隨著資訊科技與網路通訊快速的發展，各企業重要資產與資訊受到資安威脅的風險也越來越大，企業為避免因資安風險遭受重大損失，紛紛開始導入資訊安全管理系統(Informaation Security Management System：ISMS)，確保企業在面臨資安風險嚴峻挑戰的同時，可以維持企業的服務運作不中斷，且能持續穩健的發展。
但從國際標準組織（International Organization for Standardization,ISO）統計發現，本國在導入ISMS的過程並非如預期的順利，而過去的研究文獻並沒有對前述的議題深入探討，所以本研究藉此能膫解這方面的問題外，將透過調查分析後的結果，提供實質的輔助應用工具來協助企業導入ISMS。
本研究將透過一家專業的顧問公司與兩家民營企業和一家政府機關，以價值主張理論為基礎，分析實際導入ISMS過程的各階段分別具有那些痛點、獲益與顧客任務，並從顧客素描(Customer Profile)探討組織導入ISMS的價值地圖為何。研究成果不但可瞭解導入期間的困難與問題，同時研究中建議ISMS輔助工具系統的設計應具備哪些需要的機制與功能，才可協助解決組織導入ISMS過程的痛點提升工作上的效率。

With the rapid development of information technology and network communication, the risk of information security threats to important assets and information of various enterprises is also increasing. In order to avoid heavy losses due to information security risks, enterprises have begun to introduce information security management systems Security Management System: ISMS) to ensure that enterprises can maintain uninterrupted service operations and continue to develop steadily while facing severe challenges in information security risks.
However, according to the statistics of the International Organization for Standardization (ISO), it is found that the process of introducing ISMS in China is not as smooth as expected, and the past research literature has not discussed the aforementioned issues in depth, so this study can take this to understand In addition to the problems in this area, through the results of the investigation and analysis, it will provide substantive auxiliary application tools to help enterprises to import ISMS.
Based on the theory of value proposition, this research will analyze the pain points, benefits and customer tasks in each stage of the actual introduction of ISMS through a professional consulting company, two private enterprises and a government agency, and draw from customers’ sketches. Customer Profile explores what is the value map of an organization's introduction of ISMS. The research results can not only understand the difficulties and problems during the introduction, but also suggest what mechanisms and functions the design of the ISMS auxiliary tool system should have in order to help solve the pain points in the process of introducing ISMS and improve work efficiency.

論文審定書 i
誌謝 ii
摘要 iii
Abstract iv
目錄 v
圖次 ix
表次 xi
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 3
1.3 研究問題 3
1.4 研究目的 4
1.5 研究方法與流程 4
第二章 文獻探討 6
2.1 資訊安全 6
2.2 ISO/IEC 27001:2013資訊安全管理系統 6
2.3 價值主張理論 9
第三章 研究方法 12
3.1 設計科學研究方法論 12
3.2 訪談法 13
3.3 問卷調查法 14
3.4 研究方法與步驟 14
3.4.1 確認問題與動機 14
3.4.2 定義解決方案目標 24
3.4.3 設計與發展解決方案 32
3.4.4 展示解決方案 37
3.4.5 評估解決方案 37
3.4.6 溝通 37
第四章 設計與發展 38
4.1 系統架構設計 38
4.1.1 系統服務設計架構 38
4.1.2 系統開發環境 39
4.1.3 系統功能架構 40
4.2 系統流程設計 42
4.2.1 首頁登入作業流程 42
4.2.2 首頁個人資訊檢視流程 42
4.2.3 組織資產管理作業流程 43
4.2.4 合規工作管理作業流程 44
4.2.5 稽核工作管理作業流程 45
4.2.6 介接管理作業流程 46
4.2.7 設定管理作業流程 47
4.3 系統功能設計 48
4.3.1 系統介面設計-首頁資訊 48
4.3.2 系統介面設計-作業列表 49
4.3.3 組織資產管理 50
4.3.4 組織資產管理-資產項目維護 51
4.3.5 組織資產管理-資產轉入功能 52
4.3.6 組織資產管理-資產匯入功能 53
4.3.7 組織資產管理-風險鑑別列表 53
4.3.8 組織資產管理-風險鑑別維護 54
4.3.9 組織資產管理-鑑別文件匯出 55
4.3.10 合規工作管理 56
4.3.11 合規工作管理-計畫工作管理 58
4.3.12 合規工作管理-計畫工作維護 59
4.3.13 合規工作管理-計畫工作通知 61
4.3.14 合規工作管理-計畫工作執行 62
4.3.15 合規工作管理-矯正工作管理 63
4.3.16 合規工作管理-矯正工作維護 64
4.3.17 合規工作管理-矯正工作執行 65
4.3.18 合規工作管理-矯正文件匯出 66
4.3.19 稽核工作管理 68
4.3.20 稽核工作管理-工作通知維護 69
4.3.21 稽核工作管理-稽核結果管理 69
4.3.22 稽核工作管理-稽核結果維護 70
4.3.23 介接管理作業 71
4.3.24 介接管理作業-介接類別維護 72
4.3.25 介接管理作業-介接項目管理 72
4.3.26 介接管理作業-介接項目維護 73
4.3.27 介接管理作業-介接資料維護 74
4.3.28 介接管理作業-介接資料匯出 74
4.3.29 設定管理作業 75
4.3.30 設定管理作業-組織人員管理 76
4.3.31 設定管理作業-角色權限管理 77
第五章 研究成果 79
5.1 溝通與專家建議 79
5.2 評估解決方案 80
5.2.1 驗證問卷設計 80
5.2.2 評估驗證結果 82
第六章 結論與建議 88
6.1 研究結論 88
6.1.1 學術研究意涵 88
6.1.2 管理實務意涵 88
6.2 研究限制與未來研究方向 89
6.2.1 研究限制 89
6.2.2 未來研究方向 89
第七章 參考文獻 91
第八章 附錄 93
8.1 訪談逐字稿 93
8.1.1 資安輔導公司 93
8.1.2 軟體公司 109
8.1.3 縣政府 133
8.1.4 資訊公司 154
8.2 研究問卷(可行性測試) 166

 
圖次
圖1-1研究流程圖 5
圖2-1 PSDCA模式應用ISMS過程圖 7
圖2-2價值主張圖 10
圖3-1 設計科學研究方法流程圖 13
圖4-1系統整體架構圖 39
圖4-2系統功能設計架構圖 41
圖4-3 首頁登入作業流程圖 42
圖4-4 組織資產管理作業流程圖 43
圖4-5 合規工作管理作業流程圖 44
圖4-6 稽核工作管理作業流程圖 45
圖4-7 介接管理作業流程圖 46
圖4-8 設定管理作業流程圖 47
圖4-9 系統首頁資訊介面設計 48
圖4-10 系統作業列表介面設計 49
圖4-11 資產盤點評估列表介面 51
圖4-12 資產項目維護介面 52
圖4-13 資產盤點評估轉入介面 52
圖4-14 資產盤點評估匯入介面 53
圖4-15 資產風險鑑別列表介面 54
圖4-16 資產風險鑑別維護介面 55
圖4-17 資產風險鑑別匯出介面 56
圖4-18 年度計劃管理介面 57
圖4-19 年度計劃管理維護介面 57
圖4-20 計畫工作管理介面 59
圖4-21 計畫工作維護介面 60
圖4-22工作週期設定介面 60
圖4-23人員指派設定介面 61
圖4-24 工作訊息提醒通知 61
圖4-25計劃工作管理執行介面 62
圖4-26 矯正工作管理介面 64
圖4-27 矯正工作維護介面 65
圖4-28 矯正工作執行介面 66
圖4-29 匯出檔案功能介面 67
圖4-30 套版匯出檔案介面 67
圖4-31 稽核工作通知管理介面 68
圖4-32 工作通知維護介面 69
圖4-33 稽核結果管理介面 69
圖4-34 稽核結果維護介面 70
圖4-35 介接類別維護介面 72
圖4-36 介接項目管理介面 73
圖4-37 介接項目維護介面 73
圖4-38 介接項目匯入範本 73
圖4-39 介接資料管理介面 74
圖4-40 介接資料匯出介面 75
圖4-41 組織人員管理介面 76
圖4-42人員帳號維護介面 77
圖4-43角色權限管理介面 78
圖4-44 角色權限維護介面 78

 
表次
表2-1資訊安全管理系統相關中文文獻 7
表3-1訪談對象背景與訪談原因 15
表3-2顧問公司訪談大綱設計 17
表3-3導入組織訪談大綱設計 18
表3-4 ISMS規劃階段訪談回饋 19
表3-5 ISMS支援階段訪談回饋 20
表3-6 ISMS執行階段訪談回饋 21
表3-7 ISMS檢查階段訪談回饋 22
表3-8 ISMS矯正階段訪談回饋 22
表3-9 深度訪談問題分析 23
表3-10 可行性測試之敘述性統計 25
表3-11 ISMS規劃階段可行性測試之敘述性統計 26
表3-12 ISMS支援階段可行性測試之敘述性統計 28
表3-13 ISMS執行階段可行性測試之敘述性統計 29
表3-14 ISMS檢查階段可行性測試之敘述性統計 31
表3-15 ISMS矯正階段可行性測試之敘述性統計 32
表3-16 價值地圖-產品與服務 32
表3-17價值地圖-痛點解方 34
表3-18 價值地圖-獲益引擎 35
表4-1 系統開發環境 39
表4-2 系統功能介紹 40
表5-1研究結果顧問訪談意見回饋 79
表5-2問卷設計 80
表5-3功能驗證評量表 83
表5-3認知有用性評量表 84
表5-4認知易用性評量表 85
表5-5使用態度評量表 86
表5-6行為意圖評量表 86
表5-7 基本資料評量表 87

中文文獻
1. 資通安全管理法（2018）。行政院
2. 資通安全管理法施行細則（2018）。行政院
3. 109年國家資通安全情勢報告（2020）。行政院國家資通安全會報
4. 109年公務機關資安稽核概況報告（2021）。行政院國家資通安全會報
5. 郭世榮（2013）。探討組織推動ISMS所需的互補資產。國立中山大學資訊管理學系研究所碩士論文，高雄市。
6. 鍾正敦（2014）。科技顧問服務業中客戶參與價值共創之研究。國立中山大學資訊管理學系研究所碩士論文，高雄市。
7. 黃郁育（2014）。資訊安全管理系統版本差異之導入流程整合。國立中山大學資訊管理學系研究所碩士論文，高雄市。
8. 張鴻正（2010）。資訊安全管理系統內部稽核管理工具之研究-以國軍某單位資訊中心為例。國防大學管理學院資訊管理學系碩士論文，桃園縣。
9. 林裕倫（2011）。企業資訊網站之資訊安全的評估模式與評量工具之研究。東吳大學資訊管理學系碩士論文，台北市。
10. 黃慶裕（2011）。探討導入ISMS對組織之影響。元智大學資訊工程學系碩士論文，桃園縣。
11. 楊鈺敏（2015）。資訊機房ISMS日誌稽核及追蹤管理系統。南開大學資訊管理學系碩士班碩士論文，南投縣。
12. 李胤府（2010）。資訊安全管理系統技術性檢測工具設計之研究。淡江大學資訊管理學系碩士班碩士論文，新北市。
13. 方鴻春（2004）。企業建置資訊安全管理系統（ISMS）之平衡績效指標研究─以個案單位為例。國立臺灣科技大學工業管理系碩士論文，台北市。
14. 呂明逸（2018）。導入ISO27001資訊安全管理之可行性研究-以國軍某軍事院校為例。國防大學資訊管理學系碩士論文，桃園縣。
15. 陳靜嫻（2016）。企業資料庫安全風險評估模型研究-基於ISO 27001。東吳大學資訊管理學系碩士論文，台北市。
16. 徐聖玲（2015）。依物件導向知識模式開發資訊安全與個人資料管理專家系統之研究。佛光大學資訊應用學系碩士論文，宜蘭縣。
17. 陳宏鈞（2012）。資訊安全管理系統之資訊分享控制措施及相關實務研究-根基於重要民生基礎建設。中國文化大學資訊安全產業研發碩士專班碩士論文，台北市。
18. 林麗英（2010）。資訊安全管理系統績效評估之研究－以檔案管理局為例。朝陽科技大學資訊管理系碩士班碩士論文，台中市。
19. 瞿鴻斌（2005）。資訊安全風險評估驗證系統。世新大學資訊管理學研究所(含碩專班)碩士論文，臺北市。
20. 呂威璋（2019）。運用平台經濟模式在台灣扣件產業之研究。國立中山大學管理學院高階經營碩士學程在職專班碩士論文，高雄市

英文文獻
1. Osterwalder, A., Pigneur, Y., Bernarda, G., & Smith, A. (2015). Value proposition design: How to create products and services customers want: John Wiley & Sons.
2. Peffers, K., Tuunanen, T., Rothenberger, M. A., & Chatterjee, S. (2007). A design science research methodology for information systems research. Journal of management information systems, 24(3), 45-77.
3. Watson, S. C. (1998). A primer in survey research. The Journal of Continuing Higher Education, 46(1), 31-40.