行政院國家科學委員會補助專題研究計畫 █ 成 果 報 告
□期中進度報告
以制度理論探討臺灣公私部門引進資訊安全管理系統之行為 與成效 (2/2)
計畫類別:█ 個別型計畫 □ 整合型計畫 計畫編號:NSC 97-2410-H-011 -011 -MY2
執行期間: 97 年 08 月 01 日至 99 年 07 月 31 日
計畫主持人:周子銓 共同主持人:
計畫參與人員:
成果報告類型(依經費核定清單規定繳交):□精簡報告 █完整報告
本成果報告包括以下應繳交之附件:
□赴國外出差或研習心得報告一份
█赴大陸地區出差或研習心得報告一份
□出席國際學術會議心得報告及發表之論文各一份
□國際合作研究計畫國外研究報告書一份
處理方式:除產學合作研究計畫、提升產業技術及人才培育研究計畫、
列管計畫及下列情形者外,得立即公開查詢
□涉及專利或其他智慧財產權,□一年□二年後可公開查詢 執行單位:國立台灣科技大學資訊管理系
中 華 民 國 99 年 7 月 31 日
中文摘要
隨著資訊科技以及網際網路的蓬勃發展,資訊資產早已成為企業在獲取競爭優勢上最 重要的因素。特別是當英國標準協會(BSI)所推廣之資訊安全管理系統(Information Security Management System, ISMS)逐漸被證實為資訊安全管理中最佳實務後,世界各 地的企業與組織紛紛加入取得認證的行列,藉以證明本身之安全狀況。但是過去在資訊安 全議題的討論上,較著重於技術面防護的改善與研究,相對地較忽略組織行為構面的資安 管理研究。資安事件除了外在的威脅以外,組織內部亦存有相當程度的風險,所以管理高 層也應重視組織是否具有適切的資訊安全管理機制。但是,目前尚缺乏有關組織導入 ISMS 的相關研究,也缺乏對實務的相關研究。特別是目前缺乏以臺灣科技產業為基礎來探討資 訊安全管理系統的研究,也缺乏以臺灣公私部門資訊安全管理系統行為模式與成效的研 究。本研究以質性研究方法中之個案研究,來瞭解台灣科技產業與公務機關兩種不同環境 下的引進資訊安全管理系統之行為與成效,除了以實務觀點來研究資訊安全管理系統外,
主要希望藉由社會學的制度理論為基礎,研究台灣科技產業與公務機關的制度環境如何影 響到引進資訊安全管理系統之行為與成效。本研究針對七個通過 ISMS 認證且業務與組織特 性皆有所不同之民營企業與政府機關,透過訪談來蒐集個案資料。本研究初步發現,由於 不同的組織背景與制度環境,造成個案間設定之目標有所不同,進而影響 ISMS 在組織的導 入。除了外顯的制度因素外,本研究進一步分析內隱的文化因素對 ISMS 導入的影響。本研 究建議在導入 ISMS 時,不僅僅應對組織的安全環境做深入的研究,也需要提升對於文化特 徵與制度的理解,以規劃出具體可行的導入策略與推動方案。
關鍵詞:資訊安全管理系統、制度理論
AbstractAlong with the flourishing development of information technology (IT) and Internet, information assets are now of critical importance to firms’ competitive advantage. To avoid information security incidents which may lead to a serious lost of firm’s time, cost and reputation, more efforts are needed for enterprises to secure their information assets. In particularly, when the Information Security Management System (ISMS) promoted by BSI has been proved to be the “best practice” for information security management, more and more organizations are seeking the ISMS certification, in proofing their secure capabilities. However, the links between ISMS adoption and performance are rather weak. In addition, the empirical studies for ISMS
have not yet been convincingly demonstrated. In particular, this study will employ the institution theory in examining the impacts of institutional environments on ISMS adoption and performance in terms of both private and public sectors. By employing case study method, the study finds that
organizational context, project complexity, stakeholders’participation, and institutional context influence on the ISMS adoption and its performance.
This study also demonstrates how the adoption of ISMS influences by the organizational intrinsic culture.
Keywords: Information Security Management System, institution theory
前言
「資訊安全管理」已經是資管領域最重要的議題之一。資訊安全是包含了保護資訊資 產的概念、技術、技術性的方法以及管理層面的措施 (McDaniel, 1994)。資訊安全的主要 目的在於保障企業資訊資產的機密性、完整性以及可用性,將業務損失降到最少,進而達 成企業永續經營的目的。早期資訊安全的研究大多偏重在實體技術安全上,例如防火牆的 技術、備援機制的發展、各種存取控制的方式、加解密技術研究以及弱點與入侵偵測等等。
90 年代之後,資訊安全的議題便開始朝向作業程序、政策制訂、標準、風險管理、安全測 量評估等方面來發展(Fung et al., 2003)。特別是自從英國標準局公布 BS-7799 part1:
「資訊安全管理實務準則」 ,隨後並驗證其為資訊安全管理的最佳實例,並於 2002 年正式 被國際標準組織(International Standard Organization, ISO)列為 ISO17799,資訊安 全管理系統(Information Security Management System, ISMS)之正式概念已漸漸向全 世界推廣(von Solms, 2001)。
雖然 ISMS 日趨重要,但過去許多 ISMS 相關研究(例如: Saint-Germain,2005),大多 闡揚的是:ISMS 為組織理想的資訊安全政策及指導原則基本結構,並提到 ISMS 具有高度 的彈性,並且適用於各類型的組織。但是,目前 ISMS 相關的組織與行為構面的研究相當 缺乏,並忽略了推動 ISMS 與人員的互動情形,與是否達到當初預期之安全成效等問題。
特別是制度環境下探討導入 ISMS 與人員的互動情形,並進一步分析資安成效的相關研究 並不多見,特別是以本國環境為基礎的研究更是少見。故本研究認為以臺灣產業為基礎的 研究,來瞭解臺灣產業的 ISMS 導入行為與管理實務相當重要,同時台灣的相關研究應對 其它國家也有相當的助益。目前也缺乏比較公私部門 ISMS 導入行為模式差異的研究。事 實上台灣的公部門也相當積極的投入資安管理的議題,但 ISMS 方面很少有研究是以政府 機關公部門為對象。目前許多公共管理領域學者(例如:Jones & Thompson,1999)提倡引進 與應用企業領域管理關念至公領域,推行所謂之「新公共管理」。但是 ISMS 相關的研究 較注重企業領域而較缺乏公務機關的相關研究。特別是政府機關的組織規模龐大、組織階 層複雜且人員眾多。如何有效的導入 ISMS 到公部門的過程並非一般企業環境可比擬。故 釐清公私部門組織、文化等差異將有助於公領域借用私領域管理觀念之推行,且避免觀念 的誤植。故本研究認為以臺灣公務機關為基礎的研究,來瞭解臺灣公部門的 ISMS 引進行 為與管理實務是相當重要。
研究目的
組織的資安管理問題,除了資安相關技術與產品外,可藉由 ISMS 實務指引(ISO17799) 來瞭解組織在開始、實行、維護與改善資訊安全管理時的指導方針與一般化原則,輔以 ISMS 的要求(ISO27001),經由 P-D-C-A 的過程模式來持續改善組織的企業資安環境。所以 ISO 27001 為定義 ISMS 需求的標準,敘述資訊安全涵蓋之範圍,ISO 17799 則說明如何執行。
事實上安全管理包含了三個極為重要的因素,其在於「資訊安全政策的聲明」、「安全權責
架構的重新調整」以及「成員的安全教育」 。許多安全專家則相信如何推廣良好的使用者行
為以及抑制不好的行為乃是組織讓資訊安全更為有效的重要方法(Gupta & Hammond,
2005)。儘管, 「人」的議題已經逐漸受到重視,但仍有許多影響需要更明確的釐清。本研
究以個案研究方式,運用制度理論(Institutional theory)為研究觀點,並分年度分別探
討台灣產業與公務機關所面臨制度環境,以瞭解兩種不同組織結構、制度環境與 ISMS 導入
與建置模式。
文獻探討
資訊安全(包括資訊系統安全管理)的重要性早已被許多研究所證實。從實用的角度 來看,安全也是許多專案的優先考量。資訊安全乃是透過許多安全與控制的程序以保障資 訊資產的機密性、可用性以及安全性 (Kim and Surendran, 2002),其並非單指邏輯性的資 訊,而是包含了所有相關之基礎建設如流程、系統、服務、資訊設備(包含電腦、通訊網 路)等。
ISMS 的概念源於世界經濟合作開發組織(Organization for Economic Cooperationand Development, OECD)轄下的資訊、安全與通訊政策組織所草擬並公布的「資訊安全指導綱 要」。ISO/IEC 27001 敘述資訊安全涵蓋之範圍,ISO/IEC 17799 則說明如何執行。目前 ISO/IEC 17799:2005 一共涵蓋了如下 11 個領域、39 個控制目標、133 個控制措施, 詳細 說明請參考(ISO/IEC 17799):
1. 安全政策(Security Policy)
2. 組織資訊安全(Organization of Information Security)
3. 資產管理(Asset Management)
4. 人力資源安全(Human Resources Security)
5. 實體與環境安全(Physical and Environmental Security)
6. 通信與作業管理(Communications and Operations Management)
7. 存取控制(Access Control)
8. 資 訊 系 統 取 得 開 發 與 維 護 ( Information Systems Acquisition, Development and Maintenance)
9. 資訊安全事故管理(Information Security Incident Management)
10. 營運持續管理(Business Continuity Management)
11. 遵循性(Compliance)
在 ISMS 標準前兩章,要求組織必須制訂安全政策,並建立安全管理組織。基本上,
資訊安全政策係用以向組織裡所有資訊資源的使用者,解釋組織對於安全需求、概念的文 件。故必須符合組織的企業目標以及反映管理階層在安全控制規範的願景(Karyda et al., 2005),並且劃分組織內所有成員之正式權責,以利日後稽核及協調之用。確保沒有任何員 工能藉職務之便進行詐欺、未授權等。ISMS 在此所提供的能力,乃是藉由完整的政策制訂,
清楚而明白將公司所有成員,上至高層與董事會,下至一般作業員,所負責的安全範圍、
應扮演的角色,以及當事件發生時,誰應負責,又應該作何回應動作,要回報至那個層級…
等,做個明確之責任分派。許多資訊安全管理之研究文獻(例如: Ward and Smith, 2002)中,
皆提及完整的安全政策,乃是影響資訊安全能否成功推行之一重要因素。
另一方面組織所面臨的挑戰在於如何提供適當的存取機制,避免危及資訊資產的完整 性,所以組織需要實施一個良好的安全架構來支援相關的程序或發展合適的管理工具 (Doughty, 2003)。ISO17799 的指導原則中,無論在實體設備與環境、通訊與日常作業、軟 體開發、一般應用程式等方面,對於存取控制皆有明確的定義及規範。其主要目的就是在 於保障資訊資產的機密性、完整性以及可用性,故 ISMS 具有資訊安全治理的概念,並賦 予企業完善的存取控制能力。
但是,因為大多數的基本安全控制措施都在於人的執行,ISMS 的人的因素更不可忽
略。使用者缺乏足夠的安全知識,也是影響資安管理的重要的因素 (Furnell, 2005)。故教導 組織成員瞭解公司安全控制措施,以及機密資料的維護,逐漸提高員工的資訊安全察覺素 養,進而培養組織資訊安全文化。所以 ISO17799 指導原則中也提到,在組織實施資訊安全 保護之成功關鍵因素中,適當且完整的訓練與教育乃非常重要。因為,企業不能過份期望 安全認知與成員主動。畢竟,人們日常工作受到限制時,未必輕易接受,除非這些限制是 敏感且必要(Ølnes, 1994)。故需要透過一次次的資訊安全察覺教育,改善使用者安全行為,
強化使用者的安全常識以及面對安全事件時決策的技巧,以期培養強健的資訊安全文化 (Siponen, 2000)。
在 ISO27001 標準中,要求企業必須定義風險鑑定之準則以及可反覆使用之風險評估方 法。對於企業而言,風險是指可能造成企業價值損失之事件,其發生之機率。而每個風險 都有相對之成本,無論這成本是有形或無形 (von Solms, 2001) 。Gerber & von Solms (2001) 認為「風險」是由資產、威脅以及弱點所組成的。因此,企業為了減少事件發生所帶來的 損失。必須對風險能妥善的管理。並且又可將此能力細分為三部分:分別為風險分析、風 險鑑價、風險處置。企業需具有風險管理之能力,才有足夠的回應能力以面對外部的競爭 和挑戰。而 ISO27001 所規定的營運持續管理,便是希望企業藉由 PDCA 模型不斷持續的 修正,讓組織得以因應外部環境之變化。如:產業法令修改、人為與天然災害(火災、地 震、電力中斷…) 。因此,ISMS 在此所賦與企業的永續經營能力,可定義為: 「企業得以獲 得持續營運的能力,避免因為意外而業務停擺、中斷。同時也能符合所屬產業的相關法律 規定。」
如前所述,目前相關研究均忽略制度觀點,且缺乏在制度環境下探討導入 ISMS 與人 員的互動情形,以進一步分析資安成效。
North(1990)於「制度、制度變遷與經濟成就」一書中,開宗明義指出,制度是約束 一個社會的遊戲規則。更嚴謹的說,制度是人為制定的限制,用以約束人類的互動行為。
因此,制度構成了人類交換的動機;此處所謂的交換包括政治的、經濟的以及社會的行為。
而制度的組成包括正式制度、非正式的限制與執行三部份,其目的在於減少不確定性以及 降低組織內的交易成本。而「制度化」 (institutionalization)是一種程序,透過這種程 序可以使社會事實變成充分地規則化及持續性因而形成制度,這個觀念顯示社會實務的改 變即在於修正既有的制度或創造新的制度形式(Abercrombie et al.,1986) 。
制度環境乃是綜合上述之個別制度所形成的一種上位抽象概念。一般而言,就是指政 治、社會以及法律的基本規範,也是社會成員生產、交易以及分配的基礎(林水波,1999),
但組織理論內之新制度理論針對於此一概念的使用,有其特定的涵義認定; 「制度性環境」
乃是組織所置身的某種環境特性(Scott,1992),有別於以往組織論者所關注,並一味強調 組織效能的技術性環境,強調的是該組織之行為是否符合其規範要求而具有合法性及正當 性。歸納上述之內容重點可得以下之陳述:「制度環境」乃是組織所身處的一套認知脈絡、
價值信仰脈絡或符號脈絡,為一般大眾或掌權者所遵奉,並以其為正當合理,而該脈絡的
形成常是藉由法律、制度、儀式、習俗、慣例或特殊成功案例之實際援用而得,可用以價
組織之行事是否具有正當性。
雖然制度在社會學的研究已經存在許久,但真正將制度理論用於組織研究上則是近幾 十年的事。Scott(1995)指出,在組織研究方面,最先提出制度化程序概念的是 Selznick
(1949) ,他強調特定組織中的程序,形成一組特殊的價值承諾,而 Stinchcombe(1965)
更突顯 Selznick 觀點中權力的角色,引申認為具有權力的人士可以運用某些機制以保留 其在組織中的利益與承諾。相較於其他組織理論,制度理論並不以效率為組織運作的基本 預設,而是以制度化、正當性與社會鑲嵌(social embeddedness)的概念來解釋組織的現 象(Meyer & Rowan,1977);制度理論企圖彰顯一個組織內部效率的高低並不足以決定該 組織的存續,組織是鑲嵌(embedded)在一個複雜的社會脈絡之中(Granovetter,1985),
所以組織處在一個持續社會建構與制度化的過程裡。
制度理論強調組織乃身受環境影響的開放系統(DiMaggio & Powell, 1983)。制度分析 檢視從外顯的法規到內隱的文化理解等的社會性與歷史性力量如何影響到組織的活動,以 及如何被組織活動所影響(Orlikowski & Barley, 2001)。新制度論認為制度影響政府的公 共政策的原因有四點:(1)制度決定了政府制定和執行政策的能力;(2)制度所提供的機 會和限制決定了政治行動者或經濟行動者的策略;(3)制度決定了政治行動者或經濟行動 者 之 間 的 權 力 分 配 模 式 ;( 4 ) 制 度 界 定 了 行 動 者 的 範 圍 或 行 動 者 如 何 認 知 其 利 益
(Pontusson,1995) 。
若以制度理論來看 ISMS 導入此一議題時,制度環境類似的組織所採用的 ISMS 模式將 產生同構(isomorphism)的現象,亦即組織為了讓組織資訊安全管理模式符合一般的社會預 期,而會使用一般組織採行的架構。這就是制度理論所指出的外生因素成為合適行為的基 礎,也就是理所當然(taken-for-granted)主導了資訊安全管理系統的設計。
如果以制度理論的觀點分析時,企業對於決策權利和責任框架所需之行為會趨向一 致。所以就制度理論而言,決策過程是嵌入在制度脈絡中(Mezias & Scarselletta, 1994)。
但是,當組織受到制度環境影響越大時也意味著組織在談到如策略性校準、價值傳遞、IT 資源管理、IT 風險管理與績效衡量時缺乏因組織差異所產生的獨特考量。舉例而言,在電 子化的熱潮下,許多企業一昧的投入電子化的行列。從策略的觀點而言,企業可以說是為 了提高競爭力所做的 IT 投資;但以制度理論的觀點分析時,企業可能未考量到本身的條件 (例如:產業與產品特性),只是追求熱潮「跟進」從事電子化,如此不必然會獲得競爭力。
同理,如果組織只是跟著流行去從事資安管理並引進 ISMS,忽略本身資安的需求與賦予資 安管理真正的價值,則 ISMS 引進與建置對資安的成效必定有限。
研究方法
研究方法的選擇必須考慮到研究的目的與問題,不同的研究問題所適用的研究方法亦有所
不同。基於此事實與文獻限制,以量化實證的研究典範顯然並不適合,而必須依賴質性方
法。在後續的研究方法設計上亦需考量到如何以有系統且持續的訪談與如何有效率的整理
資料。依據 Yin(1994) ,單一個案與多重個案適用時機各有不同。選擇單一個案設計的原
因有三:(一)該個案乃測試一個成熟理論的關鍵性個案。這些理論已經具體地說明了一組
清楚的命題,以及這組命題適用的條件。(二)該個案代表一種極端或獨特的個案。(三)此
個案為揭露式個案。然而,多重個案研究是複現(replication)設計的概念,而非抽樣邏 輯,其中多重個案中的每一個案研究被視為複現的個別試驗,用以驗證理論,而當蒐集的 證據與理論有出入時,則做適度的修正。使用多重個案的優點在於多重個案得到的證據,
通常都被認為是較強而有力的,也因此整個研究也較為穩健(Yin,1994)。故本研究採用 多重個案研究為主要的研究策略。
基於研究倫理,而對本研究個案之單位予以匿名。個案簡介如下:
V 公司由財政部及民間股東共同出資成立,營運目標與理念在於配合政府貨物通關業務政 策,由於核心業務涉及海關之機密性資訊,因此資訊安全乃是該公司經營時的重要考量,
在資訊安全方面的控管上,持續投入了相當心力與成本,故該公司希望藉由此國際性標準 來檢視既有資訊安全管理規範的完整性。
H 公司是由系統整合、產品銷售起家之民營組織,目前營運業務包含金融應用、資訊安全 諮詢顧問服務、軟體開發以及軟體國際化。然而行政院 NICI 小組為完成國家安全機制之建 立,經多次召集各部會研討相關規劃作業與計畫具體可行方案,及 BSI 積極將資訊安全認 證市場擴大推廣的風潮下,使得業界開始逐漸重視資訊安全的問題。個案公司主要服務為 系統整合與資訊安全產品銷售為主,但在面對客戶經常對於購買公司產品之後的安全問題 產生質疑,以及客戶開始向其詢問何謂 BS7799 的情境下,形成公司導入標準的一股驅動力。
A 單位為我國特定業務單位之主管機關,負責國內政府專業業務單位之作業場所的安全監 督,並嚴格執行安全管制、防護及環境偵測,妥善規劃作業後之廢棄物管理,亦結合民生 應用之研究發展。
N 單位成立初期,受到人力不足與時間壓力的限制下,大部分的應用系統、軟硬體設備皆 由委外廠商建置,在尚未建立有效之規範與管控的情況下,各廠商間往往受到彼此系統或 硬體上的調整而影響作業進度,又因主要業務為全國各政府機關之檔案、公文等資料之管 理,其中包含機密文件,故使該個案之資訊主管感受到經營環境的不安全性及易滲透性。
因此,在組織內部逐漸形成建立與制訂完整規範的動機。
F 單位因應我國金融機構跨業經營需要,以提升金融監理效能,乃成立之,並受行政院資 通會報的規範下,使得該個案之高層須正視與組織業務相關之資訊安全議題,避免引發資 安事件而危及與眾多金融單位往來之業務。
T 單位為在國內金融產業主導國內衍生性商品市場,並被政府單位列為 A 級機關,資訊安 全戰略位置有其指標性;另一方面,T 單位組織內部結構、人員及文化環境與政府機構相 仿,所需遵循之資訊安全規範及重視的議題也與政府機關一致,藉由探討 T 單位的行為模 式,也可以用來解釋目前政府機關或是列管的 A 級機關(構)的資訊安全落實情形。
S 單位為國內知名的醫院,為國內教學醫學中之一,為提高醫療品質與面對醫療資訊全面 電子化的趨勢,S 單位也朝向影像、病例全面電子化的發展,S 單位所屬的六家醫院,在衛 生署的鼓勵下,一個月內陸續通過 ISO27001。
初步研究結果分析:(1) 外顯制度對引進資訊安全管理系統之行為之影響
如前文獻指出,制度分析檢視從外顯的法規到內隱的文化理解等的社會性與歷史性力量如
案的比較可以獲得下列結果:
跨個案分析 說明 1
組 織 的 背 景 因素,包含了(1) 組織型態、(2) 業務特性與(3) 舊 有 資 訊 安 全 政策,會產生不 同 ISMS 導入目 標,進而影響到 ISMS 引進與成 效。
從本研究中,我們可以發現,組織或企業在導入 ISMS 時,其所在之產業、
環境背景、組織情境所產生之驅動力,對該系統於企業內部運行時,是否 確實的被使用,並影響到員工的日常行為,造成很大的影響。比方說:假 使組織乃是出於無奈,被迫符合某些要求而導入制度。那麼,組織的焦點 便可能只會放在能否取得認證,而導入之後是否真的能提升組織整體的資 訊安全程度,就不是那麼為人重視。相反的,企業若是自發性的希望藉由 此系統來改善當前的安全體制,在政策制訂以及控制措施的規劃與施行上 也會更為適切與積極。畢竟,對於台灣許多企業來說,資訊安全並不如品 質管理一般與業務有著直接的利害關係。因此,其究竟站在何種出發點,
來考量資訊安全系統為組織所帶來的效益,以及標準導入後所能發揮之效 應,便是組織在導入系統前必須要深思與詳加規劃的一環了。
2
ISMS 專案的複 雜程度,包含了 (1) 導 入 範 圍、(2) 涉及範 圍 成 員 之 任 務 特性、與(3) 認 證 範 圍 原 有 之 資安制度,會影 響 ISMS 引進與 成效。雖然,在資訊安全管理系統之標準中,規定取得認證之標的必須是企業的 核心業務。卻因導入的範圍為何並未明確限定,又 ISO27001、ISO17799 所敘述的都只是概略性的指導綱要,故使其容有因時、因地而有不同的解 釋。但從本研究的個案中發現,即便是同屬組織認定之核心業務,卻也有 其不同的重要程度、涵蓋範圍以及組織日常作業之影響力。倘若,導入認 證之標的對企業內其他員工之作業並無太大的變動,那麼導入之後對組織 整體所產生的效益也相對大打折扣。設定範圍由小至大固然是個不錯的制 度導入策略,然而,企業在範圍的選擇時,更應思考該範圍所能影響之層 面。例如:導入的範圍設定在某個處理日常交易的資訊系統上。此時,組 織便要先考量到會操作這個系統的使用者有多少人、橫跨哪些部門、負責 維護的是公司內部的資訊人員抑或委外廠商等等。如此,即使企業不是進 行全公司的導入,也才有機會對於專案以外的人員產生影響,強化其資訊 安全的警覺與概念,並有助於日後企業擴大導入範圍時,減少可能遭遇的 阻礙。
3
員工「對 ISMS 之 觀 念 與 瞭 解 程度」與「高層 重視程度」亦會 影響到 ISMS 引 進與成效。無論任何的系統、制度在組織中推行時,高層的承諾與支持以及人員的配 合皆為專案能否成功極重要之因素,然而從本研究中,我們更看到了管理 高層的支持不單只是有利於資源的調度與調配,更會因這些管理者對於專 案的重視與瞭解程度,帶動全體員工取得一致共識,共同參與。或許,資 訊安全的提升並不能像生產流程改善、業務銷售拓展、研發製造技術創新 等,為企業帶來豐厚的利潤,也就不易使管理高層願意專注精力在整體資 安風氣養成上。但是我們卻可以將資訊安全提升當成一種成本的控制,適 當的風險管理,能讓企業避免過多不必要的損失。同時,為了得到員工的 支持與配合,必須要讓其對於 ISMS 有著充分的瞭解。因為,資訊安全的 遵循乃是一種習慣的改變,故教育員工使之理解因考量安全而更改之作業 方式,其實對其是有益處的。就如同交通安全規則,是為了保障自己與他 人之生命安全的道理一樣。如此,也才能導正員工負面的觀念以及執行時 的反彈,進而逐漸培養出適合組織的資安文化。
初步研究結果分析:(2) 內隱制度對引進資訊安全管理系統之行為之影響
另一方面,因個案所受到內隱的文化理解並不一致,影響也不盡相同。限於篇幅限制,本 成果報告的僅就 S 醫院做一分析,其主要的原因為 S 醫院的文化特色鮮明,易於呈現內隱 文化的影響。如下圖所示,過程可分為四個步驟(標於下圖右側):
(1) 本研究透過訪談了解到 S 醫院導入 ISMS 的過程。
(2) 透過程序分析輔以紮根方法,本研究將資料概念化與程序化,並歸類出環境分析(為了 病人資料資安考量與推動電子病例)、設立典範(選定分院中最小規模的進行導入)、創 新擴散(基於前述經驗,進行個別差異與訂定共同標準與制度)與 ISMS 例行化運作(新觀 念與新準則運作於組織中)。
(3) 透過訪談 S 醫院發現階段性重點相當符合組織推動專案的特色。S 醫院為國內最大的 慈善單位,過去就「做就對了、簡單做、做中學、集體實踐」為精神,強調行動與實踐 中才有真知,通過實踐,體會與了解實踐。這與
(4) 透過訪談與二手資料(該單位出版物等),進一步了解 S 醫院內隱的文化特徵,並進一 步了解與 ISMS 過程的關係。
環境分析 設立典範 創新擴散 例行化運作
•內部因素
•推動ISMS正當性
•外部環境
•能力檢視
•觀念變革
•落實與鼓勵
•共識形成
•標準與制度
•個別差異分析
•新行為準則
•制度化運作
•新資安觀念
醫療志業規範
做就對了 (生命經驗)
簡單做 (方便法門)
做中學 (邊走邊整隊)
集體實踐 (實踐法門) 導
入 程 序
內 隱 的 文 化 理 解 模 式
強調由一個小區域 做起,樹立模式與 典範後,再逐步擴
大。
從行為實踐中建立觀念
強調親身的接觸是 動力的來源。
強調深化與內化過 程中獲至服務學習
的效應。
強調容易理解,能 夠行動,且理解與 實踐人人可以遵行。
