近年來資訊安全事件時有所聞，對企業營運所造成的損失日益嚴重，由於企業內部作業環境已逐漸資訊化與電子化，致使企業產生新的營運風險，故而對於資訊安全如何有一套有效的管理架構的需求便日益迫切。
本研究採用國際標準ISO27001作為資訊安全管理架構的基礎，研究範圍為資訊安全管理架構之主要程序－「風險評估」，在此程序將整個資訊安全風險評估模式分成資訊資產識別盤點與分類、資訊資產價值評鑑、資訊資產弱點評鑑、資訊資產威脅評鑑和資訊安全風險評鑑五個階段，並參考相關文獻以及透過相關領域專家的訪談，定義出適用於個案公司且可評量的資訊安全風險評估的操作性定義跟步驟，並擇某封裝測試公司之某一企業關鍵資訊系統為例說明此套方法。最後，透過資訊安全顧問公司的專家來進行驗證，以驗證此模式之可用性，並以所獲得此模式實行之結果來作為後續改善的基礎。
本研究結論希望能提供一個適合個案公司且實際可行之資訊安全風險評量模式，以作為該個案公司之內部稽核人員與管理階層評量資訊安全風險與制定風險回應計劃之參考。

The information security incidents have most often been reported. The loss of enterprise operation is more and more serious because of information security incidents. There are more and more operation risks happening inside the enterprise because of such informational and electronic transformation. Consequently, the requirement to have an effective management framework of information security is more and more urgent.
The research adopts the international standard ISO 27001 as the foundation of the information security management framework. And then, risk assessment is the main process of the informational security management framework. This process includes five stages: identification and classification of information assets, value evaluation of information assets, vulnerability assessment of information assets, threats assessment of information assets, and measurement of information security risks. The operational definition, implementation steps and measurement of the information security risks are worked out through review of relevant literature and interview with experts in the semiconductor assembly company. Finally, the experts of the consulting firm of the informational security are entrusted to verify the availability of the model. The result of this informational security risk assessment model will be used as the basis for future improvement.
It is hoped that this research can offer a guideline for the information security risk assessment suitable for the semiconductor company and can be used as a reference for internal auditors and management.

摘　　要 I
ABSTRACT II
目　　次 III
表　　次 VI
圖　　次 X
第一章 緒論 1
第一節 研究背景 1
第二節 研究動機 2
第三節 研究目的 3
第四節 研究範圍與限制 4
第五節 研究流程 4
第二章 文獻探討 6
第一節 資訊安全管理架構 7
一、 ISACA COBIT 4.0 8
二、 BS7799/ISO 27001: ISMS 11
第二節 企業風險管理理論與架構 15
一、 COSO Enterprise Risk Management – Framework 17
二、 New Basel Capital Accord 18
三、 ISO/IEC TR 13335 Information Technology - Guidelines for the management of IT security 21
第三節 風險分析方法 26
一、 定量風險分析法 27
二、 定性風險分析法 28
第四節 資產價值評鑑方法 30
一、 定量評價法 31
二、 定性評價法 34
第五節 資產弱點評鑑方法 38
一、 ISO/IEC TR 13335-3 38
二、 FIRST CVSS 2.0 41
第六節 資產威脅評鑑方法 44
一、 ISO/IEC TR 13335 45
二、 其他 48
第七節 資訊安全風險評估模式 51
第三章 研究方法 53
第一節 選擇研究對象 54
第二節 研究架構 55
一、 資產識別盤點與分類 55
二、 資產價值評鑑 56
三、 資產弱點評鑑 59
四、 資產威脅評鑑 66
五、 資訊安全風險評鑑 71
第三節 資料蒐集方式 74
第四章 個案研究 75
第一節 研究個案介紹 75
第二節 實作資訊安全評估模式 76
一、 資訊資產識別盤點與分類 79
二、 資訊資產價值評鑑 82
三、 資產弱點評鑑 88
四、 資產威脅評鑑 95
五、 資訊安全風險評鑑 102
第三節 模式驗證 105
第五章 結論 107
第一節 研究結果 107
第二節 研究意涵 108
第三節 後續研究方向 109
參考文獻 110
一、 中文部分 110
二、 英文部分 112

一、中文部分
1、 David W. Steward（2000），次級資料研究法（董旭英、黃儀娟譯），弘智文化出版
2、 Deloitte & Touche，資訊資產蒐集與分類教育訓練課程簡報，Deloitte & Touche Enterprise Risk Services
3、 Deloitte & Touche，風險評鑑教育訓練課程簡報，Deloitte & Touche Enterprise Risk Services
4、 Donald R. Cooper & Pamela S. Schindler（2005），企業研究方法（古永嘉譯），華泰文化出版
5、 Philippe Jorion（2005），風險值－金融風險管理的新基準（黃達業、張容容譯），財團法人台灣金融研訓院出版
6、 Robert K. Yin（2001），個案研究法（尚榮安譯），弘智文化出版
7、 Robert Rosenthal（1999），社會研究之後設分析程式（齊力譯），弘智文化出版
8、 王平，風險評估方法，崑山科技大學資管系
9、 王怡心（2006），成本與管理會計，台北市：三民書局
10、 王震宇（2005年7月），時間動因ABC(Time-Driven Activity-Based Costing)，會計研究月刊，第236期，頁37，會計研究發展基金會
11、 李惠蘭，國際資訊安全標準ISO27001之網路安全架構設計-以國網中心為例探討風險管理，國家實驗研究院國家高速網路與計算中心
12、 林柄滄（2005），內部稽核理論與實務，中華民國內部稽核協會出版
13、 林勤經、樊國楨、方仁威、黃景彰（2002），資訊安全管理系統建置工作之研究，資訊管理研究，第四卷，第二期
14、 吳琮璠（1999），會計資訊系統兼論電腦審計，智勝文化出版
15、 吳琮璠（2007），審計學：新觀念與本土化，智勝文化出版
16、 吳亞非、李新友、祿凱等編著（2007），信息安全風險評估，清華大學出版社出版
17、 沈大白、黃追（2007），作業風險管理-新巴塞爾資本協定下之應用，財團法人台灣金融研訓院出版
18、 宋明哲編著（2001），現代風險管理，五南圖書出版
19、 周大慶、沈大白等著（2007），風險管理新標竿-風險值理論與應用，智勝文化出版
20、 周光暉、陳聯興、黃延真、劉宜惠（2004），從美國智慧財產鑑價機制探討台灣可行的運作方式，經濟部培訓科技背景跨領域高級人才計畫92年海外培訓成果發表會
21、 洪國興、季延平、趙榮耀，影響資訊安全關鍵因素之研究，資訊管理研究，第六期
22、 風險管理理論與方法編輯委員會（2006），風險管理理論與方法，財團法人台灣金融研訓院出版
23、 馬秀如等譯（2004），企業風險管理-整合架構，財團法人中華民國會計研究發展基金會出版
24、 馬秀如等譯（2006），企業風險管理-整合架構：應用技術，財團法人中華民國會計研究發展基金會出版
25、 馬秀如等譯（1998），內部控制-整合架構，財團法人中華民國會計研究發展基金會出版
26、 馬秀如（2005年9月），內部控制之延伸-風險管理，會計研究月刊，第238期，頁30-47，會計研究發展基金會
27、 黃書猛、張中權，風險評估模式應用於資訊安全管理之探討，醒吾學報第三十一期
28、 經濟部標準檢驗局（2002），CNS14929-3資訊技術-資訊技術安全管理指導綱要-第3部：資訊技術安全管理之技術，經濟部標準檢驗局
29、 經濟部標準檢驗局（2002），CNS17799資訊技術-資訊安全管理之作業規範，經濟部標準檢驗局
30、 經濟部標準檢驗局（2002），CNS17800資訊技術-資訊安全管理系統規範，經濟部標準檢驗局
31、 經濟部標準檢驗局（2006），CNS27001資訊技術-資訊安全管理系統之要求事項，經濟部標準檢驗局
32、 經濟部標準檢驗局（2007），CNS27002資訊技術-安全技術-資訊安全管理之作業規範，經濟部標準檢驗局
33、 鄧家駒（2005），風險管理，華泰文化出版
34、 潘家涓（2006年11月），資產無形 價值有形-衡量無形資產 落實37號公報不二法門，會計研究月刊，第252期，頁62-69，會計研究發展基金會
35、 劉永禮（民90），以BS7799資訊安全管理規範建購組織資訊安全風險管理模式之研究，元智大學工業工程與管理研究所碩士論文
36、 賴柏志等編著（2006），風險管理小辭典，財團法人台灣金融研訓院出版
37、 瞿鴻斌（民94），資訊安全風險評估驗證系統，世新大學資訊管理學系碩士論文
38、 廖鴻圖、范修維、邱孟佑、蕭麗齡、瞿鴻斌（2005），資訊安全風險評鑑驗證系統，電子商務學報，第七卷，第四期
39、 簡文慶（民90），企業機密資訊文件管理機制之探討-以摩托羅拉公司為例，中原大學企業管理學系碩士論文

二、英文部分
1. Bomil Suh and Ingoo Han(May 2003), The IS risk analysis is based on a business model, Korea Advanced Institute of Science and Technology
2. Committee of Sponsoring Organization of the Treadway Commission(2004), Enterprise Risk Management – Integrated Framework, COSO
3. Forum of Incident Response and Security Teams(June 2007), Common Vulnerability Scoring System 2.0，Forum of Incident Response and Security Teams
4. Hurtado, Mauricio and Heredia, Jaime(Jan 2005), How the valuation of intangible assets is developing, International Tax Review, p24-31
5. Information System Audit and Control Association(2005), Control Objectives for Information and Related Technology 4.0, ISACA
6. International Organization for Standardization, ISO/IEC 17799 Information technology - Security techniques - Code of practice for information security management, ISO/IEC
7. International Organization for Standardization(2005) , ISO/IEC 27001 Information technology -- Security techniques -- Information security management systems -- Requirements, ISO/IEC
8. International Organization for Standardization(1998) , ISO/IEC TR 13335 Information technology–Guidelines for the management of IT security，ISO/IEC
9. Michael E. Whitman and Herbert J. Mattord(2003), Principles of Information Security, Thomson Learning Inc.
10. National Institute of Standards and Technology SP 800-30, Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology
11. Poore, Ralph Spencer(2000), Valuing Information Assets for Security Risk Management, Information Systems Security, V.9, No.4
12. Reilly, Robert F. and Dandekar, Manoj P.(June1997), Valuation of Intangible Contract Right, CPA Journal, Vol. 67, Issue 6, p74-75
13. Zeki Yazar(2002), A qualitative risk analysis and management tool – CRAMM, SANS Institute