隨著科技之快速發展，人們及企業對於資訊系統之應用亦不斷擴大與增長。在贊歎科技為人們日常生活與企業運作帶來便利、依賴程度日益提高之際，其可能隱藏之風險與危機亦不容忽視。資訊安全管理系統( ISMS,Information Security Management System) 之導入模式如同其他管理系統，除了運用組織之管理體系制定出各項相關之政策、方針與作業準則，提昇組織成員對安全管理意識、正確作業規範外，另輔予現代技術與產品，以防範不當之操作或蓄意破壞，進而有效執行控管以降低可能之風險，確保組織安全實體之正常運作。

國際間所普遍遵行之資訊安全管理規範BS7799引進國內已有多年，為政府機構及一般企業所日益關注，唯實施情況並未如預期之成效，其中除了缺乏對於整體管理體系之認知、危機意識不足外，如同其他管理系統之導入與實施，存在許多執行上之障礙。本研究利用BS7799標準規範之評估模式進行對國內企業之深入調查，檢視國內一般企業對資訊安全管理系統之整體認知、實施程度。同時引用標竿模式分別就組織營運型態、安全實體複雜度高低…等不同類別企業予區分，依BS7799規範為標準進行相互間之差異分析。進而就影響建構企業資訊安全管理系統之安全政策、教育訓練、管理規劃、資訊技術、執行與稽核等五大構面瞭解執行上之主要障礙。經文獻探討與實務觀察，歸納本研究之結論，唯有在組織管理階層正確之理念下，方能制定出合宜之政策與方針，在目標引導下經由教育訓練之實施，以提昇組織全體成員安全意識，進而共同參與系統之建置與維護，最終依據階段式目標，以漸進方式建構符合企業個別需求之安全管理系統。

With the development of science and technology, when we appreciated them brought those convenience and benefits into our world. meanwhile, we have no choice but to review any possibilities of risk and threaten could be behind. Especially, more and more technologies application involve in our operations rapidly, the topic of Information security management are consider significant subject around the regions of the global. ISMS (Information Security Management System), as well as one of management system, the main purposes of implement ISMS, which is intent to protect enterprise information assets, ensure their information systems could be operated more efficiently and safely.

BS7799 is an international standard for information security management, which is recognized by worldwide. This research is base on BS7799 standard to review those enterprise that located in Taiwan area. Through the questionnaire feedback by organization’s employee, to measure and evaluate those enterprise their current ISMS implementation situation and the concept of their employee. Meanwhile, keep those data as benchmark for review individual enterprise. The research is also conducted through an individual case, measure the data that collect from individual case to analyse the existing gap and main barrier during implementation stage.

As the result discovered, the top management should take the responsibility and own the proper concept to confirm the policy, operation procedure of ISMS for their organization, conducted by training course and follow schedule to forward the goal. Realized the exact demand, emphasized in practices and continue to improve are the key successful factors for ISMS implementation.

(一)、中文部份
1.資訊系統的完整性、機密性及可適用性，電腦稽核實務，中華民國電腦稽核協會，2001年9月。
2.曾淑惠，2002，以BS7799為基礎評估銀行業的資訊安全環境，淡江大學資訊管理學系碩士論文。
3.李東峰、林子銘，1999，資訊安全的風險管理，第五屆國際資訊管理研究暨實務研討會論文集。
4.蘇耀新，2003，資訊安全管理系統的導入與管理模式之研究，中國文化大學資訊管理研究所碩士論文。
5.林勤經，2001，2001資訊安全認證與電子化網路社會網際網路安全工程研討會論文集，資訊傳真周刊。
6.行政院研考會，行政院及所屬各機關資訊安全管理規範，http://www.rdec.gov.tw /mis/ eng/ security/1116spec.htm，1999年11月。
7.中央標準局，2002，資訊安全管理之作業要點CNS17799，中央標準局。
8.黃漢臣，從BS 7799到ISO 17799 – 談國際資訊安全標準的推動， http://www.secureonline. com.tw/，2001年5月。
9.資訊傳真網，ISO 17799導入 資訊安全認證有譜，http://www.infopro.com.tw，2001年6月。
10.鄧永基，BS 7799 part1 and part2 - 1999，BSI台灣分公司，2002年5月。
11.吳琮璠，謝清佳編著(1999)，資訊管理理論與實務，智勝文化出版
12.劉永禮，2002，以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究，元智大學工業工程與管理研究所碩士論文。
13.孫強、左天祖、劉偉編著，2003，資訊系統審計 安全、風險管理與控制，機械工業出版社。
14.賴松溪，資訊安全國家標準之應用與發展，資訊安全通訊第四卷第四期，中華民國資訊安全學會，1998年09月。
15.電腦稽核協會，2000，電腦稽核實務，中華民國電腦稽核協會。
16.楊鋒彬，電腦系統安全評估準則，資訊傳真，2002年9月。
17.劉國昌、劉國興，2001，資訊安全，儒林出版社。
18.鄧家駒，1998，風險管理之理念與執行策略，華泰文化公司。
19.陳光榮，1999，組織變革之探討，經濟情勢暨評論。。
20.翁景明、葉淑瑜，1999，網際網路引進時組織如何變革以提升廠商優勢，管理與資訊學報。
21.簡榮宗，2002，營業秘密與競業禁止條款實務解析， 權平法律資訊http://www.cyberlawyer.com.tw。
22.李岳貞，1998，高科技環境下的企業改造與組織變革，能力雜誌。
23.陳瑞祥，2001，ISO17799新資訊安全標準與內部稽核，安侯會計師事務所，內部稽核會訊。
24.蔡興樺，2001，企業如何做好資訊風險管理，網路通訊第九十一期。
25.古永嘉，1996，企業研究方法，第五版，華泰書局。

(二)、英文部份
1. BS 7799：1999 Information Security management-Part1，Code of practice for information security management systems，1999。
2. BS 7799：1999 Information Security management-Part2，Specification for information security management，1999。
3. ISO/IEC 17799 Information technology Code of practice for information security management，2000。
4. Implementation Services of Information Security Management System，STQC Dept. Government of India，2002。
5. Introduction to ISMS，STQC Dept.Government of India，2001。
6. John W.Lainhart IV，An International Source For Information Technology Control，ISACA，1998。
7.John D.Phillips，Operational Risk Management Program，1998。
8. Risk Management，Standards Australia Int’l.Ltd.，http://www.standards.com.au，1999。
9. Thomas R. Peltier，Information Security Risk Analysis，Auerbach Publications， Boca Raton，2001。