學術產出-Theses
Article View/Open
Publication Export
-
題名 機關文檔及資訊人員對於文檔系統資安意識之調查—以桃園市為例
An Investigation on Cybersecurity Awareness of Record Management and Information Staff Related to the ERMS : Taoyuan City as an Example作者 劉穎芝
Liu, Yin-Chih貢獻者 林巧敏
Lin, Chiao-Min
劉穎芝
Liu, Yin-Chih關鍵詞 資通安全
資安意識
文檔系統
電子檔案
文檔人員
資訊人員
Cybersecurity
Cybersecurity Awareness
ERMS
Electronic Records
Record Management Staff
Information Staff日期 2022 上傳時間 1-Aug-2022 19:05:20 (UTC+8) 摘要 我國推動資通安全政策已行之有年,包含法制化及機制建立,然而資安議題與機關人員業務息息相關。隨著電子化文書及檔案的累積,政府機關也需面對不斷翻新的資安威脅,而在文檔系統當中,資訊人員扮演機關整體規劃的角色,文檔人員在過程中則擔任第一線的關鍵角色。本研究目的即在於發展可資評估機關文檔人員及資訊人員資安意識之調查問卷,並調查分析文檔人員及資訊人員對於文檔系統資安意識現況及差異。本研究首先在國內外文獻探討及考量臺灣環境的基礎下,設計最初評估題項,接著採用疊慧法,綜合檔案學者及資訊學者二回合的意見,建立「資安意識評估問卷」,並透過Cronbach’s α係數值及驗證性因素分析確立達到良好的信效度。其次採用問卷調查法,採立意抽樣及滾雪球抽樣方式,調查對象為桃園市地方一級機關的資訊人員及文檔人員,包含「認知重要性」及「機關達成程度」兩個向度。在資安意識評估內容階段,研究結果顯示:(一)不同背景的學者專家對於資安意識有高度共識;(二)確立資安意識評估10個構面,分別為「帳戶管理」6題、「存取控制」10題、「系統防護」9題、「行動安全」2題、「上網行為」7題、「電子交換」5題、「實體安全」14題、「備份機制」5題、「遵守政策」6題及「事件通報」構面3題;共計67題。在資安意識調查分析階段,研究結果顯示:(一)整體資安意識偏正向且趨於一致;(二)機關文檔及資訊人員的資安意識程度,「認知重要性」向度略高於「機關達成程度」向度,兩向度及構面之間達顯著正相關;(三)機關文檔及資訊人員對於機關在資安作業上的符合程度,僅存有約5%不清楚的比例;(四)年齡是影響資安意識程度的重要因素之一,超過40歲人員的資安意識程度高於40歲以下人員;(五)有無接受教育訓練是影響資安意識程度的重要因素之一,有接受教育訓練者的資安意識程度高於未接受教育訓練者,但不限於資訊教育訓練;(六)不同職務身分背景對於資安意識程度沒有影響,差異僅反映在個別構面,其中不含委外的資訊人員資安意識程度相對較高,而文書人員、委外人員的資安意識程度相對較低;(七)服務年資背景對於整體資安意識程度沒有影響,差異僅反映在個別構面,其中服務年資滿5年未滿10年的人員的資安意識程度相對較低。本研究結果所建立的「資安意識評估問卷」,可供機關在進行人員資安意識評估的應用;而所調查的資安意識評估結果,可做為機關規劃資安教育訓練之參考。
The information and communications technology security policies have been promoted for several years. However, people within or employees are seen as a critical factor for having excellent security implementation and should take their role seriously. With the increasing popularity of Electronic Records Management Systems (ERMS), the record management and information staff have become an integral part of the process. The purpose of this research is to develop an assessment questionnaire that includes two dimensions: cognitive importance and organization achievement level, that could assess the cybersecurity awareness of record management and information staff to investigate the comparison of these two groups.The study had a two-stage mixed-method design. First, the Delphi method involved a two-round consensus method to determine the questionnaire’s content. Second, the questionnaire survey method was applied to collect the research data of local authorities in Taoyuan City.In the first stage, the results indicated: (1) Scholars and experts from different backgrounds have a high consensus on cybersecurity issues; (2) The 10 mutually related aspects with 67 scale items which are account management, access control, system protection, mobile safety, internet behavior, electronic exchange, physical security, backup, adhere to policies and incident notification were identified.In the second stage, the results indicated: (1) The overall information security awareness is positive and consistent; (2) The score of the dimension of cognitive importance is slightly higher than the score of the dimension of organization achievement, and there is a significant positive correlation between the 2 dimensions and 10 aspects; (3) Only about 5% are unclear about the degree of compliance of agencies in information security operations. (4) People over 40 years old have a higher level of information security awareness than people under 40 years old; (5) People who have received education and training from government agencies have a higher level of information security awareness than people who have not received, but it is not limited to information categories; (6) There is no considerable difference of cybersecurity awareness among different job backgrounds in the total aspect, only reflected in the individual aspect; (7) There is no considerable difference in the level of information security awareness among the background of service years in the total aspect.Government agencies could use the assessment questionnaire established by the results of this study in conducting personnel security awareness assessments, and based on the findings of the study; some suggestions are provided for government agencies to plan information security education and training.參考文獻 Dhillon, G., Bardacino, J. & Hackney, R. (2002). Value focused assessment of individual privacy concerns for Internet commerce. Proceedings of the twenty third international conference on Information Systems. 705-709.Dhillon, G., & Torkzadeh, G. (2006). Value‐focused assessment of information system security in organizations. Information Systems Journal, 16(3), 293-314.Drevin, L., Kruger, H. A., & Steyn, T. (2007). Value-focused assessment of ICT security awareness in an academic environment. Computers & Security, 26(1), 36-43. doi:10.1016/j.cose.2006.10.006Ertz, Karakas, F., & Sarigöllü, E. (2016). Exploring pro-environmental behaviors of consumers: An analysis of contextual factors, attitude, and behaviors. Journal of Business Research, 69(10), 3971–3980. https://doi.org/10.1016/j.jbusres.2016.06.010Fishbein, M. & Ajzen, I. (1975). Beliefs, Attitude, Intention, and Behavior: An introduction to theory and research. Reading. Ma: Addison-Wesley. Retrieved from https://people.umass.edu/aizen/f&a1975.htmlHansche. (2001). Designing a Security Awareness Program: Part 1. Information Systems Security, 9(6), 1–9. Retrieved from https://doi.org/10.1201/1086/43298.9.6.20010102/30985.4Hassan, O.A.B. (2004). Application of value-focused thinking on the environmental selection of wall structures. Journal of environmental management, 70, 181-187.ICA. (1997). Guide for Managing Electronic Records from an Archival Perspective. Committee on Electronic Records. ICA Studies 8. Retrieved from https://www.ica.org/en/ica-study-n%C2%B08-guide-managing-electronic-records-archival-perspectiveInternational Organization for Standardization. (2018). ISO/IEC 27000:Information technology — Security techniques — Information security management systems — Overview and vocabulary (ISO Standard No. 27000:2018). Retrieved from https://standards.iso.org/ittf/PubliclyAvailableStandards/index.htmlInternational Organization for Standardization. (2019). ISO/IEC 27701: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (ISO Standard No. 27701:2019). Retrieved from https://www.iso.org/standard/71670.htmlInternational Organization for Standardization. (2020a). ISO/IEC 27035-3:2020(en):Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations (ISO Standard No. 27035-3:2020). Retrieved from https://www.iso.org/standard/74033.htmlInternational Organization for Standardization. (2020b). 27100:2020(en):Information technology — Cybersecurity — Overview and concepts. Retrieved from https://www.iso.org/standard/72434.htmlKeeney, R.L. (1992) Value-Focused Thinking. Harvard University Press, Cambridge, MA.Keeney, R. L. (1994). Creativity in decision making with value-focused thinking. Sloan Management Review, 35, 33-41. Retrieved from https://www.researchgate.net/publication/284662663_Creativity_in_decision_making_with_value-focused_thinkingKruger, H.A. & Kearney, W.D. (2008). Consensus ranking – An ICT security awareness case study. Computers & Security, 27(7), 254–259. https://doi.org/10.1016/j.cose.2008.07.001Liao, C., Palvia, P., & Chen, J.-L. (2009). Information technology adoption behavior life cycle: Toward a Technology Continuance Theory (TCT). International journal of information management, 29(4), 309-320. doi:10.1016/j.ijinfomgt.2009.03.004Library and Archives Canada. (2018). Government Information Management and Disposition, Records and Information Life Cycle Management. Retrieved from https://www.bac-lac.gc.ca/eng/services/government-information-resources/lifecycle-management/Pages/life-cycle-management.aspxMurphy, K. R., & Davidshofer, C. O. (1988). Psychological testing. Principles, and Applications, Englewood Cliffs, NJ: Prentice-Hall.Nah, F.F., Siau, K. & Sheng, H. (2005). The value of mobile applications: A utility company study. Communications of the ACM, 48(2):85-90.NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework), Version 1.1. Retrieved from https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdfNIST. (n.d.). Glossary. Retrieved from https://csrc.nist.gov/glossaryNunnally, J. C. (1978). Psychometric theory: New York : McGraw-Hill, c1978. 2d ed. http://hdl.handle.net/123456789/11061SNAS. (2021a). About SANS Institute. Retrieved from https://www.sans.org/about/?msc=main-navSNAS. (2021b). Measuring Program Maturity. Retrieved from https://www.sans.org/security-awareness-training/resources/maturity-model/Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102.Wilson, M., Hash, J. (2003). Building an Information Technology Security Awareness and Training Program(NIST Special Publication 800-50). Retrieved from https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdfWilson, M., de Zafra, D. E., Pitcher, S. I., Tressler, J. D., & Ippolito, J. B. (1998). Information technology security training requirements: A role-and performance-based model (NIST Special Publication 800-16). Retrieved from https://apps.dtic.mil/sti/citations/ADA391650Neuman, W. L. (2014)。當代社會硏究法 :質化與量化取向(二版,王佳煌、潘中道、蘇文賢、江吟梓譯)。學富文化。(原著出版於2011年)中華民國資訊軟體協會(2021)。 驗證作業規定。取自https://archives.cisanet.org.tw/understanding_verification.php中華民國總統府(2018)。 國家資通安全戰略報告-資安即國安。取自https://www.president.gov.tw/Page/317/969/%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E6%88%B0%E7%95%A5%E5%A0%B1%E5%91%8A-%E8%B3%87%E5%AE%89%E5%8D%B3%E5%9C%8B%E5%AE%89-方耀宇(2010)。公務人員資安職能規畫與發展。資訊安全通訊,16(4),150-158。doi:10.29614/DRMM.201010.0019王梅玲、李函儒(2014)。大學圖書館資料庫績效指標與評鑑模式建構之研究。大學圖書館,18(2),24-49。王梅玲(2007)。網路時代資訊組織人員專業能力之研究。圖書資訊學研究,1(2),91-116。立法院公報處(2018)。立法院公報,107(52),109-113。取自https://lis.ly.gov.tw/lglawc/lawsingle?00B70280B0C1000000000000000001E000000005000000^02823107051100^00000000000行政院(2004)。建立我國通資訊基礎建設安全機制計畫(94年至97年)。取自https://nicst.ey.gov.tw/File/43670C7B95D2B0B3?A=C行政院(2014)。CNS 27001:資訊技術-安全技術-資訊安全管理系統-要求事項。取自https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/45d1f417-ca0c-4b30-aafa-ffeb9070a257行政院(2018)。行政院處務規程。取自https://webcache.googleusercontent.com/search?q=cache:BDhfW2n0HfEJ:https://www.ey.gov.tw/Page/5B2AEEC44E87F370+&cd=1&hl=zh-TW&ct=clnk&gl=tw行政院(2019a)。資通安全責任等級分級辦法。取自https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304行政院(2019b)。文書處理手冊。取自https://www.ey.gov.tw/Page/F0CD366C64B5A15C/ded08c55-1e15-440f-9d72-debb23bb5b22行政院(2021a)。109年國家資通安全情勢報告。取自https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/7234b46b-fe52-4295-8bae-41d9ea36d447行政院(2021b)。109年度公務機關資安稽核概況報告。取自https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/d4dce353-77ed-4500-9456-02845b0bd184行政院國家資通安全會報(2009)。國家資通訊安全發展方案(98年至101年)。取自https://nicst.ey.gov.tw/File/43670C7B95D2B0B3?A=C行政院國家資通安全會報(2013)。國家資通訊安全發展方案(102年至105年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/6a052bd4-76d2-4f4d-b1f6-f3069053ca98行政院國家資通安全會報(2017)。國家資通訊安全發展方案(106年至109年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/f61d7cc8-d18a-45e5-ac38-0dc0cf96856e行政院資通安全會報(2018)。關鍵資訊基礎設施資安防護建議。取自https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db行政院國家資通安全會報(2021)。國家資通安全發展方案(110年至113年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/e5eb620d-dae2-40ae-85d5-264955863506行政院國家資通安全會報技術服務中心(無日期)。人培計畫-資安職能訓練。取自https://ctts.nccst.nat.gov.tw/about/Training行政院國家資通安全會報技術服務中心(2020)。資安趨勢與案例研討。取自https://www.motc.gov.tw/uploaddowndoc?file=bussiness/202009041421300.pdf&filedisplay=202009041421300.pdf&flag=doc行政院國家資通安全會報技術服務中心(2021)。中心簡介。取自https://www.nccst.nat.gov.tw/About?lang=zh行政院資通安全處(2019)。我國重大資安政策進程。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/38cce861-6713-4b4c-bd2f-3c1900af4756行政院資通安全處(2019)。資通安全管理法中英對照表。取自https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/a3419915-490e-4e86-8f6a-f6d93bd8ce0e吳倩萍(2006)。政府機關個人資訊安全認知與行為之探討。國立臺北大學公共行政暨政策學系碩士在職專班碩士論文,新北市。取自https://hdl.handle.net/11296/3722jh陳寬裕(2018)。結構方程式模型分析實務:SPSS與SmartPLS的運用。台北市:五南圖書出版股份有限公司陳龍田(2019)。政府機關電子檔案風險評鑑指標之研究。國立政治大學圖書資訊與檔案學研究所碩士論文,台北市。取自https://hdl.handle.net/11296/r3tm45林天生、蔡侑庭、侯禹賢(2010)。雲端ERP安全機制之研究。蘭陽學報,14,78-87。林秋燕(2016)。政府文書檔案互動整合模式之建構。臺北市:索引數位股份有限公司。紀佳妮(2010)。公務人員資安職能規劃與發展。清流月刊,取自https://www.mjib.gov.tw/eBooks/eBooks_Search?CID=3&BookID=1565高君琳(2008)。台灣地區檔案素養評估指標之研究。國立政治大學圖書資訊與檔案學研究所碩士論文,台北市。 取自https://hdl.handle.net/11296/2968kg國家發展委員會(無日期)。關於網站。取自https://training.ndc.gov.tw/about/about_01.aspx國家發展委員會(2016)。第五階段電子化政府計畫-數位政府。取自https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvNTU2Ni84MjA3L2M0ODQ2NWZkLTIwNTMtNDExMy1iMDhjLTMwNDIzZDkyZTE3NC5wZGY%3d&n=44CM56ys5LqU6ZqO5q616Zu75a2Q5YyW5pS%2f5bqc6KiI55WrKDEwNuW5tC0xMDnlubQpLeaVuOS9jeaUv%2bW6nOOAjS5wZGY%3d&icon=..pdf國家發展委員會(2021)。政府機關資訊職能訓練。取自https://www.ndc.gov.tw/Content_List.aspx?n=455B2352278A7C8D國家發展委員會檔案管理局(2014)。機關檔案管理專業研習班課程教材-電子檔案保存風險管理。取自https://www.moea.gov.tw/mns/doga/content/SubMenu.aspx?menu_id=10148國家發展委員會檔案管理局(2019)。文檔系統資訊安全宣導。取自https://www.archives.gov.tw/Download_File.ashx?id=17228國家發展委員會檔案管理局(2020a)。108年度機關檔案管理調查結果(中央與地方各級機關)。取自https://online.archives.gov.tw/news/80?startQueryTimestamp=&endQueryTimestamp=&direction=DESC&pageSize=10&startPage=1&filterOutdated=CURRENT&siteId=ONLINE。國家發展委員會檔案管理局(2020b)。文書及檔案管理資訊化法令彙編。臺北市:國家發展委員會檔案管理局。國家發展委員會檔案管理局(2020c)。文書及檔案管理專業分級培訓計畫:取自https://www.archives.gov.tw/Publish.aspx?cnid=100572&p=3095。國家發展委員會檔案管理局(2020d)。機關檔案管理作業手冊:取自https://www.archives.gov.tw/Publish.aspx?cnid=1644&p=3716。國家發展委員會檔案管理局(2020e)。檔案法令彙編(109年版)。新北市:國家發展委員會檔案管理局。張文熙(2004)。檔案資訊安全之探討。檔案管理局,檔案資訊資源管理(449-458)。臺北市:檔案管理局。張錫鈴(2010)。電子郵件社交工程與資訊安全認知行為之研究探討-以某企業為例。國立虎尾科技大學資訊管理研究所碩士論文,雲林縣。取自https://hdl.handle.net/11296/udu29j曹明玉(2006)。資訊安全認知評量表之研究。淡江大學資訊管理學系碩士班碩士論文,新北市。取自https://hdl.handle.net/11296/xa8257資通安全管理法(2018年6月6日)。全國法規資料庫:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297(檢索日期2021年2月28日)劉春銀(1995)。國家標準技術協會(美國)National Institute of Standards and Technology,簡稱NIST。載於胡兆述(主編),圖書館學與資訊科學大辭典。臺北:漢美。雙語詞彙、學術名詞暨辭書資訊網:https://terms.naer.edu.tw/detail/1681181/劉沛晴(2003)。我國數位內容加值服務拓展方向之研究---以有線電視內容提供者為例。國立臺灣師範大學圖文傳播學系碩士論文,台北市。取自https://hdl.handle.net/11296/g88233歐芳伶(2008)。個人資訊安全認知量表設計之研究。樹德科技大學資訊管理研究所碩士論文,高雄市。 取自https://hdl.handle.net/11296/f7tvnf蔡綺婷(2013)。檢政機關員工資訊安全認知之建立 —從資訊安全管理系統的導入探討。國立高雄應用科技大學工業工程與管理系碩士在職專班碩士論文,高雄市。 取自https://hdl.handle.net/11296/2mg4bj蕭瑞祥、羅雅萍、鄭哲斌 (2012)。非營利組織資訊科技能力對資訊安全認知影響之研究。電腦稽核,25,57-71。賴國旺(2017)。機關公文管理系統與全國共用公文電子交換系統整合介接技術。檔案半年刊,16(2),84-91。檔案管理局(2012)。檔案最IN-公文資訊化業務順利移交。檔案樂活情報,62。取自https://www.archives.gov.tw/alohasImages/62/hot.html薛理桂(2004)。檔案學導論。臺北市:五南。薛理桂(2012)。檔案徵集與鑑定。臺北市:文華圖書館管理。薛理桂、林巧敏(2004)。電子文件管理策略剖析:以美、加、英、澳為例, 2(2),頁 1-29。https://scholars.lib.ntu.edu.tw/handle/123456789/24083 描述 碩士
國立政治大學
圖書資訊學數位碩士在職專班
109913008資料來源 http://thesis.lib.nccu.edu.tw/record/#G0109913008 資料類型 thesis dc.contributor.advisor 林巧敏 zh_TW dc.contributor.advisor Lin, Chiao-Min en_US dc.contributor.author (Authors) 劉穎芝 zh_TW dc.contributor.author (Authors) Liu, Yin-Chih en_US dc.creator (作者) 劉穎芝 zh_TW dc.creator (作者) Liu, Yin-Chih en_US dc.date (日期) 2022 en_US dc.date.accessioned 1-Aug-2022 19:05:20 (UTC+8) - dc.date.available 1-Aug-2022 19:05:20 (UTC+8) - dc.date.issued (上傳時間) 1-Aug-2022 19:05:20 (UTC+8) - dc.identifier (Other Identifiers) G0109913008 en_US dc.identifier.uri (URI) http://nccur.lib.nccu.edu.tw/handle/140.119/141415 - dc.description (描述) 碩士 zh_TW dc.description (描述) 國立政治大學 zh_TW dc.description (描述) 圖書資訊學數位碩士在職專班 zh_TW dc.description (描述) 109913008 zh_TW dc.description.abstract (摘要) 我國推動資通安全政策已行之有年,包含法制化及機制建立,然而資安議題與機關人員業務息息相關。隨著電子化文書及檔案的累積,政府機關也需面對不斷翻新的資安威脅,而在文檔系統當中,資訊人員扮演機關整體規劃的角色,文檔人員在過程中則擔任第一線的關鍵角色。本研究目的即在於發展可資評估機關文檔人員及資訊人員資安意識之調查問卷,並調查分析文檔人員及資訊人員對於文檔系統資安意識現況及差異。本研究首先在國內外文獻探討及考量臺灣環境的基礎下,設計最初評估題項,接著採用疊慧法,綜合檔案學者及資訊學者二回合的意見,建立「資安意識評估問卷」,並透過Cronbach’s α係數值及驗證性因素分析確立達到良好的信效度。其次採用問卷調查法,採立意抽樣及滾雪球抽樣方式,調查對象為桃園市地方一級機關的資訊人員及文檔人員,包含「認知重要性」及「機關達成程度」兩個向度。在資安意識評估內容階段,研究結果顯示:(一)不同背景的學者專家對於資安意識有高度共識;(二)確立資安意識評估10個構面,分別為「帳戶管理」6題、「存取控制」10題、「系統防護」9題、「行動安全」2題、「上網行為」7題、「電子交換」5題、「實體安全」14題、「備份機制」5題、「遵守政策」6題及「事件通報」構面3題;共計67題。在資安意識調查分析階段,研究結果顯示:(一)整體資安意識偏正向且趨於一致;(二)機關文檔及資訊人員的資安意識程度,「認知重要性」向度略高於「機關達成程度」向度,兩向度及構面之間達顯著正相關;(三)機關文檔及資訊人員對於機關在資安作業上的符合程度,僅存有約5%不清楚的比例;(四)年齡是影響資安意識程度的重要因素之一,超過40歲人員的資安意識程度高於40歲以下人員;(五)有無接受教育訓練是影響資安意識程度的重要因素之一,有接受教育訓練者的資安意識程度高於未接受教育訓練者,但不限於資訊教育訓練;(六)不同職務身分背景對於資安意識程度沒有影響,差異僅反映在個別構面,其中不含委外的資訊人員資安意識程度相對較高,而文書人員、委外人員的資安意識程度相對較低;(七)服務年資背景對於整體資安意識程度沒有影響,差異僅反映在個別構面,其中服務年資滿5年未滿10年的人員的資安意識程度相對較低。本研究結果所建立的「資安意識評估問卷」,可供機關在進行人員資安意識評估的應用;而所調查的資安意識評估結果,可做為機關規劃資安教育訓練之參考。 zh_TW dc.description.abstract (摘要) The information and communications technology security policies have been promoted for several years. However, people within or employees are seen as a critical factor for having excellent security implementation and should take their role seriously. With the increasing popularity of Electronic Records Management Systems (ERMS), the record management and information staff have become an integral part of the process. The purpose of this research is to develop an assessment questionnaire that includes two dimensions: cognitive importance and organization achievement level, that could assess the cybersecurity awareness of record management and information staff to investigate the comparison of these two groups.The study had a two-stage mixed-method design. First, the Delphi method involved a two-round consensus method to determine the questionnaire’s content. Second, the questionnaire survey method was applied to collect the research data of local authorities in Taoyuan City.In the first stage, the results indicated: (1) Scholars and experts from different backgrounds have a high consensus on cybersecurity issues; (2) The 10 mutually related aspects with 67 scale items which are account management, access control, system protection, mobile safety, internet behavior, electronic exchange, physical security, backup, adhere to policies and incident notification were identified.In the second stage, the results indicated: (1) The overall information security awareness is positive and consistent; (2) The score of the dimension of cognitive importance is slightly higher than the score of the dimension of organization achievement, and there is a significant positive correlation between the 2 dimensions and 10 aspects; (3) Only about 5% are unclear about the degree of compliance of agencies in information security operations. (4) People over 40 years old have a higher level of information security awareness than people under 40 years old; (5) People who have received education and training from government agencies have a higher level of information security awareness than people who have not received, but it is not limited to information categories; (6) There is no considerable difference of cybersecurity awareness among different job backgrounds in the total aspect, only reflected in the individual aspect; (7) There is no considerable difference in the level of information security awareness among the background of service years in the total aspect.Government agencies could use the assessment questionnaire established by the results of this study in conducting personnel security awareness assessments, and based on the findings of the study; some suggestions are provided for government agencies to plan information security education and training. en_US dc.description.tableofcontents 謝辭 i摘要 ii目次 iv表次 vi圖次 ix第一章 緒論 1第一節 研究動機 1第二節 研究目的 2第三節 研究問題 3第四節 研究範圍與限制 3第五節 名詞解釋 4第二章 文獻探討 9第一節 資通安全理念之探討 9第二節 資通安全政策之探討 19第三節 電子檔案資安問題分析 35第四節 文檔資通安全之相關研究 46第三章 研究設計與實施 57第一節 研究架構 57第二節 研究方法 58第三節 研究工具 59第四節 研究對象 69第五節 研究流程 73第六節 資料處理與分析 77第四章 研究結果分析 81第一節 資安意識評估題項建構 81第二節 前測及信效度分析 105第三節 機關人員對於文檔系統之資安意識分析 117第四節 不同背景人員資安意識之差異分析 157第五節 相關分析 184第五章 結論與建議 187第一節 結論 187第二節 建議 196參考文獻 201附錄一 209附錄二 221 zh_TW dc.format.extent 13657709 bytes - dc.format.mimetype application/pdf - dc.source.uri (資料來源) http://thesis.lib.nccu.edu.tw/record/#G0109913008 en_US dc.subject (關鍵詞) 資通安全 zh_TW dc.subject (關鍵詞) 資安意識 zh_TW dc.subject (關鍵詞) 文檔系統 zh_TW dc.subject (關鍵詞) 電子檔案 zh_TW dc.subject (關鍵詞) 文檔人員 zh_TW dc.subject (關鍵詞) 資訊人員 zh_TW dc.subject (關鍵詞) Cybersecurity en_US dc.subject (關鍵詞) Cybersecurity Awareness en_US dc.subject (關鍵詞) ERMS en_US dc.subject (關鍵詞) Electronic Records en_US dc.subject (關鍵詞) Record Management Staff en_US dc.subject (關鍵詞) Information Staff en_US dc.title (題名) 機關文檔及資訊人員對於文檔系統資安意識之調查—以桃園市為例 zh_TW dc.title (題名) An Investigation on Cybersecurity Awareness of Record Management and Information Staff Related to the ERMS : Taoyuan City as an Example en_US dc.type (資料類型) thesis en_US dc.relation.reference (參考文獻) Dhillon, G., Bardacino, J. & Hackney, R. (2002). Value focused assessment of individual privacy concerns for Internet commerce. Proceedings of the twenty third international conference on Information Systems. 705-709.Dhillon, G., & Torkzadeh, G. (2006). Value‐focused assessment of information system security in organizations. Information Systems Journal, 16(3), 293-314.Drevin, L., Kruger, H. A., & Steyn, T. (2007). Value-focused assessment of ICT security awareness in an academic environment. Computers & Security, 26(1), 36-43. doi:10.1016/j.cose.2006.10.006Ertz, Karakas, F., & Sarigöllü, E. (2016). Exploring pro-environmental behaviors of consumers: An analysis of contextual factors, attitude, and behaviors. Journal of Business Research, 69(10), 3971–3980. https://doi.org/10.1016/j.jbusres.2016.06.010Fishbein, M. & Ajzen, I. (1975). Beliefs, Attitude, Intention, and Behavior: An introduction to theory and research. Reading. Ma: Addison-Wesley. Retrieved from https://people.umass.edu/aizen/f&a1975.htmlHansche. (2001). Designing a Security Awareness Program: Part 1. Information Systems Security, 9(6), 1–9. Retrieved from https://doi.org/10.1201/1086/43298.9.6.20010102/30985.4Hassan, O.A.B. (2004). Application of value-focused thinking on the environmental selection of wall structures. Journal of environmental management, 70, 181-187.ICA. (1997). Guide for Managing Electronic Records from an Archival Perspective. Committee on Electronic Records. ICA Studies 8. Retrieved from https://www.ica.org/en/ica-study-n%C2%B08-guide-managing-electronic-records-archival-perspectiveInternational Organization for Standardization. (2018). ISO/IEC 27000:Information technology — Security techniques — Information security management systems — Overview and vocabulary (ISO Standard No. 27000:2018). Retrieved from https://standards.iso.org/ittf/PubliclyAvailableStandards/index.htmlInternational Organization for Standardization. (2019). ISO/IEC 27701: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (ISO Standard No. 27701:2019). Retrieved from https://www.iso.org/standard/71670.htmlInternational Organization for Standardization. (2020a). ISO/IEC 27035-3:2020(en):Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations (ISO Standard No. 27035-3:2020). Retrieved from https://www.iso.org/standard/74033.htmlInternational Organization for Standardization. (2020b). 27100:2020(en):Information technology — Cybersecurity — Overview and concepts. Retrieved from https://www.iso.org/standard/72434.htmlKeeney, R.L. (1992) Value-Focused Thinking. Harvard University Press, Cambridge, MA.Keeney, R. L. (1994). Creativity in decision making with value-focused thinking. Sloan Management Review, 35, 33-41. Retrieved from https://www.researchgate.net/publication/284662663_Creativity_in_decision_making_with_value-focused_thinkingKruger, H.A. & Kearney, W.D. (2008). Consensus ranking – An ICT security awareness case study. Computers & Security, 27(7), 254–259. https://doi.org/10.1016/j.cose.2008.07.001Liao, C., Palvia, P., & Chen, J.-L. (2009). Information technology adoption behavior life cycle: Toward a Technology Continuance Theory (TCT). International journal of information management, 29(4), 309-320. doi:10.1016/j.ijinfomgt.2009.03.004Library and Archives Canada. (2018). Government Information Management and Disposition, Records and Information Life Cycle Management. Retrieved from https://www.bac-lac.gc.ca/eng/services/government-information-resources/lifecycle-management/Pages/life-cycle-management.aspxMurphy, K. R., & Davidshofer, C. O. (1988). Psychological testing. Principles, and Applications, Englewood Cliffs, NJ: Prentice-Hall.Nah, F.F., Siau, K. & Sheng, H. (2005). The value of mobile applications: A utility company study. Communications of the ACM, 48(2):85-90.NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework), Version 1.1. Retrieved from https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdfNIST. (n.d.). Glossary. Retrieved from https://csrc.nist.gov/glossaryNunnally, J. C. (1978). Psychometric theory: New York : McGraw-Hill, c1978. 2d ed. http://hdl.handle.net/123456789/11061SNAS. (2021a). About SANS Institute. Retrieved from https://www.sans.org/about/?msc=main-navSNAS. (2021b). Measuring Program Maturity. Retrieved from https://www.sans.org/security-awareness-training/resources/maturity-model/Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102.Wilson, M., Hash, J. (2003). Building an Information Technology Security Awareness and Training Program(NIST Special Publication 800-50). Retrieved from https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-50.pdfWilson, M., de Zafra, D. E., Pitcher, S. I., Tressler, J. D., & Ippolito, J. B. (1998). Information technology security training requirements: A role-and performance-based model (NIST Special Publication 800-16). Retrieved from https://apps.dtic.mil/sti/citations/ADA391650Neuman, W. L. (2014)。當代社會硏究法 :質化與量化取向(二版,王佳煌、潘中道、蘇文賢、江吟梓譯)。學富文化。(原著出版於2011年)中華民國資訊軟體協會(2021)。 驗證作業規定。取自https://archives.cisanet.org.tw/understanding_verification.php中華民國總統府(2018)。 國家資通安全戰略報告-資安即國安。取自https://www.president.gov.tw/Page/317/969/%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E6%88%B0%E7%95%A5%E5%A0%B1%E5%91%8A-%E8%B3%87%E5%AE%89%E5%8D%B3%E5%9C%8B%E5%AE%89-方耀宇(2010)。公務人員資安職能規畫與發展。資訊安全通訊,16(4),150-158。doi:10.29614/DRMM.201010.0019王梅玲、李函儒(2014)。大學圖書館資料庫績效指標與評鑑模式建構之研究。大學圖書館,18(2),24-49。王梅玲(2007)。網路時代資訊組織人員專業能力之研究。圖書資訊學研究,1(2),91-116。立法院公報處(2018)。立法院公報,107(52),109-113。取自https://lis.ly.gov.tw/lglawc/lawsingle?00B70280B0C1000000000000000001E000000005000000^02823107051100^00000000000行政院(2004)。建立我國通資訊基礎建設安全機制計畫(94年至97年)。取自https://nicst.ey.gov.tw/File/43670C7B95D2B0B3?A=C行政院(2014)。CNS 27001:資訊技術-安全技術-資訊安全管理系統-要求事項。取自https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/45d1f417-ca0c-4b30-aafa-ffeb9070a257行政院(2018)。行政院處務規程。取自https://webcache.googleusercontent.com/search?q=cache:BDhfW2n0HfEJ:https://www.ey.gov.tw/Page/5B2AEEC44E87F370+&cd=1&hl=zh-TW&ct=clnk&gl=tw行政院(2019a)。資通安全責任等級分級辦法。取自https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304行政院(2019b)。文書處理手冊。取自https://www.ey.gov.tw/Page/F0CD366C64B5A15C/ded08c55-1e15-440f-9d72-debb23bb5b22行政院(2021a)。109年國家資通安全情勢報告。取自https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/7234b46b-fe52-4295-8bae-41d9ea36d447行政院(2021b)。109年度公務機關資安稽核概況報告。取自https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/d4dce353-77ed-4500-9456-02845b0bd184行政院國家資通安全會報(2009)。國家資通訊安全發展方案(98年至101年)。取自https://nicst.ey.gov.tw/File/43670C7B95D2B0B3?A=C行政院國家資通安全會報(2013)。國家資通訊安全發展方案(102年至105年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/6a052bd4-76d2-4f4d-b1f6-f3069053ca98行政院國家資通安全會報(2017)。國家資通訊安全發展方案(106年至109年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/f61d7cc8-d18a-45e5-ac38-0dc0cf96856e行政院資通安全會報(2018)。關鍵資訊基礎設施資安防護建議。取自https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db行政院國家資通安全會報(2021)。國家資通安全發展方案(110年至113年)。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/e5eb620d-dae2-40ae-85d5-264955863506行政院國家資通安全會報技術服務中心(無日期)。人培計畫-資安職能訓練。取自https://ctts.nccst.nat.gov.tw/about/Training行政院國家資通安全會報技術服務中心(2020)。資安趨勢與案例研討。取自https://www.motc.gov.tw/uploaddowndoc?file=bussiness/202009041421300.pdf&filedisplay=202009041421300.pdf&flag=doc行政院國家資通安全會報技術服務中心(2021)。中心簡介。取自https://www.nccst.nat.gov.tw/About?lang=zh行政院資通安全處(2019)。我國重大資安政策進程。取自https://nicst.ey.gov.tw/Page/296DE03FA832459B/38cce861-6713-4b4c-bd2f-3c1900af4756行政院資通安全處(2019)。資通安全管理法中英對照表。取自https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/a3419915-490e-4e86-8f6a-f6d93bd8ce0e吳倩萍(2006)。政府機關個人資訊安全認知與行為之探討。國立臺北大學公共行政暨政策學系碩士在職專班碩士論文,新北市。取自https://hdl.handle.net/11296/3722jh陳寬裕(2018)。結構方程式模型分析實務:SPSS與SmartPLS的運用。台北市:五南圖書出版股份有限公司陳龍田(2019)。政府機關電子檔案風險評鑑指標之研究。國立政治大學圖書資訊與檔案學研究所碩士論文,台北市。取自https://hdl.handle.net/11296/r3tm45林天生、蔡侑庭、侯禹賢(2010)。雲端ERP安全機制之研究。蘭陽學報,14,78-87。林秋燕(2016)。政府文書檔案互動整合模式之建構。臺北市:索引數位股份有限公司。紀佳妮(2010)。公務人員資安職能規劃與發展。清流月刊,取自https://www.mjib.gov.tw/eBooks/eBooks_Search?CID=3&BookID=1565高君琳(2008)。台灣地區檔案素養評估指標之研究。國立政治大學圖書資訊與檔案學研究所碩士論文,台北市。 取自https://hdl.handle.net/11296/2968kg國家發展委員會(無日期)。關於網站。取自https://training.ndc.gov.tw/about/about_01.aspx國家發展委員會(2016)。第五階段電子化政府計畫-數位政府。取自https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvNTU2Ni84MjA3L2M0ODQ2NWZkLTIwNTMtNDExMy1iMDhjLTMwNDIzZDkyZTE3NC5wZGY%3d&n=44CM56ys5LqU6ZqO5q616Zu75a2Q5YyW5pS%2f5bqc6KiI55WrKDEwNuW5tC0xMDnlubQpLeaVuOS9jeaUv%2bW6nOOAjS5wZGY%3d&icon=..pdf國家發展委員會(2021)。政府機關資訊職能訓練。取自https://www.ndc.gov.tw/Content_List.aspx?n=455B2352278A7C8D國家發展委員會檔案管理局(2014)。機關檔案管理專業研習班課程教材-電子檔案保存風險管理。取自https://www.moea.gov.tw/mns/doga/content/SubMenu.aspx?menu_id=10148國家發展委員會檔案管理局(2019)。文檔系統資訊安全宣導。取自https://www.archives.gov.tw/Download_File.ashx?id=17228國家發展委員會檔案管理局(2020a)。108年度機關檔案管理調查結果(中央與地方各級機關)。取自https://online.archives.gov.tw/news/80?startQueryTimestamp=&endQueryTimestamp=&direction=DESC&pageSize=10&startPage=1&filterOutdated=CURRENT&siteId=ONLINE。國家發展委員會檔案管理局(2020b)。文書及檔案管理資訊化法令彙編。臺北市:國家發展委員會檔案管理局。國家發展委員會檔案管理局(2020c)。文書及檔案管理專業分級培訓計畫:取自https://www.archives.gov.tw/Publish.aspx?cnid=100572&p=3095。國家發展委員會檔案管理局(2020d)。機關檔案管理作業手冊:取自https://www.archives.gov.tw/Publish.aspx?cnid=1644&p=3716。國家發展委員會檔案管理局(2020e)。檔案法令彙編(109年版)。新北市:國家發展委員會檔案管理局。張文熙(2004)。檔案資訊安全之探討。檔案管理局,檔案資訊資源管理(449-458)。臺北市:檔案管理局。張錫鈴(2010)。電子郵件社交工程與資訊安全認知行為之研究探討-以某企業為例。國立虎尾科技大學資訊管理研究所碩士論文,雲林縣。取自https://hdl.handle.net/11296/udu29j曹明玉(2006)。資訊安全認知評量表之研究。淡江大學資訊管理學系碩士班碩士論文,新北市。取自https://hdl.handle.net/11296/xa8257資通安全管理法(2018年6月6日)。全國法規資料庫:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297(檢索日期2021年2月28日)劉春銀(1995)。國家標準技術協會(美國)National Institute of Standards and Technology,簡稱NIST。載於胡兆述(主編),圖書館學與資訊科學大辭典。臺北:漢美。雙語詞彙、學術名詞暨辭書資訊網:https://terms.naer.edu.tw/detail/1681181/劉沛晴(2003)。我國數位內容加值服務拓展方向之研究---以有線電視內容提供者為例。國立臺灣師範大學圖文傳播學系碩士論文,台北市。取自https://hdl.handle.net/11296/g88233歐芳伶(2008)。個人資訊安全認知量表設計之研究。樹德科技大學資訊管理研究所碩士論文,高雄市。 取自https://hdl.handle.net/11296/f7tvnf蔡綺婷(2013)。檢政機關員工資訊安全認知之建立 —從資訊安全管理系統的導入探討。國立高雄應用科技大學工業工程與管理系碩士在職專班碩士論文,高雄市。 取自https://hdl.handle.net/11296/2mg4bj蕭瑞祥、羅雅萍、鄭哲斌 (2012)。非營利組織資訊科技能力對資訊安全認知影響之研究。電腦稽核,25,57-71。賴國旺(2017)。機關公文管理系統與全國共用公文電子交換系統整合介接技術。檔案半年刊,16(2),84-91。檔案管理局(2012)。檔案最IN-公文資訊化業務順利移交。檔案樂活情報,62。取自https://www.archives.gov.tw/alohasImages/62/hot.html薛理桂(2004)。檔案學導論。臺北市:五南。薛理桂(2012)。檔案徵集與鑑定。臺北市:文華圖書館管理。薛理桂、林巧敏(2004)。電子文件管理策略剖析:以美、加、英、澳為例, 2(2),頁 1-29。https://scholars.lib.ntu.edu.tw/handle/123456789/24083 zh_TW dc.identifier.doi (DOI) 10.6814/NCCU202200885 en_US
