業其資訊倫理政策實施狀況不盡相同，64.5%企業已制訂獨立的資訊倫理政策，35.5%則散見於員工手冊中。另外，有 90.7%企業肯定實施資訊倫理政策之必要性，58.2%則會提供資訊倫理相關的教育訓練。

關鍵詞彙：資訊倫理，企業資訊倫理政策，資訊倫理守則，資訊倫理規範

壹壹

壹壹‧‧‧‧ 緒論緒論緒論緒論

資訊科技和網際網路的蓬勃發展，電腦成為工作與生活不可或缺的工具，但相對地也衍生出許多資訊濫用或誤用 (computer misuse) 等不同層面之倫理問題。隱私權的侵犯、智慧財產權的違反、網路匿名毀謗、以及由於資訊存取權 (accessibility) 機會不均所導致的數位落差 (digital divide) 之社會問題等，皆是資訊科技負面效應的顯現。目前資訊科技普遍應用於大、中、小企業商業活動的各個環節，資訊濫用引發的爭議與弊案也日益增多，所造成的損失更是難以估算。因此，多數企業開始體認到「人品比人才重要」的用人準則，

天資聰穎但行為偏差的員工對企業所造成的傷害更加難以彌補。

林杏子等 (2001) 將資訊濫用或誤用定義為「以電腦、資訊系統或網際網路為標的而進行的偏差行為。」面對這些資訊偏差行為，除了依賴法律的規範與個人倫理意識的自我約束外，企業、組織明確的資訊倫理政策更是扮演重要的角色。企業倫理規範有嚇阻員工不適當行為的效用 (Manley, 1991)，研究也

∗ 作者簡介：莊雅茹，輔仁大學資訊管理系教授；郭俊宏，長榮國際股份有限公司軟體工程師。

(2)

156 輔仁管理評論，第十五卷第一期，民國 97 年 1 月

指出倫理規範是企業員工面對倫理議題的解答，事實上，管理者通常視規範為處理倫理問題最適當的方法 (Robin, et al., 1989)。Bequai (1983) 認為倫理規範能夠抑制資訊的濫用，它們清楚定義不可接受或不合法的行為，因而影響員工的道德判斷；Straub (1990) 及 Straub & Nance (1990) 的研究亦證實企業倫理規範對員工行為意圖的影響性。

Conger, Loch, & Helft (1995) 認為由於一般企業倫理規範無法類推到電腦濫用的相關議題，常使得資訊人員無所適從，因此企業有制訂資訊倫理規範的必要性。Parker (1989) 也指出傳統的倫理規範對於白領階級電腦犯罪議題似乎沒有效益，突顯制訂資訊倫理規範的重要，否則容易產生將不倫理行為合理化的情形 (Pearson & Weiner, 1985)。因此，適當規範員工的資訊使用行為已是現今企業不可避免的要務。

規範員工的資訊使用行為首在制訂明確、符合企業環境的資訊倫理政策與規範。目前國內外對企業倫理的相關研究已獲相當豐富的成果，但對資訊倫理政策的研究則較為少見，特別是在台灣，企業對資訊倫理的態度與具體政策的相關資訊非常有限。因此，本研究希望對台灣企業資訊倫理政策現況進行完整調查，同時對製造、金融、與服務三大產業之資訊倫理政策進行比較，並對未來企業制訂與執行資訊倫理政策提出建議。研究結果可對台灣企業資訊倫理政策提供完整描述，在實務上對企業提升員工資訊倫理意識與引導員工正確的資訊使用行為會有實質的幫助，在學術上可增進對資訊倫理領域的瞭解，在教育上則可做為資訊倫理課程設計之參考。具體而言，本研究期望達成下列研究目標：

1.暸解台灣企業資訊倫理政策的規範內容；

2.調查台灣企業資訊倫理政策的執行策略；

3.調查台灣企業資訊倫理政策的執行問題；

4.對企業制訂與執行資訊倫理政策提出建議。

貳貳

貳貳‧‧‧‧ 文獻探討文獻探討文獻探討文獻探討一、資訊倫理的意義

一、資訊倫理的意義

(3)

台灣企業資訊倫理政策現況調查 157

資訊倫理一詞最早在 1940 年代初期由美國麻省理工學院的 Norbert Wiener 所提出，其在 1948 年所寫的「Cybernetics」一書和 1950 年發表的「The Human Use of Human Beings」一書中雖無使用「Computer Ethics」一詞，但卻建立了資訊倫理研究和分析的基礎，資訊倫理一詞乃在約二十年後被廣為使用。

1960 年代電腦科學家 Donn Parker 研究電腦專業人員不倫理 (unethical) 和不合法 (illegal) 的電腦使用，並在 1968 年發表了資訊倫理的相關規範，於 1973 年為 ACM (Association for Computing Machinery) 所採用，成為著名的資訊倫理之「十誡」。1970 年代， Walter Maner 開始使用「Computer Ethics」

一詞，在其發展的倫理課程中提到隱私、機密、電腦犯罪、電腦行為決策和資訊規範等議題。1970 年代之後，與電腦相關的社會或倫理問題逐漸成為大眾關心的議題。1980 年代之後，資訊倫理成為最受重視的主題之一 (Bynum, 2001)。

Mason (1995) 指出資訊科技的使用產生許多倫理議題，認為除了透過如 ACM 制訂的倫理規範作為倫理決策的基礎外，個人尚須具備對資訊科技瞭解、鑑定的道義之心。若每個人皆能體認到自身行為如同資訊專業人員一般，

會傷害到他人，就會從倫理的觀點更小心的做出行為決策，創造出一個理想的倫理社會。

Huff & Martin (1995) 提出「倫理」、「社會」、「科技」的關係架構，

探討資訊科技所涉及的社會層面及倫理議題，期望藉此強化資訊科技相關之倫理課程設計。該研究指出資訊倫理課程對於倫理行為的型塑相當重要，課程的設計須兼顧「倫理議題」、「社會層面」、及「科技」之間的關係。其中「社會層面」包括個人、社團及群體、組織、文化、協會、國家及區域等不同的七個層級，而「倫理議題」則包括生活品質、權利的使用、風險與信賴、財產權、

隱私權、公平及取用、誠實及欺詐等七個倫理議題 (林杏子等，2001)。

Weckert (2001) 則強調資訊倫理需透過生活實踐方有真正的效益，同時建議可透過政府機關或組織制訂資訊倫理相關規範、以及經由教育提升電腦相關工作的專業人員或一般使用者資訊倫理的素養等達成效益。

二、資訊倫理議題二、資訊倫理議題二、資訊倫理議題二、資訊倫理議題

Mason (1986) 認為資訊倫理領域應包涵四項議題，即隱私權 (Privacy)、

正確性 (Accuracy)、財產權 (Property)、存取權 (Accessibility)，簡稱 PAPA。

(4)

Mason 強調個人對於其擁有之資訊，應具備確保隱私、正當擁有、保證正確、

存取的權利，但這些權利常因資訊科技的不當應用而受害。

隱私權係指有關個人的任何資料，在未獲當事人同意及授權之前，資訊持有人不得將當事人所提供的資料轉用於其他目的之上。精確性強調資訊的真實性，探討個人或組織獲取或保存不正確資訊的嚴重性、對於錯誤資訊的責任歸屬、以及資訊品質的確保，包括正確性、精確度、合理的時效、相關的資料儲存、更新、維護等。財產權探討誰是資訊的擁有者、資訊交換的公平價格、

資訊傳播媒體是否擁有所有權等問題，網際網路提供資訊傳播更快速便捷的管道，在這個通道之上，無論是資訊的傳播、複製、竄改、或盜用，都更加容易，

因此所有權的保護議題，在資訊時代下更顯得重要且急迫。存取權則是探討資訊的使用管道，如誰被允許存取資訊、個人或組織在何種狀況下及何種保護下，有權利或特權獲得的資訊為何等。

Laudon & Laudon (1998) 認為資訊科技是資訊時代的核心，提出五個重要的道德層面議題，依次為資訊權與責任、智慧財產權、責任歸屬及控制、系統品質及生活品質。

Mason (1995) 強調倫理議題會因時代之不同而有所改變，指出一個能解決目前所遭遇的倫理困境且合乎倫理的決策，並不代表其在未來也是一個正確的倫理決策，因為資訊科技不斷的改變，倫理議題並不會以同樣的形式重複出現，但決策的實行應秉持人道且合乎道德的方式，以保護所有受到決策影響的利害關係人。同時進行倫理決策時，應藉由實際的倫理案例作為指引，遵循倫理法規，考量不同的倫理層面，即能創造出合乎大家需求的倫理社會。

三、企業資訊倫理三、企業資訊倫理三、企業資訊倫理三、企業資訊倫理

病毒、駭客、電腦詐騙、軟體盜拷、使用電腦進行企業破壞等熱門的新聞主題是常見的資訊濫用或是電腦濫用議題。美國的企業因資訊濫用產生不少犯罪、腐化的問題，故許多企業都採用倫理規範以避免這些可能發生的問題 (Manley, 1991)。

Harrington (1994) 認為倫理規範的目的在闡明責任，其研究透過責任的否認 (Denial of Responsibility, RD) 這項人格特質與倫理規範的互動來進行測量，並以資訊系統相關的軟體盜拷 (illegal software copying)、電腦駭客 (computer cracking or hacking)、散播病毒 (spreading viruses)、使用電腦進行企業破壞 (corporate sabotage using the computer)、電腦詐騙 (computer fraud) 等

(5)

為基礎，以問卷的方式對九家公司共 219 名員工進行評估。研究結果發現 RD 這種人格特質和許多的電腦濫用相關，此外在散播病毒、電腦詐騙等態度的影響上，RD 特質與倫理規範有交互作用；年齡越小的人、有越高的 RD 特質也比較容易有資訊濫用的傾向。最後建議未來的研究可在倫理規範的交互作用議題上進行評估，及企業在錄用員工時可考慮錄取低 RD 的應徵者來減少資訊濫用的情形發生。

Harrington (1996) 進一步探討倫理規範對資訊人員的電腦濫用判斷和意圖之關係，也對一般的企業法規和資訊倫理規範進行探討，認為 RD (Denial of Responsibility) 特質和倫理規範效用有顯著的相關性。亦即 RD 較低的資訊人員較不會做出不倫理的判斷和意圖，也顯示資訊倫理規範對提高 RD 較高的資訊人員對電腦濫用的倫理判斷能力更甚於 RD 較低的資訊人員。Harrington 最後提出下面幾點建議：

1.應該對於資訊倫理的議題加以分析、比較，來確保資訊人員知曉倫理規範的內容和條款。

2.應該加強舉發電腦濫用的行為，並加強相關的宣導，亦可在年度安全簡報中將相關的規範列出，另外高階主管的支持對於資訊濫用行為頗具有威懾效用。

3.由於 RD 特質會影響倫理規範對於資訊人員倫理判斷和意圖的主效用，因此 RD 特質值得管理者的重視。

4.管理者必須用多樣的方式來抑制電腦的濫用，暸解 RD 特質、資訊濫用的合理化過程、與倫理規範之間的關係，可提供管理者制訂資訊倫理政策的指引，並應透過溝通或其他機制提高資訊人員對倫理規範的認知。

Siau, Nah, & Teng (2002) 提到企業辦公室存在許多的資訊濫用問題，包含在工作中太常使用網際網路導致花太少時間在工作上這類的問題。Siau, Nah,

& Teng 以教育組織、ISP (Internet Service Provider) 業者、非 ISP 業者等三類組織為對象，透過 11 項主要的網際網路濫用議題，對三類組織可接受的網際網路使用策略 (Acceptable Internet Use Policy, AIUP) 進行研究，並對三大類組 織加以分析比較。

Siau, Nah, & Teng (2002) 定義的 11 項主要網際網路濫用議題包含一般郵件濫用 (General Email Abuses)、未經授權的使用和存取 (Unauthorized Usage and Access)、版權侵害與剽竊 (Copyright Infringement/ Plagiarism)、新聞群組

(6)

發表 (Newsgroup Postings)、私密資料的傳遞 (Transmission of Confidential Data) 、情色 (Pornography) 、駭客 (Hacking) 、非工作相關的上傳下載 (Nonwork-Related Download/Upload)、閒暇的網際網路使用 (Leisure Use of the Internet)、使用外部 ISPs (Usage of External ISPs)、兼差 (Moonlighting) 等議題，並指出約有 45% 的企業資訊長會制訂可接受的網際網路使用政策 (Acceptable Internet Use Policy, AIUP) 來抑制資訊濫用，主要的研究結果如下：

1.研究樣本幾乎都把電子郵件的濫用放在 AIUP 中。

2.版權相關問題因訴訟成本高要加以注意。

3.新聞群組、駭客等濫用問題只有 ISP 業者特別重視。

4.非 ISP 業者比起教育單位更為重視未經授權的使用和存取的相關議題，

也較不希望員工去瀏覽非工作相關的網站。

5.AIUP 是公司員工的一種指引，需廣泛的定義但是不能夠太過限制員工，

要取得之間的平衡點是一大課題，並提出制訂 AIUP 的指引如：清楚描述企業的價值觀、配合其他的倫理規範、保留監控權利並列出監控項目、

讓員工對於 AIUP 瞭解並同意等。

6.許多公司使用監控軟體來挑戰資訊濫用問題，根據 IDC (International Data Corporation) 的調查指出，1998 年約有 40%的企業採用監控軟體來監控員工，並預估 2001 年之後會有 80%以上的企業使用監控軟體，研究建議應讓員工清楚知道以何種形式被監控。

7.要有和諧的工作氣氛，雇者和員工都必須接受相關的訓練，有 68%的員工認為需要一些閒暇的時間來瀏覽非工作相關的網站，另外有 50%的受試者認為一天一小時最為適當。

8.為了避免有所謂的模糊地帶，對於研究中的 11 項主要的網際網路使用議題都應該加以定義在 AIUP 中，並且要訂定懲戒條款。

Parker (1981) 探討專業人員對一些倫理情境之道德認知上的差異，研究結果顯示在大部分情境中，專業人員面臨同一資訊倫理議題時，其處理方式可能不同。Heide & Hightower (1983) 建議對於使用資訊系統的資訊專業人員及管理階層，應給予結構化的訓練課程以提高對於資訊系統與發展相關議題的敏銳度。Vitell & Davis (1990) 則針對資訊專業人員進行「倫理信念」的調查，

研究結果指出資訊倫理守則可減少資訊專業人員的不倫理行為。

(7)

Pearson, Crosby & Shim (1997) 指出當組織越來越依賴資訊科技時，資訊專業人員的倫理行為就更為重要，並提出三個有關資訊專業人員倫理行為的評估議題：資訊專業人員的能力特質對於倫理行為是否有不同的評估方式？哪些倫理的規範是資訊專業人員較為願意去遵守的？資訊專業人員表現倫理行為的能力以及意願？研究結果發現性別對資訊專業人員倫理規範認同的影響並不顯著，然年齡和職稱的不同則呈顯著相關，即公司中年齡越長或是職位越高的資訊專業人員對倫理規範的重要性有更清楚的認知；對資歷較淺的資訊專業人員來說，若組織具有良好的倫理規範架構，則較能對倫理的情勢和決策有更深的體認。

參參

參參‧‧‧‧ 研究方法研究方法研究方法研究方法一、企業資訊倫理政策構面

一、企業資訊倫理政策構面一、企業資訊倫理政策構面一、企業資訊倫理政策構面

為瞭解台灣企業資訊倫理政策的實施現況，本研究從七大構面進行問卷調查。企業政策的完整研究應包涵政策的形成、政策內容、執行狀況、執行反省 (如對企業的效益、遭遇困難、未來建議等)、具體案例等，基於此理念，

再加上彙整文獻探討與個案訪談結果，據以擬定本研究的七大構面。每一構面的調查重點說明如下：

1.資訊倫理政策的規範內容：旨在暸解台灣企業資訊倫理政策中對資訊濫用行為的規範內容，調查重點分為六大類，包含電腦系統資源濫用相關規範、網路濫用行為相關規範、資訊資產安全濫用行為相關規範、電腦病毒相關行為規範、電腦駭客行為規範、電子郵件濫用行為規範。本構面問卷題項設計參考來源包括行政院各單位的相關資訊安全條文、國內企業所制訂的資訊安全規範或保密協定、以及 Siau, Nah & Teng (2002) 所定義的十一種網際網路濫用議題等。

2.資訊倫理政策的形成：旨在探討企業資訊倫理政策如何形成，調查重點包括企業資訊倫理政策的制訂方式、制訂原因、實施年數、實施對象等。

3.資訊倫理政策的執行：旨在探討企業執行資訊論理政策的相關問題，重點包括資訊倫理政策的負責單位、實施方法、相關教育訓練、觸犯資訊倫理規範的相關懲處等。

(8)

4.資訊倫理政策對企業的影響：旨在瞭解台灣企業推行資訊倫理政策對企業本身所帶來的正面效益。

5.實施資訊倫理政策遭遇的困難。

6.對其他企業推行資訊倫理政策的看法：旨在調查企業對於其他企業推行資訊倫理政策的相關看法與建議。

7.違反資訊倫理規範的常見案例：旨在瞭解員工最常觸犯的資訊倫理規範與懲處方式。

二、資料蒐集方法二、資料蒐集方法二、資料蒐集方法二、資料蒐集方法

本研究以個案訪談及問卷調查兩種方法進行資料的蒐集。

((((ㄧㄧㄧㄧ))))個案訪談個案訪談個案訪談個案訪談

由於目前對台灣企業資訊倫理政策之相關研究並不多見，因此本研究首先以個案訪談針對五家不同類型的企業 (電子業、銀行業、電信業、證券業、

造紙業) 進行資訊倫理政策的探索性調查，以初步了解個別企業之資訊倫理政策的現況，並作為後續企業資訊倫理政策正式調查之問卷設計的參考。

((((二二二二))))問卷調查問卷調查問卷調查問卷調查

個案訪談後，加以分析整理並參考國內外相關文獻設計企業資訊倫理政策的調查問卷，第一階段先對所有的樣本進行問卷調查，第二階段則是針對沒有回覆的樣本，以電子郵件邀請其上網填寫問卷並蒐集資料。

三、研究工具三、研究工具三、研究工具三、研究工具

本研究以問卷為資料蒐集工具，內容涵括上述七個資訊倫理政策構面，

除了紙本問卷外，並依相同內容架設網路問卷以增加問卷回收率。

問卷初步設計完成後，首先對 10 位樣本進行前測，包含 7 位輔仁大學資管所在職專班學生及 3 位碩士生，前測之主要目的是希望了解問卷的可讀性，

以提高研究的正確性。根據前測結果，本研究進行了若干題目之用詞修改與選項增加等。

(9)

四、研究樣本四、研究樣本四、研究樣本四、研究樣本

本研究以天下雜誌 2005 年 5 月所公佈之台灣製造業前 1000 大企業、服務業前 500 大企業以及金融業前 100 大企業為主要樣本來源，由於金融業的母體樣本較少，因此金融業的 100 大企業全數列為樣本，另依 2：1 的比例各取製造業前 600 大與服務業前 300 大作為研究樣本，總計本研究調查對象「台灣 1000 大企業樣本」包含製造業前 600 大企業、服務業前 300 大企業以及金融業前 100 大企業，並以各企業之資訊處或其他資訊單位為問卷投遞單位。本研究選擇台灣三大產業之前 1000 大企業為樣本乃基於這些企業較有可能已經適度資訊化，因此調查其相關的資訊倫理規範與政策較具可行性。

肆肆

肆肆‧‧‧‧ 個案訪談結果個案訪談結果個案訪談結果個案訪談結果

目前國內外有關企業資訊倫理的研究文獻多偏重在員工資訊倫理行為理論模型的驗證，對企業資倫理政策的完整探討非常少見，為使研究能有效反應現況，本研究決定先進行企業個別訪談，以初步瞭解目前台灣企業對資訊倫理的態度及相關策略。訪談對象的選定希望涵括金融業、製造業、與服務業以獲得較具代表性的資訊，又企業需達一定規模 (比較有可能已實施資訊倫理相關規範)，因此透過管道獲得五家知名企業資訊部門或稽核處主管的首肯進行個別訪談。訪談前研究者先擬定訪談大綱並以電子郵件先行寄至受訪者以供準備相關資料，並約定訪談時間，由研究人員親至企業進行訪談，每一個案訪談時間約 1.5～2 個小時。

一、個案基本資料一、個案基本資料一、個案基本資料一、個案基本資料

((((一一一一)A )A )A電子股份有限公司 )A 電子股份有限公司電子股份有限公司電子股份有限公司

A 電子股份有限公司成立於民國 72 年，資本額約 41.5 億元，員工人數約 10000 人，主要產品線包括電腦鍵盤、個人電腦攝影機、數位相機、數位影像模組、手機相機模組及代理各大廠牌電腦週邊設備，為台灣ㄧ千大製造業之ㄧ。

((((二二二二)B )B )B電信股份有限公司 )B 電信股份有限公司電信股份有限公司電信股份有限公司

(10)

B 電信股份有限公司於民國 85 年改制成立，總資本額約 964.77 億元，員工人數約 27400 人，主要業務包括固網通信、行動通信、數據通信三大領域。

提供語音服務、專線電路、網際網路、寬頻上網、智慧型網路、虛擬網路、電子商務、企業整合服務，以及各類加值服務，係國內營運經驗最豐富、規模最大之綜合電信業者，也是國際間電信業者重要合作伙伴，在促進全球化即時訊息溝通、全面提高社會大眾生活品質，以及普遍增強經濟社會運作效率上績效卓著。

((((三三三三)C )C )C )C銀行股份有限公司銀行股份有限公司銀行股份有限公司銀行股份有限公司

C 銀行成立於民國 81 年，資本額約 152.5 億元，員工人數約 2200 人，主要業務包括消費金融業務、信用卡業務、企業金融業務、財務金融業務，為一服務品質優良的銀行。

((((四四四四)D )D )D )D證券股份有限公證券股份有限公證券股份有限公證券股份有限公司司司司

D 證券股份有限公司成立於民國 77 年，資本額約 152 億元，員工人數約為 2000 人，為一經營經紀、自營、承銷等各業務、債券、國際業務期貨輔助人之綜合券商，亦是第一間獲證管會核准上櫃的證券公司。

((((五五五五)E )E )E )E造紙股份有限公司造紙股份有限公司造紙股份有限公司造紙股份有限公司

E 造紙股份有限公司成立於民國 39 年，資本額約 127.8 億元，員工人數為 3200 人，為台灣民營造紙業先驅，主要生產經營項目包括文化用紙、工業用紙、家庭用紙、紙器、食品包裝容器等。

二、個案訪談結果二、個案訪談結果二、個案訪談結果二、個案訪談結果

為初步瞭解台灣企業之資訊倫理政策現況，本研究訪談上述五個個案公司之資訊部門經理、電子商務部副總、或稽核人員，以利後續研究之進行。訪談的結果與發現說明如下：

((((ㄧㄧㄧㄧ))))銀行業資訊倫理規範最嚴謹銀行業資訊倫理規範最嚴謹銀行業資訊倫理規範最嚴謹銀行業資訊倫理規範最嚴謹

五家個案公司資訊倫理政策規範的議題甚多，其中 C 銀行具有獨立且專門的資訊倫理規範，其他受訪公司的相關政策則是散佈在員工守則之中，且由

(11)

於 C 銀行的資訊處已導入 BS7799 資訊安全標準，層層管控，因此規範最為嚴謹；至於製造業或服務業企業其規範程度可能會因其企業規模的大小、資訊化程度、產業特性等變數的影響而不盡相同。

((((二二二二))))資訊倫理政策制訂方式不盡相同資訊倫理政策制訂方式不盡相同資訊倫理政策制訂方式不盡相同資訊倫理政策制訂方式不盡相同

資訊倫理政策制訂的方法主要包括參考或依循政府法令、主管高層制訂、諮詢法務人員或外部稽核公司。資訊倫理政策制訂的原因，主要包括防止員工做出資訊濫用的行為、維護公司形象及商譽、受同業的影響、及因應公司實際需求等。

((((三三三三))))資訊倫理政策執行單位差異不大資訊倫理政策執行單位差異不大資訊倫理政策執行單位差異不大資訊倫理政策執行單位差異不大

資訊倫理政策執行單位主要包括資訊處、主管高層、人事部、法務單位、

政風處、內部稽核與外部稽核單位。

((((四四四四))))資訊倫理政策推行方式有所差異資訊倫理政策推行方式有所差異資訊倫理政策推行方式有所差異資訊倫理政策推行方式有所差異

在政策的推行上，五家公司皆要求員工簽署與資訊倫理政策相關的規範，A 電子公司和 E 造紙公司主要是由一線主管監控及員工手冊的規範；B 電信公司和 D 證券公司並要求員工進行相關測驗；C 銀行除了上述的推行方式外，尚包括高層主管在公開場合不斷倡導、進行相關教育訓練等。A 電子公司、D 證券公司和 E 造紙公司沒有提供相關的教育訓練；B 電信公司提供部份的資訊倫理訓練；C 銀行則視需要開設相關課程來教育員工。

((((五五五五))))對企業推行資訊倫理政策的看法有些差異對企業推行資訊倫理政策的看法有些差異對企業推行資訊倫理政策的看法有些差異對企業推行資訊倫理政策的看法有些差異

五家企業都肯定推行企業資訊倫理政策可保護公司、降低員工資訊濫用行為的發生，而 B 電信公司和 E 造紙公司更認為可以獲得業界的肯定，C 銀行則認為應將資訊倫理意識注入企業文化，加強相關政策的執行。

((((六六六六)C )C )C銀行員工資訊濫用情形較少 )C 銀行員工資訊濫用情形較少銀行員工資訊濫用情形較少銀行員工資訊濫用情形較少

關於員工常犯的資訊濫用行為，A 電子公司以軟體版權問題、透過網路下載非工作相關的檔案、及電子郵件濫用最為常見；B 電信公司則較少發生資訊濫用事件，多是特殊個案；C 銀行由於導入 BS7799，因此事前防範做得較好，對於新進人員亦會考核其有無資訊濫用背景，因此員工資訊濫用行為較

(12)

少；D 證券公司主要問題為瀏覽不當網站、電子郵件濫用、非法軟體安裝、看不該看的客戶資料等；E 造紙公司則以非工作相關的網際網路使用最為常見。

((((七七七七))))資訊倫理政策的未來規劃不盡相同資訊倫理政策的未來規劃不盡相同資訊倫理政策的未來規劃不盡相同資訊倫理政策的未來規劃不盡相同

A 電子公司認為應配合政府的法令及需求不斷增加相關規範；B 電信公司、D 證券公司、及 E 造紙公司則認為目前資訊倫理政策已達推行的最佳平衡點，若有問題發生再進行修正即可；C 銀行認為需要努力的是不斷提升員工的資訊倫理意識。

伍伍

伍伍‧‧‧‧ 問卷調查結果分析問卷調查結果分析問卷調查結果分析問卷調查結果分析一、問卷回收

一、問卷回收一、問卷回收一、問卷回收

本研究正式問卷調查共分兩階段實施，第一階段針對台灣製造業 600 大、

服務業 300 大、及金融業 100 大企業寄出共 1000 份紙本問卷，回收 87 份；第二階段則架設網路問卷調查網站，針對第一階段沒有回覆的企業寄送電子郵件，邀請其上網填寫電子問卷，扣除 1 份無效問卷共回收 56 份有效問卷，兩階段共回收 143 份有效問卷，其中製造業佔 74 (51.7%) 家、服務業佔 42 (29.4%) 家、金融業則有 27 (18.9%) 家，詳細的樣本分配見表一。

表一問卷樣本統計表

產業別發出問卷數有效問卷回收率

製造業 600 74 12.3%

服務業 300 42 14%

金融業 100 27 27%

總和 1000 143 14.3%

二、問卷調查結果分析二、問卷調查結果分析二、問卷調查結果分析二、問卷調查結果分析

((((一一一一))))資訊倫理政策的規範內容資訊倫理政策的規範內容資訊倫理政策的規範內容資訊倫理政策的規範內容

(13)

為瞭解企業所制訂的資訊倫理政策之規範內容，本研究將資訊行為相關規範分為「電腦系統資源濫用行為規範」、「網路濫用行為規範」、「資訊資產安全濫用行為規範」、「電腦病毒相關行為規範」、「電腦駭客行為規範」、

及「電子郵件濫用行為規範」等六大類。依據調查結果，表二呈現六大類中樣本制訂比例較高的規範內容，顯示這些行為規範在製造、金融、服務三大產業中皆非常重要，值得做為企業未來制訂資訊倫理行為規範之參考。

(14)

表二制訂比例較高的資訊倫理規範

電腦系統資源濫用行為規範

1 在電腦系統中任意安裝、使用不合法的軟體 (93%)

2 偷偷拷貝公司電腦中的機密資料或程式碼出公司 (83.9%) 3 外流、販賣公司電腦中的機密資訊 (81.8%)

4 未將重要資料定期進行備份，使公司重要資料遺失 (75.5%)

5 觀看、刪除、修改他人電腦中的資料 (71.3%) 6 用公司資訊設備打電腦遊戲 (67.1%)

網路濫用行為規範 1 未經授權在公司架設各類伺服器或網站 (75.5%)

2 在公司網路下載未經授權使用的檔案、文件或軟體 (74.8%)

3 使用FTP、BBS軟體從事非工作相關事務 (74.1%) 4 試圖干擾或妨害公司網路、系統正常運作 (72.7%)

5 使用公司網路儲存、建置或傳播色情文字、圖片、影像或聲音 (72.7%) 6 在公司內部網路或外部網路散播不正確的資訊 (70.6%)

7 在公司使用BT、edonkey等P2P檔案下載軟體從事非工作相關事務 (66.4%) 8 非工作相關的網際網路瀏覽行為 (如上網購物、觀看股市行情及新聞等) (62.9%) 9 在公司使用MSN或即時通等即時通訊軟體從事非工作相關事務 (60.1%)

資訊資產安全濫用行為規範 1 在未獲授權下，進入敏感性系統機房、作業環境 (88.8%) 2 竊取或破壞實體資訊設備 (82.5%)

3 任意告知他人自己的系統登入帳號及密碼 (69.9%)

4 將機密資訊存放於對外開放的資訊系統中讓人存取 (69.2%) 5 試圖下載非權限內可觀看的文件 (61.5%)

電腦病毒相關行為規範 1 沒有定期更新病毒定義碼導致公司電腦中毒 (77.5%) 2 未安裝防毒軟體使系統產生漏洞 (76.1%)

3 在公司網路散播電腦病毒 (71.1%)

4 電腦感染病毒或遭駭客入侵卻不進行處理或通報 (66.9%)

5 在沒有啟動安全防護下任意下載或接收來路不明的外部資料 (64.8%) 電腦駭客行為規範

1 未經授權入侵公司資訊系統 (78.9%) 2 竊取公司資訊系統內的機密資訊 (76.8%) 3 竊取他人之電腦登入帳號及密碼 (76.8%) 4 使用他人帳號及密碼從事資訊濫用行為 (68.3%) 5 任意修改自己或他人電腦權限 (64.1%)

電子郵件濫用行為規範 1 用電子郵件散播公司機密文件或資訊 (71.8%)

2 每天收送的電子郵件附加檔案超過限制 (66.9%)

(15)

((((二二二二))))資訊倫理政策的形成資訊倫理政策的形成資訊倫理政策的形成資訊倫理政策的形成

調查結果發現 141 個有效樣本中，91 (64.5%) 家企業有獨立且專門的資訊倫理政策，其中服務業制訂獨立資訊倫理政策的比例最高，達 69%，製造業則有 63.9%，金融業為 59.3%。其餘 35.3%的企業其資訊倫理政策則是散佈在員工守則之中。另外，80.7%的樣本指出其資訊倫理政策的實施對象為「全體員工」，實施對象為「有使用電腦的員工」及「資訊處或資訊中心人員」各僅佔 18.6%及 0.7%。

資訊倫理政策的制訂方式主要由「資訊中心或資訊處制訂」(78.7%)、「參考或依循政府法令」(57.4%)、或「參考其他公司法令」(41.1%) 等。除了前述方式外，金融業政策制訂亦常「諮詢法務人員」、「諮詢外部稽核公司」、或

「依循 BS7799 或其他資訊安全標準」。制訂資訊倫理政策的主要原因依序為

「防止員工做出資訊濫用行為，不利公司」(90.8%)、「維護公司形象、企業商譽」(72.3%)、「因應實際需求」(64.5%)、及「遵循政府相關法令而制訂」

(58.2%)。

((((三三三三))))資訊倫理政策的執行資訊倫理政策的執行資訊倫理政策的執行資訊倫理政策的執行

調查結果顯示企業採用多種管道執行其資訊倫理政策，較為常見的方法歸納如下：

1.要求新進員工簽署資訊倫理政策的相關規範或合同要求新進員工簽署資訊倫理政策的相關規範或合同要求新進員工簽署資訊倫理政策的相關規範或合同要求新進員工簽署資訊倫理政策的相關規範或合同

有 58.5%的企業要求新進員工簽署資訊倫理政策的相關規範或合同，其中金融業要求簽署的比例明顯較高 (77.8%)，其次是製造業 (61.6%) 及服務業 (40.5%)；另外有 62.4%的企業會要求其外包廠商或臨時僱工簽定資訊倫理規範或合同。

2.導入資訊安全標準導入資訊安全標準導入資訊安全標準導入資訊安全標準

研究結果顯示僅有 13.5％的企業資訊處有導入資訊安全標準，高達 42.5%

的企業並未導入，其餘則不清楚企業是否有導入，顯示目前台灣企業導入資訊安全標準的狀況並不普遍。金融業 (40.7％) 在資訊處及全公司導入資訊安全的比例皆較其他兩產業為高。

3.資訊倫理推行的負責單位主要是資訊處或資訊中心資訊倫理推行的負責單位主要是資訊處或資訊中心資訊倫理推行的負責單位主要是資訊處或資訊中心資訊倫理推行的負責單位主要是資訊處或資訊中心

台灣企業資訊倫理推行的負責單位主要是「資訊處或資訊中心」(92.9%)、

「公司內部稽核處」有 42.9%、「人事部」有 25.7%、「主管高層」有 16.4%、

「公司法務單位」有 15%，上述調查結果顯示資訊倫理政策跨部會負責的態

(16)

勢。

4.多數採多數採多數採「多數採「「「發文公告相關訊息發文公告相關訊息發文公告相關訊息發文公告相關訊息」」」」的宣導方式的宣導方式的宣導方式 的宣導方式

至於資訊倫理政策宣導方式，84.6%的企業採「發文公告相關訊息」、「要求新進員工簽署相關合同」的有 47.6%、「要求閱讀員工手冊」有 37.6%、「一線主管主動加以勸導」有 22.4%、「高層在公開場合不斷提醒」則有 19.6%。

金融業在上述各項宣導方式的採用比例皆最高。

5.58.2%的樣本有實施資訊倫理政策教育訓練的樣本有實施資訊倫理政策教育訓練的樣本有實施資訊倫理政策教育訓練的樣本有實施資訊倫理政策教育訓練

調查結果顯示 58.2%的樣本有實施資訊倫理政策教育訓練，其中 15.6％的企業採定期實施教育訓練的方式，餘 42.6％則不定期實施，未實施資訊倫理教育訓練的企業則有 41.8％，顯示企業內部對資訊倫理的教育訓練有提升的空間。調查結果同時顯示金融業 (70.4%) 及製造業 (63.9%) 實施相關教育訓練的比例明顯高於服務業 (39.5％)。此外，調查樣本是否有實施資訊倫理政策的相關測驗或考試，結果顯示大部分 (73.1%) 的樣本沒有實施相關測驗，但金融業除外，其實施資訊倫理測驗的比例高達 62.9%，明顯高於製造業 (20.8%) 及服務業 (14.3%)。

6.調查資訊人員的資訊濫用背景調查資訊人員的資訊濫用背景調查資訊人員的資訊濫用背景 調查資訊人員的資訊濫用背景

研究結果顯示 57.4%的企業會詢問資訊人員是否有資訊濫用的背景、

38.3%會閱讀資訊人員所填寫的相關資訊、14.9%則會舉行性向測驗、9.2%會進行身家調查，只有 28.4%的樣本不會對資訊人員的資訊濫用背景進行調查。

7.違反資訊倫理政策的懲處方式違反資訊倫理政策的懲處方式違反資訊倫理政策的懲處方式 違反資訊倫理政策的懲處方式

對於觸犯資訊倫理規範的員工，企業採用的主要懲處方式依序為「口頭告誡」(61.2%)、「記過」(51.8%)、「開除」(37.4%)、「書面申誡」(29.5%)；

有 14.4%的樣本沒有訂定任何的懲處法規。

((((四四四四))))資訊倫理政策對企業的影響資訊倫理政策對企業的影響資訊倫理政策對企業的影響資訊倫理政策對企業的影響

本研究希望瞭解企業推行資訊倫理政策的影響，調查結果發現有 90.7%的樣本認為實施資訊倫理政策是很必要的，顯示大多數的企業十分重視資訊倫理的問題。

此外，研究結果顯示 84.4%的樣本認為資訊倫理政策可以「降低資訊濫用帶來的損害」；82.3%認為可以使「企業資訊安全獲得提升」；63.1%認為可以「保護公司的形象及商譽，獲得肯定」；51.1%認為可使「員工觸犯資訊倫理規範的頻率降低」；44%認為可使「員工資訊倫理意識提升」；27%則認為

(17)

能「達到貫徹企業文化的效果」。金融業在上述各個項目皆有最高的勾選比例，

顯示金融業樣本認為推行資訊倫理政策能對企業本身帶來正面影響的比例較高。

((((五五五五))))實施資訊倫理政策遭遇的困難實施資訊倫理政策遭遇的困難實施資訊倫理政策遭遇的困難實施資訊倫理政策遭遇的困難

探討樣本實施資訊倫理政策所遭遇的困難或問題，調查結果顯示企業遭遇的主要困難或問題包括「倫理規範與員工工作效率的最佳平衡點不容易找到」(60.4%)、「員工使用各種方式鑽漏洞」(45.3%)、「監控成本太高」(43.9%)、

「企業高層與員工的資訊倫理理念不ㄧ致」(19.4%)、「高層主管支持度不夠，

執行力不夠強」(15.1%) 及「員工反彈聲浪大，配合度不夠」(15.1%) 等。顯然如何對員工之資訊使用行為進行有效規範，又不會影響員工之工作效率，兩者之間的取捨與平衡是企業執行資訊倫理政策的最大困難，也是急需思考與突破的問題。

((((六六六六))))對其他企業推行資訊倫理政策的建議對其他企業推行資訊倫理政策的建議對其他企業推行資訊倫理政策的建議對其他企業推行資訊倫理政策的建議

高達 85.6%的樣本認為同業制訂資訊倫理政策是必要的，其中金融業更有 96.3%的樣本認為同業制訂資訊倫理政策是「很必要」或「一定要」，製造業與服務業則各約有 83%。此外，樣本亦根據本身的經驗，建議其他企業在訂定與執行資訊倫理政策時首先應「制訂明確的資訊倫理規範」(69.3%)、「加強資訊倫理的宣導」(67.1%)、「要試著尋找倫理規範與員工工作效率的最佳平衡點」(55%)、「應制訂明確的獎懲辦法」的 (52.9%)、「實施員工有關資訊倫理的教育訓練」(41.4%)、「要更重視資訊倫理政策議題」(27.9%) 及「對員工進行資訊倫理的考試、測驗」(10%)，僅 3.6%的樣本認為「沒有立刻實施的必要性」。

調查樣本認為同業中已制訂資訊倫理政策的比例，26.8%的樣本認為已制訂資訊倫理政策的企業比例在 20%以下、21.7%認為介於 21%~40%之間、18.8%

認為在 41%~60%之間、15.2%認為在 61%~80%之間、17.4%認為在 81%以上，

上述數據顯示共約有 51.4%的樣本認為同業已制訂資訊倫理政策的比例在 41%以上，顯然多數企業已確實意識到資訊倫理對企業本身的影響與重要性。

((((七七七七))))違反資訊倫理規範的常見案例違反資訊倫理規範的常見案例違反資訊倫理規範的常見案例違反資訊倫理規範的常見案例

調查結果發現員工比較常發生的資訊濫用行為規範包括「私自安裝或下

(18)

載非法軟體」、「非工作相關的網際網路瀏覽」、「用電子郵件收送非工作相關資料」、「下載多媒體檔案或與工作無關之資料」、「竊取公司重要資料及外洩公司機密」、「帳號密碼濫用」、「MSN 等即時通訊軟體的使用」、「玩電腦遊戲」及「鑽公司網管漏洞或癱瘓公司網路」等。

陸陸陸

陸‧‧‧‧ 研究結論與建議研究結論與建議研究結論與建議研究結論與建議

表三研究結論

企業資訊倫

理政策構面研究結論

資訊濫用行為規範內容

三大產業在「電腦系統資源濫用行為規範」、「網路濫用行為規範」、「資訊資產安全濫用行為規範」、「電腦病毒相關行為規範」、「電腦駭客行為規範」、

及「電子郵件濫用行為規範」等六大類皆有制訂相關規範。

資訊倫理政策的形成

1.六成以上的企業有制訂專門且獨立的資訊倫理政策。

2.企業資訊倫理政策的主要制訂方式包括「資訊中心或資訊處制訂」、「參考或依循政府法令」、「參考其他公司法令」。

3.企業制訂資訊倫理政策的主要原因包括「防止員工做出資訊濫用行為，不利公司」、「維護公司形象」、「因應實際需求」、「遵循政府相關法令而制訂」。

4.員工較常發生的資訊濫用行為包括「私自安裝或下載非法軟體」、「非工作相關的網際網路瀏覽」、「用電子郵件收送非工作相關資料」、「下載多媒體檔案或與工作無關之資料」、「竊取公司重要資料及外洩公司機密」、「帳號密碼的濫用」、「MSN等即時通訊軟體的使用」、「玩電腦遊戲」、及「鑽公司網管漏洞或癱瘓公司網路」等。

資訊倫理政策的執行

1.企業宣導資訊倫理政策的主要方式包括「發文公告相關訊息」、「要求新進員工簽署相關合同」、「要求閱讀員工手冊」、及「一線主管主動加以勸導」。

2.58.2%的企業有實施資訊倫理政策相關教育訓練，多採不定期實施的方式。

3.金融業的新進員工需要簽訂資訊倫理規範或合同的比例最高，可看出金融業對防範員工資訊濫用行為的重視。

4.六成以上的企業會要求其外包廠商或臨時僱工簽訂資訊倫理規範或合同，金融業對此也較重視。

5.有近六成的企業會詢問資訊人員是否有資訊濫用的背景，金融業透過身家調查的方式來調查資訊人員是否有資訊濫用的背景或傾向的比例較高。

6.企業資訊倫理政策的主要負責單位包括「資訊處或資訊中心」，但跨部會負責的態勢明顯。

7.約 85.6%的企業有制訂觸犯資訊倫理政策的懲處方式，依情節的輕重主要包

括「口頭告誡」、「記過」、「開除」、及「書面申誡」等。

8.企業導入資訊安全標準的狀況並不普遍，以金融業導入的比例最高。

9.八成以上的企業其資訊倫理政策的實施對象為全體員工。

資訊倫理政策對企業本身的影響

1.企業認為推行資訊倫理政策的主要效益包括「降低資訊濫用帶來的損害」、「企

業資訊安全獲得提升」、「保護公司的形象及商譽，獲得肯定」、及「員工資訊倫理意識提升」。

2.實施資訊倫理政策主要的困難包括「倫理規範與員工工作效率的最佳平衡點不容易找到」、「員工使用各種方式鑽漏洞」、及「監控成本太高」。

3.高達九成的企業認為實施資訊倫理政策是必要的，尤以金融業為最。

(19)

對其他企業推行資訊倫理政策的看

法

1.對其他公司推行資訊倫理政策的主要建議包括「制訂明確的資訊倫理規範」、

「加強資訊倫理的宣導」、「試著尋找倫理規範與員工工作效率的最佳平衡點」、「應制訂明確的獎懲辦法」、「實施員工有關資訊倫理的教育訓練」。

2.大多數的企業認為同業有制定資訊倫理政策的必要性，金融業的樣本認為同業實施資訊倫理政策是有必要性的比例最高。

本研究探討台灣資訊倫理政策的規範內容、資訊倫理政策的形成、資訊倫理政策的執行、資訊倫理政策對企業本身的影響、企業執行資訊倫理政策的困難、對其他企業實施資訊倫理政策的建議、資訊倫理政策推行的實際案例等議題，期望能瞭解台灣企業其資訊倫理政策之發展現況，本研究之重要結論歸納於表三。本節最後就企業制訂、實施資訊倫理政策與未來研究提出建議。

一、對未來企業推行資訊倫理政策的建議一、對未來企業推行資訊倫理政策的建議一、對未來企業推行資訊倫理政策的建議一、對未來企業推行資訊倫理政策的建議

((((一一一一))))資訊倫理政策的規範內容資訊倫理政策的規範內容資訊倫理政策的規範內容資訊倫理政策的規範內容

1.本研究調查企業資訊倫理政策中的具體規範項目，常見的規範彙整於表二，可做為企業制訂或修正資訊倫理規範的參考。

2.研究結果顯示樣本對電子郵件濫用行為的規範比例較低，如「收送非工作相關的電子郵件」、「電子郵件騷擾他人」、「匿名或偽造他人名義發送電子郵件」、及「每天的電子郵件收發數量太多」等規範的比例皆小於 50%，未來企業可加強電子郵件濫用行為的相關規範。

3.本研究認為一些重要的規範如「開發的程式有一些問題，但因為急著在市場推出而不進行修正」、「在公司討論區或論壇發表不正確的訊息」、「為個人、宗教、政治的招攬目的而使用網際網路」、及「發現登入系統的帳號和密碼被盜用卻不告知系統管理人員」等的制訂比例皆小於 50%，建議企業可將之納入規範內容。.

4.本研究發現企業內部員工較常觸犯的資訊倫理規範如「私自安裝或下載非法軟體」、「非工作相關的網際網路瀏覽」、「用電子郵件收送非工作相關資料」、「下載多媒體檔案或與工作無關之資料」、「竊取公司重要資料及外洩公司機密」、「帳號密碼的濫用」、「MSN 等即時通訊軟體的使用」、

「玩電腦遊戲」、及「鑽公司網管漏洞或癱瘓公司網路」等，可作為資訊倫理政策制訂或加強的參考。

(20)

((((二二二二))))資訊倫理政策的形成資訊倫理政策的形成資訊倫理政策的形成資訊倫理政策的形成

1.超過九成的企業認為實施資訊倫理政策是有必要性的，可見推行資訊倫理政策已是刻不容緩的事，建議企業應儘速制訂專門、獨立且明確的資訊倫理政策，以降低資訊濫用帶來的損害、並使企業資訊安全獲得提升。

2.企業制訂資訊倫理政策時，可依據政府法令、參考其他公司政策與規章，

並諮詢法務人員及外部稽核公司來制訂。

((((三三三三))))資訊倫理政策的執行資訊倫理政策的執行資訊倫理政策的執行資訊倫理政策的執行

1.研究結果顯示有 41.8%的企業沒有實施資訊倫理政策的相關教育訓練，建議企業應適時提供教育訓練以提升員工的資訊倫理意識。

2.可透過發文公告、要求新進人員簽署相關合同、要求員工閱讀員工手冊等方式來宣導資訊倫理政策，並採用資訊倫理相關的教育訓練或測驗來提升員工的資訊倫理意識，減少資訊濫用行為的發生。

3.已推行資訊倫理政策的企業可制訂更明確的資訊倫理規範與獎懲辦法、

加強資訊倫理的宣導、同時找出倫理規範與員工工作效率的最佳平衡點。

二、對未來研究的建議二、對未來研究的建議二、對未來研究的建議二、對未來研究的建議

1.本研究針對台灣一千大企業進行調查，回收有效樣本共 143 個，回收率僅 14.3%，不能排除未回應者誤差 (non-response error) 的存在，即回覆的樣本可能代表已有推行資訊倫理政策者，多數不重視或未建制資訊倫理政策的樣本可能沒有填寫問卷，研究結果推論宜謹慎與保守。

2.建議未來可進行實施資訊倫理政策的關鍵性指標之研究，以作為企業評估資訊倫理政策的標準。

3.可對資訊倫理政策的內容進行更深入的分析，例如針對某特定產業進行資訊倫理政策的相關分析。

4.本研究依產業別來了解台灣企業資訊倫理政策的現況，建議未來研究可加入其它變數如「企業規模」、「使用電腦的員工人數比例」、「外商和本土企業的差異」、「企業資訊化程度的高低」、及「企業文化的差異」等，

以持續進行完整的調查及分析。

(21)

5.調查結果中，企業有制訂獨立資訊倫理政策的比例高達 64.5%，與僅 20%

的個案訪談受訪公司有制訂獨立且明確的資訊倫理政策差異甚大，此明顯差異值得後續深入研究。

參考文獻參考文獻參考文獻參考文獻

林杏子等，「資訊倫理」，華泰文化事業公司，2001，台北。

Bequai, A., "How to Prevent Computer Crime: A Guide for Managers", NY: John Wiley & Sons, 1983.

Bynum, T.W., "Computer Ethics: Its Birth and its Future", Ethics and Information Technology, 3(2), 2001, pp.109-112.

Conger, S., Loch, K.D., & Helft, B.L., "Ethics and Information Technology Use: A Factor Analysis of Attitudes to Computer Use", Information Systems Journal, 5, 1995, pp.161-184.

Ellis, T.S., & Griffith, D., "The Evaluation of IT Ethical Scenarios Using a Multidimensional Scale", Database for Advances in Information Systems, 32(1), Winter 2001, pp.75-85.

Harrington, S.J., "The Effects of Codes of Ethics and Personal Denials of Responsibility on Computer Abuse Judgments and Intentions", MIS Quarterly, 20(3), 1996, pp.257-278.

Harrington, S.J., "The Impact of Codes of Ethics on Information Systems Personnel", Association for Computing Machinery, 1994. Retrieved August 5, 2005, from the World Wide Web:http://portal.acm.org/citation.cfm?id=186323&coll=portal&dl=ACM&CFID=52993699&

CFTOKEN=72527507

Healy, M. & Iles, J,. "Ethical Aspects of e-Business: The Use of Codes of Conduct", Business Ethics:

A European Review, 10(3), 2001, pp.206-212.

Huff, C., & Martin, C.D., "Computing Consequences: A Framework for Teaching Ethical Computing", Communications of the ACM, 38(12), 1995, pp.75-84.

Heide, D.& Hightower, J.K., "Organizations, Ethics, and the Computing Professional", Journal of Systems Management, 34(11), Nov 1983, pp.37-42.

Kreie, J., & Cronan, T.P., "Making Ethical Decisions", Communications of the ACM, 43(12), 2000, pp.66-71.

Laudon, K.C. & Laudon, J.P., "Management Information Systems: New Approach to Organization and Technology", Englewood Cliffs, NJ: Prentice Hall, 1998.

Manley, W.J., "Executive’s Handbook of Model Business Conduct Code", Englewood Cliffs, NJ:

Prentice-Hall, 1991, pp.3-10.

Mason, R.O. "Four Ethical Issues of the Information Age", MIS Quarterly, 10(1), Mar 1986, pp.4-12.

Parker, D.B. "Ethical Dilemmas in Computer Technology: Ethics and Management of Computer Technology", Proc. of the Fourth National Conference on Business Ethics, Waltham, MA:

Bentley College, 1981.

(22)

Parker, D.B., "Computer Crime: Criminal Justice Resource Manual (2ed. ) ", National Institute of Justice, U.S. Department of Justice, 1989.

Pearson, F.S., & Weiner, N.A., " “Criminology: Toward an Integration of Criminological Theories", The Journal of Criminal Law & Criminology, 76(1), 1985, pp.116-150.

Pearson, J.M., Crosby, L., & Shim, J.P, "Measuring the Importance of Ethical Behavior Criteria", Communications of the ACM, 40(9), 1997, pp.94-100.

Robin, D., Giallourakis, M., David, F.R., & Moritz, T.E., "A Different Look at Codes of Ethics", Business Horizons, 32(1), 1989, pp.66-73.

Siau, K. Nah, F. & Teng, L. "Acceptable Internet Use Policy", Communications of the ACM, 45(1), 2002, pp.75-79.

Straub, D.W., & Nance, W.D., "Discovering and Disciplining Computer Abuse in Organizations", MIS Quarterly, 14(1), March 1990, pp.45-55.

Straub, D.W., "Effective IS Security: An Empirical Study", Information Systems Research, 1(3), 1990, pp.255-276.

Vitell, S., & Davis, D.L., "Ethical Beliefs of MIS Professionals: the Frequency and Opportunity for Unethical Behavior", Journal of business ethics, 9, 1990, pp.63-70.

Weckert, J., "Ethics and Information Technology", Ethics and Information Technology, 3, 2001, pp.93-96.

A Survey of the Corporate Information Ethics Policies in Taiwan

Y

EA

-R

U

CHUANG, J. H. KUO

^*

ABSTRACT

The s tudy a ims to investigate the c urre nt s ituations of corpora te infor mation ethics polic ies in Ta iwa n while at the sa me time e xa mine re le va nt is sues s uc h as codes or re gulations introduced, e nforce me nt procedures, a nd proble ms a nd e ffec ts of the polic y. Diffe re nces a nd s imila rities of the informa tion e thics polic ies a mong ma nufacturing, fina nc ia l, a nd servic e industries are a lso a na lyzed a nd c ompa red in this study. An e xploratory researc h with case study was first conduc ted to collec t pre liminary data a nd to provide a rough view of corpora te infor mation e thics polic ie s in Ta iwa n. Superinte nde nts from five major corporations represe ntin g diffe re nt industries we re persona lly interviewed. In the for ma l s urve y, a paper a nd pe nc il type of questionna ire was adminis tere d to the ma na ge rs of the infor mation or huma n resource depa rt me nts from the top 1000 corpora tions in Ta iwa n. 143 sa mples returned the ques tionna ires.

It was found fro m the study that 64.5% of the c orporations had a lrea dy set inde pe nde nt infor mation ethics re gulations a nd the fina nc ia l industry possess ing the highest pe rce nta ge. Results of this study re vea l that as high as 90. 7% of s ubjects recogniz e d the importa nce a nd necess ity of regula tions of infor mation ethics, a nd

* Yea-Ru CHUANG, Professor, Department of Information Management, Fu Jen Catholic University.

J. H. KUO, Software Engineer, Evergreen International Corp.

(23)

58.2% of sa mples offere d tra ining or education c ourses to e nha nce e mployee’s knowledge about ethica l iss ues concerning informa tion tec hnology.

Based on res ults of the study, s ugges tions a nd reco mme ndations of the polic y’s establis hme nt, re vis ion, and enforce me nt a re adva nced.

Keywords: business ethics, information ethics, corporate policy of information ethics

台灣企業資訊倫理政策現況調查