政府機關個人資訊安全認知及行為探討

資安工作　加強內部訓練
要做好資訊安全工作，除技術層面外，更需要從內部加強人員的管理及認知，才能真正落實組織資訊安全。本文以計畫行為理論為基礎，探討影響個人資訊安全認知之因素，透過國內專家意見，轉為資訊安全之應有行為，並以問卷調查實證探討政府機關個人資訊安全認知與行為之關係。透過調查結果顯示，影響個人資訊安全行為七個認知因素（標的認同、損失接受、正向信念、負向信念、標準信念、自願性、自我效能）中，個人是否能夠主動且自願執行，是最主要之因素，其次為個人對資訊安全行為正向之認同程度、上級主管對資訊安全行為之重視程度以及個人自己對資訊安全行為執行能力的評估。

回顧國內外文獻，大部分研究偏向組織層面資訊安全管理制度、政策及資訊安全文化之建立，強調風險管理、管控措施及內部之稽核，未曾有人針對個人層次之資訊安全認知內涵及行為進行探討。然而資訊安全在不同需求、情境下有各種不同的定義與範疇，使用資訊安全技術建置資訊安全防護措施，是保護資訊安全最基礎的第一道防線，隨資訊科技跨越時空及新興科技突飛猛進之特性，資訊安全之防護由電腦伺服主機、機密資訊維護、資訊作業管控、作業系統資料庫防護，延伸至一般使用者個人電腦資料檔案之防護，但由於一般使用者資訊能力參差不齊，資訊使用行為難以規範，因而一般使用者之安全防護，成為各單位資訊人員之夢魘。因此，本研究首先訂定出組織內一般使用者對資訊安全應有基本認知之內涵，架構影響資訊安全個人認知之因素，再以問卷對政府機關人員，抽樣進行個人資訊安全認知與行為之調查，探討那些因素會影響個人對資訊安全之認知以及資訊安全個人認知與其行為的關係。



政府機關個人資訊安全認知及行為探討
本文意在探討資訊安全行為偏向限制性與規範性行為，而組織資訊安全成敗與使用者對資訊安全行為息息相關，透過計畫行為理論為本，結合理性行為理論，以「態度(Attitude)」、「主觀規範(Subjective Norm)」、「行為控制知覺（Perceived Behavioral Control）」為影響「行為」之構面，而外在變項則包括人口變數（性別、年齡、教育程度）、工作特性（職位、電腦經驗、工作關聯性）等假設。

假設1：態度之標的認同對資訊安全行為有顯著正向影響。

假設2：態度之損失接受對資訊安全行為有顯著負向影響。

假設3：態度之正向信念對資訊安全行為有顯著正向影響。

假設4：態度之負向信念對資訊安全行為有顯著負向影響。

假設5：主觀規範之標準信念對資訊安全行為有顯著正向影響。

假設6：主觀規範之自願性對資訊安全行為有顯著正向影響。

假設7：行為控制知覺之自我效能對資訊安全行為有顯著正向影響。

(一)態度構面：組織之資訊安全需要全體員工一起擔負，擁有機敏資料之個人，對資訊安全行為之態度偏向正向，但對其他一般資料使用者而言，可能偏向負向之態度。因此，本構面設計四個研究變項：

1.標的認同：定義為「個人對資訊安全標的整體認同之程度」，是否認為資訊安全對個人而言是重要的、需要的、不可或缺的、利害相關的。

2.損失接受：定義為「個人對於發生資訊安全事件所造成損失之接受度」，亦即對資訊安全風險及其損失之評估，包括自覺發生資訊安全事件之機率，以及個人是否可以接受資料外洩（資訊安全之機密性）、資料被篡改（資訊安全之完整性）以及電腦無法使用（資訊安全之可用性）之損失。

3.正向信念：定義為「個人對資訊安全行為正向認同之程度」，認為資訊安全行為是不難的（認知易用）、是應該的；認為資訊安全不但對自己有好處（認知有用），而且對別人、對組織是有好處的。

4.負向信念：定義為「資訊安全行為對個人增加負擔之程度」，是否認為資訊安全行為會降低工作效率、是否會增加工作負擔、是否影響作業習性、是否會感覺受到監督。

(二)主觀規範構面：定義為「個人在資訊安全行為上，受到上級主管之影響，以及自願依從之主觀判斷」，並設計二個研究變項：

1.標準信念：定義為「個人自覺上級主管對資訊安全行為重視程度之主觀判斷」，亦即個人認為其主管是否會重視與支持資訊安全，並且主管會以身作則也會一起執行資訊安全行為。

2.自願性：定義為「個人自覺會自願依從資訊安全行為之主觀判斷」，亦即不論個人其主管對資訊安全之態度為何，個人會主動、自動執行資訊安全行為之主觀意識。

(三)行為控制知覺構面：定義為「個人對於資訊安全行為，知覺難易及自主控制之程度」。並參考Taylor & Todd（1995）解構計畫行為理論對行為控制知覺自我效能之定義，及Wood & Bandura（1989）社會認知理論所強調之自我效能，將本構面之研究變項簡化設計為自我效能，並定義為「判斷自己對資訊安全行為執行能力的評估」，亦即個人對自我資訊安全行為控制及執行能力之認知。

(四)行為構面：定義為「個人在資訊安全行為實際執行之狀況」，在資訊安全之行為上，本研究蒐集國內外相關文獻並依據研究生之實務經驗，將資料送請國內已導入資訊安全管理制度之政府機關主管、承辦人，及業界資訊安全對資顧問等專家表示意見後，彙整而成。據此，本構面設計三個研究變項：

1.保護控制：定義為「對資訊安全中資料機密性、完整性及可用性之保護控制行為」。

2.密碼管理：定義為「為達資訊安全目標，個人對密碼保護及管理之行為」。

3.事件通報：定義為「資訊安全事件發生時之通報行為」。

資料蒐集：2006年4月至5月共發放問卷2000份，回收1711份，進入統計分析之有效問卷為1575份，有效回收率為78.75%。


資訊安全個人認知與其行為之關係
本文從態度（個人對資訊安全正面或負面認知與評價）、主觀規範（個人在資訊安全行為上，受到上級主管之影響）、行為控制知覺（個人對於資訊安全行為，知覺的難易程度）等三個構面，提出影響個人對資訊安全認知之因素包括標的認同（個人對資訊安全認同之程度）、損失接受（個人對於發生資訊安全事件所造成損失之接受度）、正向信念（個人對資訊安全行為正向認同之程度）、負向信念（個人對資訊安全行為增加個人負擔之程度）、標準信念（個人自覺上級主管對資訊安全行為重視程度之主觀判斷）、自願性（個人自覺會自願依從資訊安全行為之主觀判斷）、自我效能（判斷自己對資訊安全行為執行能力的評估）等七個因素，並在實證上獲得驗證。

單位實行之保護控制（對資訊安全中資料機密性、完整性及可用性之保護控制行為）、密碼管理（為達資訊安全目標，個人對密碼保護及管理之行為）、事件通報（資訊安全事件發生時之通報行為）對個人資訊安全行為影響程度依序為自願性、正向信念、標準信念、自我效能，而負向信念影響程度最小。亦即個人是否能夠主動且自願執行，才是最主要之因素；其次為個人對資訊安全行為正向認同之程度；再次為上級主管對資訊安全行為之重視程度；個人自己對資訊安全行為執行能力的評估則殿之；並且對資訊安全行為會增加個人負擔部分則影響程度最小。

個人資訊安全之行為，在理性行為理論與計畫行為理論下，可獲得合理解釋，並且本研究實證結果為「自願性」是影響個人資訊安全行為最主要因素，而計畫行為理論所強調行為控制知覺之「自我效能」，其影響力並不強，因此本研究認為，在政府機關個人資訊安全所需資源較為充裕下，由於資訊安全之行為偏向限制性與規範性之行為，理性行為理論比計畫行為理論更能解釋個人資訊安全之行為。



實務管理分享
依據研究實證結果，在資訊安全行為上，應然面與實然面之差距不大，而在個人資訊安全認知之因素中，個人是否能夠主動且自願執行，是最主要之因素，其次為個人對資訊安全行為正向之認同程度、上級主管對資訊安全行為之重視程度以及個人自己對資訊安全行為執行能力的評估。為提升政府機關個人資訊安全行為之自願性、對資訊安全之正向認同、上級主管之重視及個人之執行能力，研究生依據個人實務經驗及專家意見，針對提出下列實務建議。

1.建立資訊安全管理制度，依據機關業務或所持資料屬性，制訂資訊安全管理內部規範，明定「應為」與「不可為」之資訊安全行為，更須配合資訊科技及犯罪手法之改變，各種「應為」與「不可為」之行為應隨時增補或更新，並且透過通告、宣導及教育訓練確保機關內員工能夠了解，各種「應為」資訊安全行為之原由，以及「不可為」行為所帶來之風險與可能損失，以增強個人能夠自動自發確實執行，再以內部稽核方式定期檢查或不定期抽查，除將稽核結果列入個人平時考核、年終考績之參考外，並將稽核結果進行個人及單位之評比，陳報長官請各單位就相關缺失檢討改善，並對表現績優之個人或單位予以獎賞、激勵，對表現不佳或屢犯之個人或單位予以告誡與懲處。

2.依照機關之需要、規模與文化，由人事部門、政風部門與資訊部門，共同規劃多樣特殊之資訊安全認知活動或資訊安全意識教育，並由主管提出需求訂定指標，自我評估、衡量活動之成效，提升對資訊安全之正向認同及個人之執行能力。包括：邀請外界資訊安全或網路犯罪防治等專家專題演講、課程訓練、資訊安全趨勢及案例分析、競賽活動、網路學程與問答、有獎徵答、標語掛牌、桌面設定/螢幕保護設定等、公布每次資訊安全事件發生原因與解決方法、辦理資訊安全事件模擬演練。

3.機關高階主官及單位主管親自參與資訊安全認知活動及宣導，除進行宣達、呈現管理承諾外，並定期檢閱各單位發生的資訊安全事件統計數量，由單位主管自行檢討提出報告或請資訊安全部門到單位進行輔導。

4.資料分類分級，原為所有公務機關應有之要求，亦為文書作業應有之規範，然此項要求在文書作業資訊化後，卻為各級政府所忽視，導致普通件與機密件在處理上完全不分等級亦不分類，極易被有心人士獲取相關資料。由於各機關任務屬性不同，各機關依其業務職掌及屬性，應就機關及個人之電子化資訊及紙本書面資料的產生、分級、持有、備份、傳遞、應用、稽核、作廢、銷毀、人員管理、使用權限管理等建立資料分類分級保護制度及資訊安全標準作業程序程序，以資遵循。

5.辦理新進人員資訊安全教育訓練，內容以資訊安全基礎概論及組織內部資訊安全管理制度相關政策、作業規範為主；定期辦理內部員工資訊安全教育宣導，內容以組織內部資訊安全管理制度相關政策、作業規範及法令法規之變更或新增為主；配合各單位掌管資料之重要性、機敏程度，辦理合宜之教育訓練；配合個人職等、職務及資訊安全知識水準，辦理不同深度之之教育訓練，並將訓練成果列入個人平時考核、年終考績之參考。

「資訊安全說起來重要！做起來次要！忙起來不要！」是政府機關個個員工的心聲，資訊安全的最大威脅就是，不知道威脅或未能正確評估威脅，政府資訊安全工作除了健全的基礎設施外，最重要的是先要做好個人的資訊安全，只要機關同仁養成良好的使用習慣，人人隨時做好資訊安全第一線防護，機關內部資訊安全就能得到保障，進而提升我國整體資訊安全防護。