26              洪國興  季延平  趙榮耀  資訊安全多準則評估之研究－捷運等相關個案

                 由於資訊科技的快速發展，使得組織對資訊科技的依賴日深，資訊安全的影響，正逐漸
            擴大中。資訊安全不只是一項防禦性策略而已，更成為組織的競爭策略，因此，資訊安全管
            理理論的發展，將關係到資訊安全的研究，在實務層面上，也將關係到組織資訊安全策略之
            建構。由資訊安全文獻探討，並從實務面觀察，可知資訊安全管理理論有（Hong 等，2003）：
            安全政策理論（Security Policy Theory, SPT）、風險管理理論（Risk Management Theory, RMT）、

            控制與稽核理論（Control and Auditing Theory, CAT）、管理系統理論（Management System
            Theory, MST）、權變理論（Contingency Theory, CT）等五種。其資訊安全的決定則形成下列的
            函數關係（Hong 等，2003；洪國興與趙榮耀，2003）：

                 1.安全政策理論（Security Policy Theory, SPT）：

                   資訊安全＝f（資訊安全政策）
                   資訊安全政策＝f（資訊安全政策制定，資訊安全政策實施，資訊安全政策維護）

                   資訊安全政策制定＝f（安全需求）
                 2.風險管理理論（Risk Management Theory, RMT）：

                   資訊安全=f（風險評估，風險控制，檢討修正）
                   風險評估=f（風險分析，風險估計）

                   風險控制=f（制定控制制度，實施控制制度）
                   風險分析=f（威脅，弱點）

                   風險估計=f（衝擊，資產評價）
                 3.控制與稽核理論（Control and Auditing Theory, CAT）：

                   資訊安全=f（制定控制制度，實施控制制度，資訊稽核）

                   制定控制制度=f（安全策略，標準）
                 4.管理系統理論（Management System Theory, MST）：

                   資訊安全=f（資訊安全政策，資訊安全範圍，風險管理，實施控制制度）
                   風險管理=f（風險評估，風險控制）

                   資訊安全政策=f（組織內外部環境，標準）
                 5.權變理論（Contingency Theory, CT）：

                   資訊安全＝f（資訊安全策略）
                   資訊安全策略=f（政策導向，風險管理導向，控制與稽核導向，管理系統導向，權變
                   管理）

                   權變管理=f（組織環境，管理，技術）
                 由於上開任何一種資訊安全管理理論，均僅能適用於部分資訊安全管理活動或機制，有
            其侷限性，無法適用於組織全部的資訊安全活動或機制；亦無任何理論可以同時具備循序程
            序（Sequential Process）與權變程序（Contingency Process），更難以因應高度動態的環境，並
            符合組織的目標，因此，整合既有的五種資訊安全管理理論，並觀察實務上之資訊安全管理
            活動，而另有「整合系統理論」（Integrated System Theory, IST）之提出。此一理論係由（1）
            安全政策（Security Policy）；（2）風險管理（Risk Management）；（3）內部控制（Internal
            Control  ）；（4）資訊稽核（Information Auditing）等四個資訊安全管理活動所組成，以權
            變管理（Contingency Management）為基礎，並符合組織目標需求，形成一個整合性之資