資訊安全管理系統（Information Security Management Systems : ISMS），不是單純的應用軟體加主機硬體的組合，它所代表的是要組織內建立一套可以持續運作的「資訊安全管理制度」。
然而，導入ISMS不單只是制度的套用，組織仍然必須有相對應的配套措施，才能使制度發揮其功能。在過去研究中，沒有對建置前應具備的條件作深入探討，所以這方面瞭解並不多。
而每個組織因核心業務( Core Business )與內部文化( Internal Culture )不同所面臨的困難與挑戰也不同，最後可能因為「預算不足」、「人員能力不夠」或者「流程的變更內部文化衝擊」等等問題，最後導入失敗或成效不彰。
本研透過兩家專業的顧問公司與一家民間企業和一家公立機構，以互補性質資產為基礎，從導入 ISMS的經驗中，探討組織應具備哪些互補性資產。研究結果中，不但發現導入的困難，同時發掘組織可以發展的互補性資產(complementary asset)為何。最後並找提出建議，組織如何成功導入ISMS的一套標準流程 ( standard operating procedure : SOP )

Information Security Management Systems (ISMS) is more than a combination of application and hardware. It represents the building of a sustainable information security management system. However, more than applying a system direct, organizations need to be ready for the system in order to maxinimze the benefits that can be obtained. However, how to enhance the readiness of organizations for ISMS is not clear because a lack of according research in this area.
In this study, two professional consultant companies, one public institute, and one private company were interviewed. Based on complementary asset theory, this study investigates the needed complementary assets that organization should have in order to maiximze the benefits of adotping ISMS. The results illustrate possible difficulties organization may face during the adopting process and identify required complement assets to counter those difficulties. In addition, an effective standard operating procesdure for the adoption of ISMS is also introduced.

論文審定書 i
致謝 ii
摘要 iii
Abstract iv
目錄 v
圖次 vii
表次 viii
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機與目的 2
1.3 研究流程與架構 3
第二章 文獻探討 5
2.1 資訊安全 5
2.1.1 何謂資訊安全? (Information security) 5
2.1.2 資訊安全的定義與目標 5
2.1.3 資訊安全管理涵蓋三個領域 6
2.2 資訊安全國際標準 7
2.2.1 資訊安全國際標準的沿革 7
2.2.2 BS 7799簡介 10
2.2.3 國際標準ISO 27001 簡介 11
2.2.4 國際標準ISO 27002 簡介 12
2.2.5 ISO標準運作架構 13
2.2.6 ISMS導入流程相關研究 13
2.3 互補性資產理論 17
2.3.1 何為互補性資產(Complementary assets) ? 17
2.3.2 互補性資產的分類 18
第三章 研究設計 22
3.1.1 何謂質性研究？ 22
3.1.2 質性研究的特性: 22
3.2 研究設計 24
3.2.1 訪談法（Interviewing）: 24
3.2.2 研究進行: 24
3.3 訪談對象簡介 25
第四章 資料分析與解釋 29
4.1 發展ISMS的六個階段 29
4.1.1 第0階段 : 起始會議 32
4.1.2 第1階段 : 資安政策和組織建立 32
4.1.3 第2階段 : 資安的教育訓練 34
4.1.4 第3階段 : 資訊資產風險評鑑和管控 35
4.1.5 第4階段 : 應變與災後復原計畫的演練 37
4.1.6 第5階段 : 內部稽核持續維護機制 37
4.2 建置ISMS常見的問題 39
4.3 改善方法建議 47
4.4 互補性資產 58
第五章 結論 64
5.1 研究限制 : 64
5.2 學術意義及未來研究建議 65
5.3 實務意義 68
參考文獻 69
附錄-訪談內容 1
CASE-1(C1) 1
ADVISER-1(A1) 24
ADVISER-2(A2) 60
CASE-2(C2) 103

Al-Mashari, M. and Zairi, M. (2000) , “Information and business process equality: the case of SAP R/3 implementation” (http://www.unimas.my/fit/roger/EJISDC/EJISDC.htm)
● Baronas, A. & Louis, M. (1988) Restoring a sense of control during implementation: how user involvement leads to system acceptance. MIS Quarterly, 12(1), 111-123.
● BS 7799-1:2000 Code of practice for information security Management，British Standards Institution.
● BS 7799-2:2002 Specification for Information Security Management Systems，British Standards Institution.
● BS BS7799 Part II : Specification For Information Security Management System，1999-2002。
● BS7799 Part I：The Code of Practice For Information Security management，1995-2002。
● Cyber-Ark ( 2009 )「全球經濟衰退對工作倫理的影響」研究報告。
● Creswell, J., W., (1998)，Qualitative Inquiry & Research Design . Thous & Oaks, CA:Sage.
● Denzin, N. and Lincoln, Y.S. (eds.) (2005) The Sage Handbook of Quali-tative Research (3rd ed.). London: Sage。
● Fichman & Nambisan, 2010 , “Deriving Business Value from IT Applications in Product Development: A Complementarities-Based Model”
● Flick, U. (2006) An Introduction to Qualitative Research (3rd ed.). Lon-don: Sage。
● Flick, U., Kardorff, E. von and Steinke, I. (eds) (2004a) A Companion to Qualitative Research. London: Sage.
● International Register of ISMS Certificates,2013.6, http://www.iso27001certificates.com/
● ISMS相關教育訓練教材，2013.6，教育部提昇校園資訊安全服務計畫，http://cissnet.edu.tw/Page/Index/4
● ISO 27001:2005，http://www.itgovernance.co.uk/iso27001.asp
● ISO 27002:2007，http://www.itgovernance.co.uk/iso27002.asp
● ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management，http://www.iso.ch/iso。
● Laudon Kenneth C., Laudon Jane P.,”Management Information Systems”, 2003。
● Maykut, P., and Morehouse , R. (1994)，Beginning qualitative Research: A Philosophic and Practical Guide. London:The Falmer Press.
● Mishler, E. G. (1986)，Research Interviewing: Context and Narrative. Cambridge, MA: Harvard University Press。
● Nicholas G. Carr ( 2009 )，「IT Doesn’t Matter ?」文章。
● Powell, T. C. & Dent-Micallef, A. (1997):“Information technology as competitive advantage: the role of human, business and technology resources”
● Patton,M.Q. (1990)，Qualitative Evaluation and Research Methods, Sage Publication, London: New Delhi。
● Seale, C., Gobo, G., Gubrium, J. and Silverman, D. (2004) (eds) Qualita-tive Research Practice. London: Sage.
● Teece, D. (1986) “Profiting from Technological Innovation: Implications for Intergration, Collaboration, Licensing and Public Policy.”
● 王敏順（1995），紮根理論研究法之評述。規畫學報。第 22 期，27-43。
● 江琬瑂 (2007)「組織資訊安全政策實施對資訊安全文化與資訊安全有效性影響之研究」。中正大學
● 林東清 (2010)，資訊管理- ｅ化企業的核心競爭力
● 花俊傑 (2007)，「資訊安全管理導入實務」一系列文章，網管人NetAdmin。
● 胡幼慧、姚美華（1996），質性研究。台北：巨流。
● 徐宗國（1994），紮根理論研究法：淵源、原則、技術與涵義。香港社會科學學報。第四期。
● 翁懿涵、許瀛方、黃瓈葳(2000)。紮根理論。
● 袁方（2002），社會研究方法。台北：五南。
● 高珮庭 (2011)「從嚇阻理論觀點探討員工資訊安全行為意圖」。淡江大學。
● 張傑生 (2008.12)，「導入ISO 27001 ISMS資訊安全管理系統之前置規畫」，台大電子報
● 許鳳君 (2007)「影響員工抗拒資訊安全監控措施因素之研究」。高雄應用科技大學。
● 陳月娥（2000），社會研究法（含概要）。台北：千華。
● 黃小玲 (2009.10)。「ISMS 導入經驗分享」文章，行政院國家資通安全會報技術服務中心。
● 葉至誠（2000），社會科學概論。台北：揚智文化。
● 詹燦芳 (2008)，碩士論文「國內 ISMS 導入效益、成功要素與遭遇困難之研究」，國立台科大。
● 詹燦芳(2008)「國內ISMS導入效益、成功要素與遭遇困難之研究」。台灣科技大學。
● 劉力嘉(2009) 「資訊人員對資訊安全規範行為意向之研究-以某政府機關為例」。元智大學。
● 潘明宏、陳志瑋譯（2003），最新社會科學研究方法。台北：韋伯文化。
● 潘淑滿（2003），質性研究理論與應用。台北：心理。
● 潘天佑 ( 2008 )，資訊安全概論與實務。
● 賴溪松 (2002)，「BS 7799理論與實務」報告，成功大學。
● 「日本LINE伺服器遭非法存取，169萬NAVER會員個資外洩」，2013/7/23，iThome，http://http://www.ithome.com.tw/itadm/article.php?c=81610
● 「社交工程引發的資安風險」報告，2011，Check Point®軟體技術公司。
● 「蘋果開發者中心遭駭，部分帳號資料可能外流」，2013/7/22，數位時代，http://http://www.bnext.com.tw/article/view/id/28650