【毕业学位论文】（Word原稿）以 BS 7799为基础评估银行业的资讯安全环境-信息管理学

淡江大学资讯管理学系硕士班 硕士论文 指导教授 : 黄明达 博士 以 799为基础评估银行业的 资讯安全环境 研究生 曾淑惠 撰 中华民国九十一年六月 谢志辞 时光飞逝，两年的研究生生涯就此告一段落，在此感谢资管所上每位教授的谆谆教诲，让我能获得资讯领域的专业知识。 我的论文得以顺利完成，首先要感谢我的指导教授 黄明达博士，谢谢老师总是在百忙之中抽空指导我的论文，并且不厌其烦地细心纠正我的错误。除此之外，也谢谢老师如父亲般无私地教导我待人处 事该有的态度。感谢洪博义学长及徐静婷学姊帮我做问卷的前测，提供我一些宝贵的意见。在此也感谢口试委员萧瑞祥教授、梁德昭教授、林宜隆教授和吴宗成教授于口试期间的费心的指正及建议，让我的论文得以更加完整。 谢谢育成学长和月纯学姊两年来的帮忙与鼓励，也谢谢所上所有同学的协助与照顾，让我拥有两年美好而难忘的欢乐时光。此外，谢谢同窗好友雅琳、怡菁、展基、晓雯、易娙和鳯珠的关怀与鼓励，以及所有关心我、协助我的朋友们。 我今日所有的成就，最应该感谢的，莫过于生养我、对我百般呵护的父母亲，感谢他们一路上的包容与鼓励，我才能顺 利完成学位。仅以此成果献给我亲爱的家人。 曾淑惠 谨志 中华民国九十一年六月 I 论文名称： 以 799为基础评估银行业的资讯安全环境 页数： 83 校系所组别： 淡江大学资讯管理学系硕士班 A 组 毕业时间及提要别： 九十学年度第二学期硕士学位论文提要 研究生： 曾淑惠 指导教授： 黄明达 博士 论文提要内容： 本研究以问卷调查方式，分析本国银行及外商银行在资讯安全方面的运用现况。经由集群 (分 析方法，将资讯安全运用现况分成三群，本论文依各群的平均分数高低将本国银行及外商银行的资讯安全运用程度依序归类为 A、 B、 一方面，利用研究中所列出各集群间资讯安全运用的差异项目，可做为集群平均数较低的银行持续加强，以提升集群的参考依据。 本研究发现在运用现况方面：本国银行及外商银行在资讯安全运用上最重视的三个控管要点依序为存取控制、实体与环境安全与系统开发与维护，而最需要加强是安全组织、遵行、安全政策方面的运用。 关键字： 799、资讯安全、银行业 A 83 S 7799 799, 002 淑 惠 黄 明 达 博 士 is to of by of By , B, C to of of a to of of to “ to be “ 录 中文摘要 . 英文摘要 . 本文目录 . 表目录 . 第一章 緒論 . 错误 !未定义书签。 第一節 研究動機 . 错误 !未定义书签。 第二節 研究目的 . 错误 !未定义书签。 第三節 研究對象 . 错误 !未定义书签。 第四節 研究限制 . 错误 !未定义书签。 第二章 文獻探討 . 错误 !未定义书签。 第一節 資訊安全的定義 . 错误 !未定义书签。 第二節 799 資訊安全標準介紹 . 错误 !未定义书签。 第三節 資訊安全的相關研究 . 错误 !未定义书签。 第三章 研究設計 . 错误 !未定义书签。 第一節 研究方法 . 错误 !未定义书签。 第二節 問卷設計 . 错误 !未定义书签。 第三節 統計分析方法與工具 . 错误 !未定义书签。 第四章 資料分析 . 错误 !未定义书签。 第一節 問卷回 收率分析 . 错误 !未定义书签。 第二節 受訪者基本資料分析及交叉分析 . 错误 !未定义书签。 第三節 問卷信度與效度分析 . 错误 !未定义书签。 第四節 銀行業資訊安全現況分析 . 错误 !未定义书签。 第五節 基本資料與十個控管要點交叉分析 . 错误 !未定义书签。 第六節 銀行業資訊安全集群分析與交叉分析 错误 !未定义书签。 第七節 本國與外商銀行資訊安全運用之比較 错误 !未定义书签。 第五章 自我評估步驟 . 错误 !未定义书签。 第六章 結論與建議 . 错误 !未定义书签。 第一節 結論 . 错误 !未定义书签。 第二節 建議 . 错误 !未定义书签。 參考文獻 . 错误 !未定义书签。 錄 A 本研究問卷 . 错误 !未定义书签。 附錄 B 問卷調查清單 . 错误 !未定义书签。 附錄 C 51 家銀行在十個資訊安全控管要點 . 的平均分數列表 . 错误 !未定义书签。 附錄 D 問卷統計資料 . 错误 !未定义书签。 附錄 E 銀行資訊安全運用集群一覽表 . 错误 !未定义书签。 附錄 F 本論文光碟片 . 错误 !未定义书签。 V 表 目 录 表 3卷所涵蓋的範圍 . 10 表 4訪者職稱分析表 . 12 表 4期修改資訊安全政策分析表 . 13 表 4期修改資訊安全政策期限分析表 . 13 表 4立資訊安全管理部門分析表 . 13 表 4責資訊安全員工分析表 . 14 表 4立電腦稽核部門分析表 . 14 表 4責電腦稽核員工分析表 . 14 表 4訊安全工作最大困難分析表 . 15 表 4腦稽核工作工作最大困難分析表 . 15 表 4訊安全與電腦稽核工作困難的交叉分析表 . 16 表 4階主管的重視程度分析表 . 16 表 4發生不正常停機事件 分析表 . 17 表 4生不正常停機事件原因分析表 . 17 表 4發生非法入侵的事件 分析表 . 18 表 4生非法入侵事件原因分析表 . 18 表 4訊安全政策成敗關鍵分析表 . 19 表 4究結果比較分析表 . 19 表 4個控管要點的信度分析表 . 20 表 4行業資訊安全運用現況列表 . 21 表 4全政策的問項統計分析表 . 22 表 4全組織的問項統計分析表 . 23 表 4資產分類與管制 的問項統計分析表 . 24 表 4人員安全 的問項統計分析表 . 25 表 4實體與環境安全 的問項統計分析表 . 26 表 4通訊與操作管理 的問項統計分析表 . 27 表 4存取控制 的問項統計分析表 . 29 表 4系統開發與維護 的問項統計分析表 . 32 表 4企業永續運作管理 的問項統計分析表 . 34 表 4遵行 的問項統計分析表 . 35 表 4本資料與十個控管要點交叉分析表 . 37 表 4德法集群分析結果 . 38 表 4個控管要點與三個集群分類的交叉分表 . 39 表 4行集群分類表 . 39 表 4訊安全運用集群分類表 . 40 4銀行類型在各集群所佔比率 (%)分析表 . 40 表 4A 集群與 B 集群銀行交叉分析表 (*表示 P=. 41 表 4B 集群與 C 集群銀行交叉分析表 (*表示 P=. 45 表 4A 集群銀行資訊安全運用風險分析表 . 47 表 4商與本國銀行各控管要點的平均數比較表 . 48 表 4商銀行表現較佳的控管要點 (. 48 表 4國與外商銀行在各運用集群所佔比率分析表 . 49 以 799为基础评估银行业的资讯安全环境 1 第一章 绪论 第一节 研究动机 在数位经济时代，资讯安全 (重要的议题。 根据 2001年电脑犯罪与安全性调查的结果显示，企业外部入侵的比例从 25%(2000 年 )增加至 40%；员工滥用存取权限入侵的比例更是由 79%激增至 91%；遭阻断服务 （ 式攻击的公司由 27%增至 38%；发生电脑病毒事件也由 85%增至 94%。参与问卷调查的 186 家企业共遭受 $377,828,700 美元的财务损失 34。 美国国会总审计局 ( 2001年 9月 12日发布最新联邦网路安全评估报告指出，网路攻击及瘫痪系统事件日益加遽 。自 1999年 9,859件，至 2000年 21,756件， 2001年上半年更高达 15,476件。另外，网路骇客入侵手法也不断翻新。根据美国国家标准及技术研究院 ( 究显示，每个月有 30至 40个骇客入侵网路的新手法产生。 26 国内 近年来发生了不少资讯安全事件，像是中 (中华人民共和国 )美骇客大战、网路银行被骇客盗领、东方科学园区的大火、 纳莉台风侵袭 等等，引起国内企业与政府单位对资讯安全的重视。 行政院研考会于八十八年依循 799 为范本订定出行政院所属机关资讯安全管理规范，以作为各机关建立资讯安全管理制度之依据。 8 799的全名为 799 799 资讯安全实施准则 )，是由英国国家标准协会 (所制定之资讯安全管理 (以 799为基础评估银行业的资讯安全环境 2 准。此项标准之主要目的在于定义及提供组织作为保护自身或客户关键资讯之机密性 (完整性 (可用性 (管制方法。它广泛地涵盖了所有的安全议题，将资讯安全管理区分成安全政策、安全组织、资产分类与管制、人员安全、实体与环境安全、通讯与操作管理、存取控制、系统开发与维护、企业永续运作管 理、遵行等十个控管要点。此项标准可运用于所有的企业组织部门，其运用更可代表企业或组织对资讯安全防范预防于未然的重视。 24 这些资讯激发本研究思考一个问题：当全球对资讯安全的议题兴起一股风潮时，台湾本土企业对于资讯安全的接受程度与运用程度又为何？根据调查显示，金融业比其他行业注意资讯安全，因为金融业为电脑犯罪较严重的一个行业 42,43,45,49。银行业拥有广大客户的敏感性资讯，其风险比其他行业来得高，资讯系统一旦遭受侵害所费不赀。如： 1995 年国外的花旗银行遭一群苏俄的骇客入侵，损失一千万元。 2000 年美国威士卡(团遭到骇客入侵，网路信用卡交易的骗局至少损失了四千八百万美金以上 29,38。银行业对资讯安全极为重视，愿意投入许多的资金、人力和物力来维护组织的资讯安全，以提升营运绩效。因此，基于上列因素而引发本研究以银行业为研究对象。 综合以上因素，本研究决定以 799 为基础对银行业的资讯安全运用现况进行研究。 第二节 研究目的 本研究希望能达到下列目的： 利用 799 的控管要点对本国银行及外商银行的资讯安全运用现况以 799为基础评估银行业的资讯安全环境 3 进行调查，并比较各银行类型的资讯安全运用现况。 探讨各 银行在 799 十个控管要点的运用现况，并分析其中表现最佳与最差的控管要点内容为何。 将调查结果进行集群 (析，划分出各银行的资讯安全运用集群，并分析不同集群间的差异，做为银行业者改进其资讯安全运用及提升集群的参考依据。 由资讯安全运用集群分类结果，设计出资讯安全运用自我评估步骤，供银行业者参考。 第三节 研究对象 根据财政部金融局的分类：国内的银行业可区分为本国银行、外商银行与基层金融机构。本研究为探讨 本 国银行及外商银行的资讯安全运用现况之差异，进而区分 各银行 的资讯安全运用集群。因 此，研究对象以台湾地区本国银行 (包括：旧行库 (7家 )、新银行 (17家 )、改制商银 (12家 )、中小企银 (4 家 )、其他银行 (13 家 )及外商银行为主，共计有 53 家本国银行及 35家外商银行。 1,16 第四节 研究限制 本研究的限制为：本研究样本仅以本国银行及外商银行为主，并未包含基层金融机构，为本研究之限制。 以 799为基础评估银行业的资讯安全环境 4 第二章 文献探讨 第一节 资讯安全的定义 广义而言，资讯安全就是保护任何与电脑有关事物之安全。将管理程序和安全防护技术运用于硬体、软体、资料等 21,46。而资讯安全管理的目的在保护电脑资源 ，包括：硬体、软体、资料、程序及人员，以防止电脑资源被变更、破坏及未授权使用 31。 资讯安全具有以下特征： 一、机密性：确保只有经过授权的人才能存取资讯。 二、完整性：保证资讯及其处理方法的准确性和完整性。 三、可用性：确保经过授权的用户在需要时可以存取资讯并使用相关资讯资产。 27 资讯安全是透过实施一整套适当的控制措施实现的。控制措施包括政策、实践、步骤、组织结构和软体功能。必须建立起一整套的控制措施，确保满足组织特定的安全目标。 32 第二节 799 资讯安全标准介绍 799 是一套英国国家标准，由英国国家标准协会所制定，此项标准之主要目的在于定义及提供组织作为保护自身或客户关键资讯之机密性(完整性 (可用性 (管制方法。虽然此项标准系由英国初创订定，但现已被许多国家引用为资讯安全之标准。以 799为基础评估银行业的资讯安全环境 5 而 799 已提交国际标准组织，并于 2000年 12月 1日正式通过国际标准组织 (审核成为国际 标准 7799。我国经济部标准检验局正研拟参考 7799制定 为中华民国国家标准 目前仍在草案阶段 。 799 的发展简史： 2 1995年英国公布 799 1998年英国公布 799 I 1999年英国公布新版 799 、 I 2000年 799 通过 为 7799 2002年提出新版的 799 I (目前仍在草案阶段 ) 799 资讯 安全标准内容主要可分成两个部分： 一、 (799999)为 1999 年版的资讯安全管理实施准则( ，其设立了产业最佳化与全面性的资讯安全管理准则，是系统规范要求的最佳运用指南，不能做为验证标准，内文一共 12个章节。 32 二、 (799999)是 1999 年版的资讯安全管理系统规范( 也就是资讯安全管理系统详细说明书。它详述一个资讯安全运用与稽核所应遵循的架构，可为整个组织或部份单位之资讯安全管理系统评估的基准，也就是它可以做为一个正式验证的标准，包含了 4个章节与 10个控管要点，它可以型塑 (用的时程，以 10 个控管要点、 36 项控管目标及 127项控管措施来保证目标的达成。 33 以 799为基础评估银行业的资讯安全环境 6 第三节 资讯安全的相关研究 议题 篇名 作者 /年份 出版单位或期刊 内容概述 799 为基建构资讯安全评选模式之研究 以虚拟私有网路系统为例 李庆民 /2001 国防大学资讯研究所硕士论文 以 799 规范建立评选模式以运用于评选虚拟私有网路，结合 799 与虚拟私有网路之运用，评选出一套安全的虚拟私有网路系统，以提供一评选方法的新思维，增进资讯安全的双重保障。 12 国内网路银行现况发展及交易安全之研究 林铃玉 /2001 交通大学资讯管理学程硕士论文 对国内网路银行资讯安全的在技术面及管理面的整理分析。并阐述 799 资讯安全管理之标准文件，做为网路银行系统安全保证之建议 。 14 资讯系统的安全管理与鉴识轨迹设计基于与资料库之探讨 陈祥辉 /2000 中国文化大学资讯管理研究所硕士论文 以 799 为出发点，从实证探讨现今网路及资料库存取的问题，依此提出一安全管理模式及使用者对系统存取的轨迹设计，对外可防止骇客入侵，对内可透过定期稽核方式，以轨迹的鉴识预防监守自盗事件，或于事后的依法举证。 20 资 讯 安 全 从 R 13569谈金融机构之资讯安全 蔡星桦 /2001 财金资讯双月刊 在 1996年由 际电子技术委员会 (对金融机构提出的资讯安全防护手册，此防护手册再经由 C 银行、债券及它项金融服务及其下属委员会 同编制而成 R 13569，而 R 13569便成为 28 资讯安全管理 万幼筠 /2001 网路通讯 从四个向度及七个层面分析评估企业之资讯安全。 25 企业如何做 好资讯风险管理 蔡兴桦 /2001 网路通讯 提出企业如何做好资讯风险管理，就资讯风险管理角度探讨资讯安全管理制度之建立与维护，其风险评估之探讨步骤与内容与 799 之精神与内涵相符，可提供相当之参考运用。 30 行政院及所属各机关资讯安全管理要点 行政院研考会/1999 行政院为推动各机关强化资讯安全管理 ,建立安全及可信赖之电子化政府 ,确保资料、系统、设备及网路安全 ,订定各机关应就下列事项 ,制定资讯安全计画实施 ,并定期评估实施成效，包括 :资讯安全政策订定、资讯安全权责分工、人员管理及资讯安全教育 训练、电脑系统安全管理、网路安全管理、系统存取控制管理、系统发展及维护安全管理、资讯资产安全管理、实体及环境安全管理、业务永续运作计画管理及其他资讯安全管理事项等 11 个项目。 5 以 799为基础评估银行业的资讯安全环境 7 资 讯 安 全 行政院及所属各机关资讯安全管理规范 行政院研考 会/1999 为推动各机关强化资讯安全管理，确保资料、系统、设备及网路安全，保障民众权益，行政院研考会经参酌欧美等主要国家政府部门的资讯安全管理实务作业，并特别参考英国政府推动的资讯安全管理规范八十八年十一月十六日颁布的管 理规范 ,以作为各机关建立资讯安全管理制度之依据。 6 资讯安全控管与侦防 何全德 /1999 资讯安全通讯 从安全角度探讨资讯安全之控管与侦防，特别对电子化政府的资讯作业研提相关之建议，对相关之资讯安全控管与侦防需求亦有相当助益。 8 资讯安全 刘国昌、刘国兴 /1998 儒林图书公司 资讯已成为企业管理与营运发展的重要资源 ,而资讯运用的普及化 ,也加速了资讯社会的来临 ,然而衍生出的问题 ,亦日渐多样且复杂 ,最令人担忧的是资讯安全相关议题。 27 T 998 前在组织中有设立 此有关如何稽核资讯安全部门的资讯或经验也非常少。本研究中介绍了 及稽核人员应该要了解的三项较重要的 ” 、 ” 风险的评估、分析与管理 ”和 ” 训练、教育与自觉 ” ，也探讨 ” 以成本效益的观点来检视与稽核 。 35 A J./ 1996 究中指出一个企业组织安全需求之架构，称为 此架构的基本特性为每件事的取得是由企业所需求的安全分析而来。此模式是阶层式的，最上一层定义为企业需求层，往下每一层依序定义为主要安全政策、安全服务、安全机器 设备以及最低一层的选择安全技术与产品。 47 J./1994 出企业组织在发展安全政策时首先要确定目标，并调查需求、因应对策的选择以及考虑人为的因素。在安全政策实施方面，必须事先定义责任的区分，以及明文规定于文件中。在维护及每日实行安全政策方面，必须随着系统资源的更新而调整，随着企业组织的变动而修改。 41 A K. P./1995 出一安全政策的架构，包括四个策略：一、系统安全策略二、产品安全策略三、通讯安全策略四、整体资讯安全策略。 37 以 799为基础评估银行业的资讯安全环境 8 资 讯 安 全 银行业资讯安全管理之研究 陈永裕 /1993 东海大学企业管理研究所硕士论文 研究提出资讯安全的威胁来自于人员 (约占 80%)，其中又以内部人员占最大比例。且认为资讯安全的控管，无论是从管理层面或技术层面着手，唯有高阶主管的重视与实际参与，才是资讯纟统安全成功的关键。 19 银行业电脑安全控管政策之研究 林黛卿 /1992 台湾大学会计研究所硕士论文 旨在调查目前银行业者实施电脑安全控管的现况及针对银行业的作业型态提出安全防范重点。此外亦调查银行业目前布电脑作业下，电脑稽核的因应之道及电脑辅助稽技术使用形况及可能遭遇的问题。 15 网 路 安 全 000 者说明在纽西兰的企业为确保电子商务安全所做的努力 ,并提出确保网路安全的 4个步骤 39 台湾地区不同类型金融机构在全球资讯网路安全考量因素之研究 黄姮仪 /2000 中正大学资讯管理研究所硕士论文 本研究主要在了解国内金融机构在防范全球资讯网路安全的现况，并探讨不同类型之金融机构在考量采用软体系统、保障硬体安全、以特殊作业系统控制、高阶主管支持、人事政策、定义组织网路安全、组织政策、及组织特性等因素时有显著的差异。 23 布建网路安全计画4部曲 李盈德 /2000 资讯与电脑 相当多资料显示 ,企业网路安全 ” 内忧 ”大于 ” 外患 ” ,因此企业内部的网路安全策略是企业最佳的安全防护罩 ;本文提出渐进式的安全布建计画 :提出安全政策的建议内容。 11 从骇客入侵浅谈网路安全防护策略 何全德 /2000 资讯与教育杂志 政府为强化网路安全管理 ,进行政府重要网站安全体检、推广使用防火墙、加密及电子认证系统、订定资讯安全标准及规范、建立网路安全事件紧急处理机制、推动电脑安全稽核制度、推动资讯安全产品检验及认证制度、培训资讯安全人才及推广网路安全教育等重要安全措施。 7 审 慎规划安全政策全面防御骇客入侵 吴财荣 /2000 网路通讯 防范骇客入侵需要缜密的规划 ,秉持垂直防守及群组协防的原则 ,并保持各种机制协同运作才能发挥最好的效果。 9 1998 研究认为网际网硌以安全观点来看，在网路中平常必须预先防范各种可能的错误发生。但不可能完全避免入侵者的恶意侵入，如此则必须采 取保御措施。当保护措施失败时，迅速的恢复能力就成了最后的补强措施。因此，防范、保御措施及恢复是企业组织在网际网路幸存的关键因素。40 以 799为基础评估银行业的资讯安全环境 9 网 路 安 全 s J./ 1997 1996 年所提之 构为基础，更进一步认为整个网路安全策略必须达到六项原则：一 、四 48 S/1997 of 描述一个组织欲发展网路安全政策时参考的架构，首先为提供网路使用者服务的企业提供一个网路风险的模式，接着讨论整个网际网路安全议题， 根据先前所讨论的模式架构出一个欲提供网路使用者服务的企业组织订定发展网路安全策略时模式。网路风险包括：错误不正确的软体、网路传输威胁、意外不正确的商业资料传输、非法入侵、不实的广告、垃圾邮件、低品质资料、非法媒介、意外或蓄意泄露、非商业行为等。 36 网路安全手册 沈碧容 /1996 和硕科技 作者探讨企业网路的保全、管理、灾难规划、电子邮件及其他法律问题，并解析电脑病毒；作者并附上控管策略、风险管理架构、电脑安全审计等资料供网路管理人员参考。 13 以 799为基础评估银行业的资讯安全环境 10 第三章 研究设计 第一节 研究 方法 本研究系采用资料搜集方法中的调查研究法，选用自填式问卷 /邮寄调查方式。 3 第二节 问卷设计 本研究的问卷架构以 799 之资讯安全验证规范为基础。采用 799 第二部份的十个控管要点为内容，如表 3示，总共包含 127 个问项。本调查问卷的 127 条控管措施是参照国防大学资管所李庆民所著的论文，其 127条控管措施是李庆民参证自身 000 经验逐一翻译而成的。12 表 3卷所涵盖的范围 十个控管要点 (所含项目数 ) 一、安全政策 (2) 六、通讯与操作管理 (24) 二、 安全组织 (10) 七、存取控制 (31) 三、资产分类与管制 (3) 八、系统开发与维护 (18) 四、人员安全 (10) 九、企业永续运作管理 (5) 五、实体与环境安全 (13) 十、遵行 (11) 本研究中每个问项以完全达成、部份完成、建置中、规划中、尚未考虑 (分数由 5 分到 1 分 )五个答项方式来调查银行业资讯安全运用的现况。 第三节 统计分析方法与工具 以 799为基础评估银行业的资讯安全环境 11 本研究使用的统计分析方法如下：简单叙述统计用于计算问卷调查结果。 系数则用以检验问卷信度 。 集群分析用以进行银行业资 讯安全运用集群的区分。单因子变异数 (析用以检测银行业基本资料对 10个资讯安全控管要点运用与资讯安全运用集群是否产生显著差异。 22 统计分析工具则使用 于集群分析 )、 于信度、单因子变异数分析、交叉分析、集群分析 )统计套装软体，二套软体相互搭配进行统计分析的工作。 以 799为基础评估银行业的资讯安全环境 12 第四章 资料分析 第一节 问卷回收率分析 调查时间自 90年 11月 30日至 90年 12月 31日，共寄发 88份问卷，经电话催收，共回收 57份，总回收率为 其中资料不全者的问卷有6份，故有效问卷为 51份，有效回收率为 第二节 受访者基本资料分析及交叉分析 受访者基本资料的分析有下列的发现： 在受访者职称部份 (表 4 35 家 )受访者的职称是属于管理阶层。在勾选 其他栏位的 3 位受访者亦属于管理阶层。38家 )的问卷是由管理阶层负责填答。 表 4访者职称分析表 职称 样本数 百分比 % 资讯部门主管 33 讯稽核主管 1 讯部门人员 (非主管 ) 13 他部门主管 1 他 3 在是否定期修改资讯安全政策部份 (表 4 41 家 )银行有定期修改资讯安全政策，显示 51 家银行样本对资讯安全政策的重视程度很高。在修改资讯安全政策期限部份 (表 4 24 家 )银行以每年定期修改一次资讯安全政策占主要比例。其次 7 家 )银行每半年修改一次资讯安全政策。 5 家 )银行则不定期修改其资讯安全政以 799为基础评估银行业的资讯安全环境 13 策。 表 4期修改资讯安全政策分析表 定期修改资讯安全政策 样本数 百分比 % 是 41 10 4期修改资讯安全政策期限分析表 修改资讯安全政策期限 样本数 百分比 % 不定时 5 月 4 月 1 月 7 年 24 年 0 在是否成立资讯安全管理部门的部份 (表 4 31 家 )银行皆有另外成立资讯安全管理部门。 表 4立资讯安全管理部门分析表 成立资讯安全管理部门 样本数 百分比 % 是 31 20 在是否有负责资讯安全员工部份 (表 4 47 家 )银行有设立负责资讯安全的员工。其中 21家 )银行负责资讯安全的员工为专职人员； 13家 )银行负责资讯安全的员工为兼职人员； 13家 )银行负责资讯安全的员工为两者都有。 以 799为基础评估银行业的资讯安全环境 14 表 4责资讯安全员工分析表 负责资讯安全的员工 样本数 百分比 % 有 47 4 责资讯安全员工 样本数 百分比 % 专职 21 职 13 者都有 13 在是否成立电脑稽核部门的部份 (表 4 41 家 )银行皆有另外成立电脑稽核部门。 表 4立电脑稽核部门分析表 成立电脑稽核部门 样本数 百分比 % 是 41 10 在是否有负责电脑稽核员工部份 (表 4 46 家 )银行有设立负责电脑稽核的员工。其中 28家 )银行负责电脑稽核的员工为专职人员； 10家 )银行负责电脑稽核的员工为兼职人员； 6家 )银行负责电脑稽核的员工为两者都有。 表 4责电脑稽核员工分析表 负责电脑稽核的员工 样本数 百分比 % 有 46 5 责资讯稽核员工 样本数 百分比 % 专职 28 职 10 者都有 8 799为基础评估银行业的资讯安全环境 15 在资讯安全工作最大困难部份 (表 4在勾选其他栏位的 4家 )银行中， 1家认为最大的困难是内部标准不一； 2家认为是以上因素皆是；另 1家则认为其资讯安全工作没有遭遇任何的困难。 表 4讯安全工作最大困难分析表 资讯安全工作最大的困难 样本数 百分比 % 缺乏专业人员 30 人手不足 9 经费不足 6 高 阶主管不支持 2 其他 4 在电脑稽核工作最大困难部份 (表 4在勾选其他栏位的 (2家 )银行中， 1家则认为其电脑稽核工作没有遭遇任何的困难：另 1家则没提供意见。 表 4脑稽核工作工作最大困难分析表 电脑稽核工作最大的困难 样本数 百分比 % 缺乏专业人员 39 手不足 7 费不足 2 阶主管不支持 1 他 2 在资讯安全与电脑稽核工作困难的交叉分析部份 (表 4资讯安全工作与电脑稽核工作 最大的困难具有显著差异 (资讯安全和电脑稽核是一体两面，其最大的因难皆为缺乏专业人员。 以 799为基础评估银行业的资讯安全环境 16 表 4讯安全与电脑稽核工作困难的交叉分析表 选项 缺乏专业 人员 人手不足 经费不足 高阶主管不支持 其他 缺乏专业 人员 样本数 28 1 1 百分比 % 2 人手不足 样本数 5 4 百分比 % 经费不足 样本数 3 1 2 百分比 % 高阶主管 不支持 样本数 1 1 百分比 % 2 2 其他 样本数 2 1 1 百分比 % 2 在高阶主管对资讯安全工作的重视程度部份 (表 4 30家 )银行的高阶主管非常重视资讯安全的工作； 16 家 )银行的高阶主管对