本文管理個案—S公司是一間保險公司，多年來經營有方，屢建佳績，在台灣的保險業之中締造出亮眼的成績單。近年來因應急遽成長的業務量，大舉擴充資訊營運設備及人力，並以擁有同業中頂尖的IT團隊自豪。然而，S保險公司在2011年卻一連發生三起資安事故與客戶資料外洩的事件，除其核心系統「要保系統」被駭客勒索外，經舉報在某社交網站發現1700多筆該公司客戶的要保資料，此外又發現離職的人員攜走數百筆VIP重要客戶資料。造成S保險公司的客戶流失及負面名聲，間接衍生出收入損失及營運危機。為應付潛在危機並降低營運上的風險，S保險公司決心建立符合自身的資訊安全管理系統(Information Security Management System)，期待引進有效的管理方法, 強化公司整體的資訊安全管控。但早已習慣原有公司文化，看重「速度、效率」而輕「管控、監督」的資深員工們，對於新的管理制度多加以抵制，不然就是應付了事，增加了許多推動的阻力。對此，管理階層從而加強適切的教育訓練、用對的方法、並將資安稽核加入原本的內部稽核機制中。在左右開弓的模式下, 使新的管理制度快速進入軌道。透過案例的探討，可以讓學習者了解，一個擁有穩定獲利並有市場規模的成熟企業在經營的過程中，除了新的業務開發與創新外，健全的企業管理策略，完善的公司治理，如何守住原本就已佔領的灘頭堡，不因為內、外部危機而撤守，或許才是企業最重視的議題。本論文包含個案內容和教師手冊兩部分，透過本論文，藉此培養領導者決策思維，必須嚴謹客觀分析，比較其結果優劣及所掌握的資訊，進而在日後碰到類似狀況時，能從個案中獲得不同角度的啟發，並可觸類旁通，增加思考的層面，確保決策的執行成效。

Information Security Management System (ISMS) is a set of policies and procedures describing the controls that the organization implements for protecting the confidentiality, integrity and availability of information assets from internal or external threats and vulnerabilities. In this case study, the scenario of introducing ISMS to the insurance company is investigated. In 2011, S insurance company suffered three information security incidents causing information leakage and business crisis. Thus, the top management decided to establish their own ISMS suiting to S company itself in order to control all potential risks of information security. However, the ISMS implementation met huge resistances from internal employees. The security control execution could not synchronize original company culture and staff operation habit. In addition, because the resources that S insurance company can provide for implementing information security controls were restricted, how to prioritize the analyzed risks for these limited resources is the other critical issue. The information security internal and external audit mechanism was appropriately established as well in order to monitor and oversee the ISMS status. The managerial methodology such as risk management, information asset management, information security management, and business continuity management are used in this case to assist enterprises resolve the mentioned issues and avoid the failure of implementing ISMS. This case is suitable as a teaching material for enterprises to study the practical implement of ISMS.

一、 中文部分
1. 法務部，個人資料保護法，全國法規資料庫，https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
2. 法務部，個人資料保護法施行細則，全國法規資料庫，https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050022
3. 中華民國人壽保險商業同業公會，壽險業辦理資訊安全防護自律規範，http://www.lia-roc.org.tw/index06/law/壽險業辦理資訊安全防護自律規範.htm
4. 中華民國保險代理人商業同業公會，保險經紀人資訊安全作業控管自律規範，http://www.ciaa.org.tw/doc/CIAA_laws/保險代理人資訊安全作業控管自律規範.pdf
5. 中華民國國家標準，CNS 27001 資訊技術 – 安全技術 – 資訊安全管理系統 – 要求事項
6. 金管會，保險業內部控制及稽核制度實施辦法，https://law.fsc.gov.tw/law/LawContent.aspx?id=FL006839
二、 網路部分
7. 台灣人最愛買保險，解讀近15年關鍵大數據 – 經濟日報引用財團法人保險事業發展中心報告，https://money.udn.com/money/story/8853/3041917，2018
8. 保險業的新常態：驅動創新的保險科技 – PWC資誠聯合會計師事務所2017 年全球金融科技調查報告，https://www.pwc.tw/zh/publications/topic-report/fintech-2-0-insurance.html，2017
9. 台灣保險業的困局與因應 – 財團法人國家政策研究基金會，https://www.npf.org.tw/3/8990 ，2011
三、 英文部分
10. ISO/IEC 27001:2013, Information Technology – Security Techniques – Information Security Management System – Requirements
11. ISO/IEC 27002:2013, Information Technology – Security Techniques – Code of practice for Information Security Controls
12. ISO/IEC 27005, Information Technology – Security Techniques –Information Security Risk Management
13. ISO 31000:2009, Risk Management – Principles and Guidelines.
14. ISO/IEC 27007, Information Technology – Security Techniques – Guidelines for Information Security Management Systems Auditing
15. ISO 22301, Societal Security – Business Continuity Management Systems – Requirements