ISO 27001是國際標準化組織(International Organization for Standardization, ISO)於2005年正式公布，為現今國際公認最完整的資訊安全管理標準，其目的是協助組織鑑別、管理和降低資訊所面臨的各種風險與威脅。通過ISO 27001國際標準驗證，是對於客戶及組織本身之資訊安全最大的承諾與保證。然而國內企業已導入資訊安全管理系統(Information Security Management System, ISMS)之組織目前仍為少數，對於導入ISMS是否可以帶來效益，以及導入過程中會遭遇到哪些困難，較少有此方面的研究，因此本研究以問卷調查與訪談方式對國內四家已取得ISMS認證的企業及二家正在導入之組織進行導入效益、成功關鍵因素與遭遇之困難與其因應方法作深入的探討，最後並以國內一家已經通過ISMS認證的個案公司來詳細說明上述的研究議題。
從六家訪談資料分析結果發現：(1)從分析導入成功關鍵因素之管理、人員、技術與外在環境等四個構面中得知，管理構面的關鍵因子所佔的重要程度較高，因此本研究建議在導入ISMS的過程中，首應著重在尋求獲得高階管理階層的支持與承諾，並考慮制度面設計之適用性與挑選適當的風險評鑑方法；(2)從客戶、財務、內部流程與學習成長四個績效構面分析，發現國內企業導入ISMS確實能為組織帶來效益，其中以「內部流程」構面的認同度最高，導入後確實能為組織改善資訊管理環境與保護智慧財產；(3)從ISMS導入遭遇困難之員工、推動團隊、內外資源與組織環境四個構面分析得知，員工困難程度最高，原因是額外的工作負擔，產生抗拒的心理；推動團隊困難程度次高，原因是導入團隊層級不夠高，無法獲得其他員工完全信賴與遵循。
綜合上述之研究分析結果與發現，本研究建議組織規劃導入ISMS時，應先定義導入後所欲達到之效益指標，並掌握重要的成功關鍵因素，並貫徹執行力，深入瞭解遭遇的困難點，並提出因應及解決方法，使其順利完成導入ISMS之目標。

ISO 27001 (International Organization for Standardization, ISO) has been recognized over world as the most complete information security management standard, which was officially published in 2005 and generally acknowledged by international communities. The purpose of ISO 27001 is to help organizations identify, manage, and mitigate the risks and threats from information itself. When an organization has ISO 27001 certification, it is regarded as the promise and assurance of the information security to its customers. However, there are still limited local organizations which have implemented the Information Security Management System (ISMS) standards at present time. Moreover, little research has been done on the benefits and difficulties of the ISMS implementation. Therefore, this study aims to investigate the benefits, critical success factors (CSF), difficulties and the corresponding solutions for the implementation of ISMS by conducting questionnaire investigation and interview with four local enterprises, which have already obtained ISO 27001 certification, and two local enterprises, which are conducting the ISMS implementation. This study has also detailed the above issues by using a case study, which has obtained ISO 27001 certification.

Three important findings based on the analysis results of the interviews with the six local enterprises are identified as the follows. (1) The CSFs in the “management” category are much important than the other three categories - people, technology and external environment. When an organization implements ISMS, the commitment and support from executives is the most important. Meanwhile, the factors of the appropriate system design and risk assessment method are also required to be considered. (2) The implementation of ISMS can really bring benefits to organizations in all four benefit categories – customer, finance, internal process and learning growth. However, the benefits in the internal process category after the ISMS implementation are most significant, such as the improvement of organization’s information management environment and the intelligence property protection. (3) The most difficulty of the ISMS implementation is the employee category compared to the other three categories - implementation team, internal/external resource, and organization environment. The reasons may go for the resistance of the employee and the extra works for the employee. The second one is the implementation team category. The reasons may come from the inappropriateness of the level of the implementation team, so it is hard to have the confidence and compliance from other coworkers.

Based on the above findings, this study suggests organizations to first define the performance indicators, pay more attentions on those CSFs and make the resolution plans in advance for those difficulties encountered in their ISMS implementations. The success of the ISMS implementation can then be assured.

[1] 洪國興、季延平、趙榮耀，「資訊安全多準則評估之研究－捷運等相關個案」，捷運技術半年刊 第32 期 94 年2 月
[2] 廖鴻圖、范修維、邱孟佑、蕭麗齡、瞿鴻斌，「資訊安全風險評鑑驗證系統」，世新大學資訊管理學系，Journal of e-business 第七卷第四期 94年12月
[3] 方鴻春，「企業建置資訊安全管理系統（ISMS）之平衡績效指標研究－以個案單位為例」，國立台灣科技大學工業管理研究所碩士論文，民國九十三年。
[4] 黃世禎博士，提升資訊軟體品質(CMMI)計畫，環境建立分項，「國內CMMI導入效益、遭遇困難與案例之彙編」，國立台灣科技大學管理學院，民國九十四年。
[5] 劉勝雄，「資訊安全稽核人員訓練與政大實例探討」簡報，政治大學電子計算機中心，民國九十五年。
[6] 「敦陽資安電子報」，敦陽科技股份有限公司，「資訊安全管理系統與實務運用」，2007年2月號。
[7] 「資訊安全管理系統(ISMS)---CNS 17800標準介紹」，經濟部標準檢驗局，民國九十四年。
[8] 「資訊安全管理系統(ISMS)---CNS 27001標準介紹」，經濟部標準檢驗局，民國九十五年。
[9] 孫思源、曹惠琴，「以分析層級程序法探討企業導入BS 7799之關鍵成功因素」，國立高雄第一科技大學，民國九十五年。
[10] 莊裕澤，「資訊安全管理認證制度」，民國九十二年十一月。
[11] Information Security 資安人科技網，「如何架構資訊安全政策」，
i. 作者：資誠會計師事務所專案經理，民國九十三年五月,
ii. http://www.isecutech.com.tw/feature/view.asp?fid=174。
[12] Information Security 資安人科技網，「從金融資安事件談BS7799之應用」，作者：BSI英國標準協會 大中國區訓練經理/主導稽核員，民國九十三年二月九日。
[13] Information Security 資安人科技網，「建構資訊安全管理系統」，作者：普華資安資深顧問/李盈德，民國九十一年十月二十三日。
[14] 陳含迷，「應用整合能力成熟度模型(CMMI)於醫療資訊系統開發流程改善之研究」，臺中健康暨管理學院資訊工程研究所，碩士論文，民國九十四年。
[15] CNS 17799，CNS 17799資訊技術-資訊安全管理之作業要點，經濟部標準檢驗局，2002年。
[16] 方仁威，「資訊安全管理系統驗證作業之研究」，國立交通大學資訊管理研究所博士論文，民國九十三年。
[17] 徐鈺宗與樊國楨(2003)資訊及其相關技術之控管目的與資訊安全管理系統內部稽核簡析，堅實我國資訊安全管理系統稽核作業相關標準系列討論會之七(會議資料)，頁91－106。
[18] 國家衛生研究院 http://www.nhri.org.tw/nhri_org/rc/home.htm
[19] 個案研究法(尚榮安譯，譯自Robert K. Yin)，臺北市：弘智文化，民國九十年。(原著出版年：1994年)
[20] 梁淑麗，「集團關係企業企人力資源運用之探討－以中鋼公司為例」，國立中山大學人力資源管理研究所碩士論文，民國九十六年。
[21] 蘇寧瑜，「以平衡計分卡模式協助企業整合資訊系統－以裕隆汽車公司為例」，國立中央大學管理學院高階主管企管碩士論文，民國九十二年。
[22] 陳蘭津，「保護顧客資訊安全之探討」，崑山科技大學企管碩士論文，民國九十五年。
[23] 吳芝儀、李奉儒譯，「質的評鑑與研究」，桂冠書局，民國八十四年。
[24] 林宜隆博士,「資訊安全管理制度風險評估手冊」，中央警察大學資訊管理系暨研究所專任教授
[25] 萬糼筠，「成功導入資安管理關鍵要素」，資安人雜誌創刊號，92年3月。
[26] 資訊安全政策、規範與程序的定義與簡介http://www.symantec.com/region/tw/enterprise/article/security_definition.html
[27] 「建立與實作一個成功的資訊安全政策」，台灣電腦網路危機處理暨協調中心，96年7月。http://www.cert.org.tw/document/column/show.php?key=74
[28] 莊裕澤教授、葉逢明、鄭南昌、徐國安，「資訊安全管理認證制度」，民國九十二年11月。
[29] 洪國興、季延平、趙榮耀，「組織制定資訊安全政策對資訊安全影響之研究」。
[30] 行政院退除役官兵輔導委員會統計處，「資通安全會報管理程序」，民國九十六年2月。
[31] 行政院研考會，「行政院國家資通安全會報」，民國九十六年。
[32] 陳向明，社會科學質的研究，民國九十一年。
[33] 黃政傑，民國八十五年，質的教育研究：方法與實例；葉重新，民國九十年。
[34] 李力昌，國立中山大學社會科學院，高階公共政策碩士班，研究方法–質化研究方法課程。
[35] 邱皓政，五南圖書出版股份有限公司，量化研究與分析，二版，民國九十一年。
[36] 郭怡岑、黃世禎博士，「組織特性與投入資源對CMMI流程改善效益影響之研究」，國立台灣科技大學管理學院，民國九十五年。
[37] Information Security 資安人科技網，「組織制定資訊安全政策對資訊安全之影響」，作者：洪國興、季延平、趙榮耀，民國九十四年二月三日。
[38] Information Security 資安人科技網，「資安工作無法落實的六個原因」，作者：編輯部，民國九十七年三月二十四日。
[39] BS 7799-1:2000 Code of practice for information security Management, British Standards Institution.
[40] BS 7799-2:2002 Specification for Information Security Management Systems, British Standards Institution.
[41] Basie von solms & Rossouw von solms(2005), From information security to….business security？, Computers & Security,20,215-218
[42] Berg B. L.(1998), Qualitative Research Method for the Social Sciences, Bosston.
[43] Carter, N. (1991),”Learning to Measure Performance:The Use of indicators in Organizzation Public Administration Revies”,Vol.69,pp.85-101
[44] David Ieove, Karl Sege, & William Vonstorch(1999), Computer Crime.
[45] Evans, Hugh, Ashworth G., Chellew M., Davidson A. and Towers D.(1996), ”Exploiting Activity-Based Information:Easy as ABC”,Management Accounting,London.
[46] Evans, Hugh, Ashworth G., Chellew M., Davidson A. and Towers D.(1996), ”Exploiting Activity-Based Information:Easy as ABC”,Management Accounting,London.
[47] Fontana A & Frey J. H.(1998),Collecting Interpreting Qualitative Materials, London : Sage Publications.
[48] Information Security Homepage(2003-05),http://emea.bsi-global.com/ InformationSecurity/index.xalter, Bsi.
[49] ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management, http://www.iso.ch/iso, Jun 2005.
[50] Information Security Standards ISO 27001 is the new international standard for an Information Security Management System (ISMS),
http://www.itgovernance.co.uk/iso27001.asp,Oct 2005.
[51] James A. O’Brien(2000), Instrustion to Information Systems.
[52] Marshall Catherinre,Rossman Gretchen B.(1995),Designing Qualitative Research.Thousand Oaks,CA:Sage.
[53] Price,R.L.Conter,J.S. & Dickson W.L.(1989),Computer Fraud in Commercial Risks:Management’s Perception of Risk,Joural of System Management.
[54] Yin R. K., Case Study Research:Design and Methods,Sage Publications (1987).Babbie E. R. C.(1998),The pactice of social Research,CA：Wadsworth Pub Co, Belmont.