我國政府於國家資通訊安全發展方案(98年至101年)中提出政府機關建立資安治理成熟度評估策略，並於國家資通訊安全發展方案(102年至105年)擬訂A、B級政府機關每兩年須進行資安治理成熟度評估作業，因此本個案是敘明技服中心執行該項決策在不同階段面臨不同挑戰與困難，說明如下。
●建立資安治理框架階段：面臨如何建立一套可以符合我國政府資安要求且與國際接軌的框架與模型。如何在建構過程對標準、理論的取捨與融合是架構資安治理時所需處理的課題。
●建立資安治理成熟度評估機制階段：面臨專家對問項設計的要求與機關自評結果是否能如實呈現實際狀況亦須衡量。
●推動資安治理與資安治理成熟度評估機制階段：從機關試行導入時，對機制的抗拒與對評估結果後續利用充滿不信任感，俾使評估結果受到影響。因此如何使機關對制度逐步信任與接受，並充份落實於日常作業中，則需有對應之策略。
本研究以哈佛個案研究方式進行，討論本個案所提及資安治理透過成熟度評估方式來評估政府機關的資安治理情形，以如實呈現機關實際的資安防護情形。同時衡量機關面對新的機制產生時所產出抗拒與不信任，所應採取的因應之道。期望藉由個案情形，以不同角度來討論與啟發，同時可觸類旁通，增加思考的層面，做為我國政府規劃資安政策的參考。

In the National Strategy for Cybersecurity Development Program (2009-2012), Taiwan government proposed the strategy for the government agencies to establish information security governance maturity assessment, and in the National Strategy for Cybersecurity Development Program (2013-2016), the government formulated the policy that A, B-level government agencies are required to carry out the information security governance maturity assessment every two years. Therefore, this study describes the challenges and difficulties faced by National Center for Cyber Security Technology in implementation of the strategy in different phases, which are described as follow:
․The phase to establish a framework for the information security governance: The difficulties are: How to establish a framework and model that can meet the requirements of our government's information security and conform to international standards? And, in the process, how to choose and integrate the standard and the theory is an issue required to be handled when information security governance is constructed.
․The phase to establish the mechanism of the information security maturity assessment: The difficulty is that it is necessary to measure whether the requirements of the experts for question design and the self-evaluation results of the government agency truthfully present the actual situation.
․The phase to promote the management of information security goverance and information security goverance maturity assessment mechanism: In the pilot trial, the resistance to the mechanism and the distrust to the following utilization of the evaluation results affect the assessment results. Therefore, how to make the authorities gradually gain trust and accept the system, and fully implement in the daily operations, a corresponding strategy is in need.
This study was based on a case study performed by Harvard University to discuss the information security governance situation mentioned in this case through maturity assessment methods to assess the situation of information security governance in government agencies, and in turn to truthfully show the actual situation of information security in agencies. At the same time the resistance and distrust of the authority was measured when the authority faced a new mechanism and the actions should be taken in response to the reaction. It is expected that by the study, all the situation of information security will be discussed and enlightened from different perspectives, and by relating to all similar cases the level of thinking will be increased as a reference for the information security planning of our government.

一、中文文獻
[1]行政院資通安全處，網路智慧新臺灣政策白皮書構面一之第三子議題簡報， 104年4月28日會議資料。
[2]行政院科技顧問組，2010資通安全政策白皮書，2010年，台北。
[3]行政院國家資通安全會報，2015資通安全政策白皮書(草案)，未發行。
[4]行政院國家資通安全會報，國家資通訊安全發展方案(102年至105年)，102年12月25日，台北。
[5]行政院國家資通安全會報，國家資通安全發展方案(106年至109年)(草案)，未發行。
[6]吳美霞，資安政策推動與評估機制之研究，國立台灣科技大學管理研究所科技管理組碩士學位論文，97年6月。
[7]林綺雲，制度學派的理論反思：台灣教育組織的變革經驗，國立台北護理學院副教授，社會科學論叢期刊論文，91年。
[8]謝幸燕，組織環境、結構與變遷：三個核心醫院與政策間互動關係的個案分析，國立清華大學社會人類學研究所碩士論文，80年。
[9]毛秀云，轉型經濟中制度環境對組織同形影響之研究--以中國食品業通路為例，東海大學企業管理研究所碩士論文，95年7月。
[10]温金豐，組織理論與管理：基礎與應用(3版)，華泰文化出版社，104年5月。
[11]林宜隆、呂明達，台灣高中職教師資通安全素養現況調查，TANET2007臺灣網際網路研討會論文集，96年10月。
[12]鄭宇凱，空軍人員資訊安全素養之評量與分析，國立台東大學資訊管理學系環境經濟資訊管理碩士在職專班論文，98年6月。
[13]經濟部標準檢驗局，CNS 27014「資訊技術-安全技術-資訊安全治理」國家標準，102年12月27日公告。
[14]技服中心，政府機關落實資安管理之行為模式研究-社交工程演練成效研究，國家資通安全技術服務與防護管理委外服務案查核文件，98年12月。
[15]技服中心，政府資安治理成熟度評估機制概述，資安治理成熟度評估作業分享會，105年11月。
[16]技服中心，政府資安治理成熟度評估機制委外案執行紀錄，103年~105年。
[17]iThome，政府將提高採購臺廠自主研發資安產品比例，發展臺灣資安產業，資安周報第65期，106年3月。
[18]資策會產業情研究所(MIC)，2016年資訊產業年鑑，2016年11月。
二、英文文獻
[1]World Economic Forum. (2015). The Global Risk Report 2015. Available at: http://www3.weforum.org/docs/WEF_Global_Risks_2015_Report15.pdf
[2]Scott, W. R., (1992), Organizations: Rational, Natural, and Open Systems, h, London: Prentice-Hall.
三、網站
[1]行政院國家資通安全會報(http://www.nicst.ey.gov.tw/)
[2]行政院國家資通安全會報技術服中心(http:// www.nccst.nat.gov.tw//)
[3]資策會產業情研究所(MIC)(http://mic.iii.org.tw/AISP/PMarketM_single.aspx)
[4]財團法人中華民國消費者文教基金會(http://www.consumers.org.tw/contents/events_ct?id=330//)
[5]MBAの知識倉儲中心(http://blog.sina.com.tw/mok_mba/article.php?entryid=587102)
[6]社團法人中華民國晴天社會福利協會 (https://www.sunnyswa.org.tw/13143/228-%E5%88%B6%E5%BA%A6%E7%90%86%E8%AB%96-institutional-theory)
[7]MBA智庫百科(http://wiki.mbalib.com/zh-tw/%E5%88%B6%E5%BA%A6)