組織制定資訊安全政策對資訊安全之影響（下）

本研究（組織制定資訊安全政策對資訊安全之影響）依據資訊安全管理之「安全政策理論」（Security Policy Theory），提出「資訊安全政策模式」（Information Security Policy Model），此一模式基本組成為：組織特性、資訊安全政策之制定、實施與維護、資訊安全之提昇。其關係為：組織特性表達資訊安全需求，組織特性影響資訊安全政策，資訊安全政策影響資訊安全之提昇。如圖1所示。

研究假設
由實務上的觀察與文獻探討得知，不同的組織，有不同的資訊安全需求，對於制定資訊安全政策通常有不同的看法與作法，亦即不同的組織特性，對於資訊安全政策制定時間之早晚，以及政策制定的相關決策均有所不同。針對此，本研究形成以下假設：
1. 不同性質的組織，對於資訊安全政策制定時間會有影響。
2. 組織規模愈大，愈早制定資訊安全政策。
3. 組織運用資訊系統的歷史愈久，愈早制定資訊安全政策。
4. 組織設置資訊部門且層級愈高，愈早制定資訊安全政策。
5. 資訊組織規模愈大，愈早制定資訊安全政策。
6. 使用電腦系統架構，對於資訊安全政策制定時間會有影響。
「資訊安全政策」是組織資訊安全的最高指導原則，也是資訊安全的基礎建設，因此，組織資訊安全政策制定時間之早晚，資訊安全政策的功能定位，包括：資訊安全範圍的定義、資訊安全目標與策略的訂定、各階層對資訊安全責任的規範、監督遵守資訊安全的機制、及宣示未遵守資訊安全規章的後果等，均足以影響組織之資訊安全。針對此，本研究形成以下假設：
7. 組織資訊安全政策制定時間，對資訊安全之提昇會有影響。
8. 組織對資訊安全政策之功能定位，對資訊安全之提昇會有影響。
資訊安全政策的重心在於其執行。資訊安全政策的內容包括：政策目標、資訊安全標準、作業程序之建立與管控，資訊安全與企業營運的結合、安全意識的建立與增進、協調與整合、適用範圍、執行方法，這些都是資訊安全政策的重要內容，均足以影響資訊安全。針對此，本研究形成以下假設：
9. 資訊安全政策之內容，對資訊安全之提昇會有影響。
資訊安全政策的實施項目，或稱為子政策，為資訊安全政策最核心的部分，在ISO/IEC 17799之中，有詳盡的規範，包括：政策之制定、安全組織與職責、人員安全、資訊資產分類、實體及環境安全、系統規劃與操作安全、資料與媒體安全，通訊與網路安全、存取控制、系統開發與維護、業務持續運作管理、執行與遵守、及資訊稽核等政策，對資訊安全之影響當既深且遠。針對此，本研究形成以下假設：
10. 資訊安全政策實施項目，對資訊安全之提昇會有影響。
按資訊安全管理「安全政策理論」（Security Policy Theory），資訊安全係經由資訊安全政策之制定、實施與維護來實現，因此資訊安全政策之建立與評估維護係此一理論的重要環節，在管理程序中為規劃（Planning）與考核（Evaluation）的角色，對資訊安全自然有其貢獻。針對此，本研究形成以下假設：
11. 資訊安全政策建立與維護之程序與方法，都將影響到組織資訊安全之提昇。


研究結果
本研究採問卷調查法，調查對象為中華民國資訊經理人協會、中華民國資訊應用發展協會之會員，及政府資訊主管聯席會議成員等，共以E-mail寄出問卷645份，有效問卷為157份。

一、組織性質
分析結果顯示，組織性質之不同，會影響該組織資訊安全政策制定時間的早晚。
政府行政機關已制定資訊安全政策，且制定時間較早之傾向最高，其次為公營事業機構，再次為學校及研究機構，最低者為民間企業，顯示此一結果與政府重視資訊安全，公布資訊安全管理規範，明文要求各級機關應制定資訊安全政策，有極密切關係，而民間企業對資訊安全之重視，起步相對較晚。

二、組織規模
而「組織規模」的大小，與該組織「資訊安全政策制定時間」之間並無因果關係，概因「組織規模」的大小，人數之多寡，與組織所面臨的資訊安全威脅程度或資訊風險之高低，未成正相關，與組織「資訊安全政策制定時間」之早晚無因果關係，因此，不會因為「組織規模」的大小而影響組織「資訊安全政策制定時間」。

三、組織應用資訊系統的歷史
分析結果顯示，「組織應用資訊系統的歷史」與組織「資訊安全政策制定時間」之間無因果關係，概因組織應用資訊系統時間的長短，與資訊系統的複雜度，或資訊風險高低未成正相關，因此，不會因組織應用資訊系統歷史的不同，而影響到組織資訊安全政策制定時間的早晚。

四、設置資訊部門與層級
「設置資訊部門與層級」與「資訊安全政策制定時間」之間也無因果關係。概因，組織設置資訊部門與其層級的高低，與組織所面臨的資訊安全風險未必有關係，因此不會因為組織是否設置資訊部門與資訊部門之層級高低之不同，而影響組織資訊安全政策制定時間的早晚。

五、資訊組織規模
「組織資訊人力的多寡」，與組織「資訊安全政策制定時間」之間則有因果關係。由於資訊安全威脅許多係來自於組織內部，資訊人員也是最有能力危害資訊安全的人，在許多的研究中均顯示，非授權存取大部分都是來自於組織內部，而資訊人員又擁有比一般的使用者更高的權限及資訊技術能力，也更有機會接觸到敏感性、機密性的資訊，因此，資訊人員愈多，內部控制制度亦應愈嚴密，對於資訊安全政策之制定愈有需要，則組織愈會儘早制定資訊安全政策，據以實施，以提昇組織的資訊安全水準。
六、使用電腦系統架構
「使用電腦系統架構」與「資訊安全政策制定時間」之間無因果關係。亦即不會因為使用大型電腦主機（Mainframe Computer），迷你級電腦（Mini Computer）、Multi-user CP-LAN或其他電腦系統架構之不同，而影響組織「資訊安全政策制定時間」的早晚。以今日資訊科技環境，任何資訊系統架構都有資訊安全的問題，其組織「資訊安全政策制定時間」之早晚，顯然與其「使用電腦系統架構」為何無關。

七、制定資訊安全政策時間
組織「資訊安全政策制定時間」與組織「資訊安全之提昇」之間無因果關係。此結果與常理判斷似有不同，總認為組織「制定資訊安全政策」，必有助於「資訊安全的提昇」，然而若從以下四項有關資訊安全政策之功能、內容、實施與維護等對「資訊安全之提昇」的因果效應來看，即可知組織徒有「資訊安全政策」，也就是組織制定「資訊安全政策」雖甚早，而未能有效的付諸實施，其內容與程序未能真正符合組織資訊安全所需，恐未必真能促進資訊安全，亦即資訊安全政策「實質上的內容」重於「形式上的有無」與「制定時間的早晚」。

八、政策之功能定位
資訊安全「政策之功能定位」與組織「資訊安全之提昇」之間有因果關係。資訊安全政策愈能具備：規範資訊安全範圍、訂定目標與策略、規範各階層之安全責任、宣示未遵守規章的後果、監督執行政策的機制等功能，對組織「資訊安全之提昇」愈有幫助。

九、政策之內容
分析結果，資訊安全「政策之內容」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策之內容」愈能包含：安全政策目標，安全標準、作業程序之建立與管制，資訊安全與企業營運的結合，資訊安全認知的建立與增進，資訊安全協調與整合，資訊安全政策適用範圍，及資訊安全執行等，對組織「資訊安全之提昇」愈有幫助。

十、政策實施項目
資訊安全「政策實施項目」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策實施項目」愈完整，其項目包括：資訊安全政策之制定與修正，資訊安全組織與權責，人員安全管理與教育訓練，資訊資產分類，實體及環境安全，系統規劃與操作安全，資料與媒體安全，通訊與網路安全，存取控制，系統開發與維護安全，業務持續運作管理，資訊安全執行與遵守，資訊稽核等，對組織「資訊安全之提昇」愈有幫助。

十一、政策建立與維護之程序與方法
資訊安全「政策建立與維護之程序與方法」與組織「資訊安全之提昇」之間有因果關係。資訊安全「政策建立與維護之程序與方法」愈完整周延，包括：嚴格定義其範圍，高階管理者的支持與核定，進行風險評估或衝擊分析，組織內部各階層的有效溝通及建立安全意識，政策內容的周延與完整，與業務主管部門的溝通與協調，政策的落實執行，政策之定期檢討與修正，當發生重大安全事故的檢討修正，當組織出現新的安全漏洞的檢討修正，當組織或技術基礎結構發生變化時之檢討修正，對資訊安全與工作效率、成本與效益求取平衡等，對組織「資訊安全之提昇」愈有幫助。


結論與建議
因此，組織性質之不同，政府行政機關、公營事業機構，資訊部門規模愈大，愈較早制定資訊安全政策，而組織欲求「資訊安全之提昇」，也應從強化資訊安全「政策之功能定位」、「政策之內容」、「政策實施項目」與「政策建立與維護之程序與方法」等資訊安全政策實質面下工夫，才能見效。

往後的研究，建議可採隨機抽樣或分層隨機抽樣，強化研究的外部效度。其次，可擴大研究構念，考量組織行為或領導行為對資訊安全政策之影響，發展更完備的資訊安全政策研究模式。此外，資訊安全尚有風險管理理論、控制稽核理論、管理系統理論、權變理論與整合系統理論可繼續研究。
最後，提出幾點對實務界的建議做為結束：
1. 組織為達成資訊安全的目標，應建立資訊安全政策，並經資訊安全政策的制定、實施與評估維護，以提昇組織的資訊安全。
2. 資訊安全政策之制定，應重視其政策的實質內容，形式可不必過於計較。
3. 組織規模愈大，資訊人員愈多，愈有必要制定資訊安全政策。

本文改寫自洪國興（現任監察院綜合規劃室主任）、季延平（國立政治大學資訊管理學系副教授）、趙榮耀（淡江大學管理科學研究所教授）所合著「組織制定資訊安全政策對資訊安全影響之研究」，相關參考文獻請參考該研究全文。