摘 要
2016年台灣政府選定「航太產業」、「造船產業」與「資訊安全產業」為重點輔導發展的重大國防產業，如何評估「資訊安全管理」在台灣國防產業供應鏈內對每個的企業的競爭力具有何種影響是重點之一。所謂「資訊安全管理系統」ISMS（Information security management system）是一種企業內部的「資訊安全管理制度」是整體管理制度的重要部份，企業除了資源必須有效管理外，對於風險更必需依據風險管理的方法加以明訂管理制度。而ISMS主要目的就是在有效管控企業的風險，並以此管理系統建立與執行企業對於資訊安全之操作與監控，並進一步作為企業審查及維護資訊安全的依據，以便在最後達成改進組織的資訊安全之終極目標，確保企業的營運風險能有效管控與降低。同時也希望能提供企業審視自身「資訊安全等級」的基本概念，因此本研究主要在確認「台灣國防產業供應鏈內」的企業是否真的具備「資訊安全管理」的意識，並且能自行評估企業自身資安能量的等級與程序，本文件主要參考國際資安組織 SANS (System Administration Networking and Security)發布重點資訊安全控制項目指引（CSC, Critical Security Controls)第6版作為指引依據，本論文設計採訪談供應鏈內的企業管理部門或決策者及資訊相關部門是否真的有落實ISMS的管理機制，最後再據此結論以協助企業以規劃-執行-檢核-改進的精神，落實資訊安全管理進一步能提高企業的核心競爭力，本研究在檢視企業的ISMS時分為6個層次共20種關鍵指標，期望企業利用這些關鍵指標的檢視能提升網路資訊安全之防護能力及增加企業核心競爭力達成:
《1. 評估企業內資訊安全管理對業務之影響
《2. 管理內部已知漏洞，確保並制定安全策略減緩風險
《3. 檢視企業所面臨之威脅，並評估防護缺漏之部分
《4. 確認權限控管原則及網路資訊安全的嚴格實施
關鍵字： 網路資訊安全、台灣國防產業、資訊安全管理制度、國際資安組織 SANS 、資訊安全控制項目指引

In 2016, Taiwan Government selected "Aerospace Industry", "Shipbuilding Industry" and "Cybersecurity Industry" as the targets of nurturing and developing for major Defense Industries. How to assess the impact of "Cybersecurity Management" on the competitiveness of each individual Company in the Taiwan Defense Industry Supply Chains is one of the key priorities. The so-called ISMS (Information Security Management System) is a system that manages the cybersecurity inside a Company and is an impartant part of the overarching management systems. In addition to effectively manage the resources, a Company must formulate a management system IAW risk management methodology to well manage the risks, and the key purpose of ISMS is to effectively control the risks to the Company, and utilize it to establish and implement how the Company operate and monitor their cybersecurity, and it further serves as the basis for the Company to review and maintain their cybersecurity in order to achieve the umtimate goal of improving the organization's cybersecurity to ensure that the Company's operational risks can be effectively controlled and reduced, and to be in the hopes that this study could provide the Company with a basic concept to look inward to review their “Level of Cybersecurity” at the same time, therefore, this study mainly focuses on making sure whether a Company in the “Taiwan Defense Industry Supply Chains” possesses the required awareness of "Cybersecurity management" and can assess the Company’s Level and Procedures of Cybersecurity Capability on their own. This study mainly refers to the 6th edition of the Critical Security Controls (CSC) issued by the SANS (System Administration Networking and Security) as the guiding basis. The design of the study is to discuss with the managing department or decision maker(s) and information-related departments of the Companies in the supply chains to see whether the mechanism of the ISMS is actually followed through, and utilize the findings to assist the Company in the spirit of planning-executing- checking–improving to fully implement Cybersecurity Management to further their core competitiveness. When reviewing a Company’s ISMA, this study uses six levels of 20 key indicators in the expectation that these key indicators will enhance their protection of Cybersecurity and increase their core competitiveness to achieve:
1. The assessment of the impact of the cybersecurity management on the Company’s business.
2. The managing the known internal vulnerabilities to ensure and formulate their security policies to mitigate the risks.
3. The reviewing of the threats faced by the Company and the assessing of the lacuna(s) in their protective measures.
4. The verifying of their authority control criterion and follow-through of their cybersecurity.
Keywords: cybersecurity, Taiwan Defense Industry, ISMS, SANS, CSC

目　錄
論文審定書 i
誌　謝 ii
Abstract v
目　錄 vii
圖　次 ix
表　次 x
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 2
第四節 研究範圍與限制 3
第二章　產業現況 4
第一節　造船產業現況 4
第二節　航太產業現況 7
第三節　資訊安全產業現況 9
第三章　文獻探討 16
第一節　當前台灣政府對國防產業發展策略規劃 16
第二節　當前政府的國防產業政策的內涵 （國艦國造&國機國造&資安即國安政策） 18
第三節　國防產業之民間參與 20
第四節　國防產業發展與國家競爭力 22
第四章　研究設計 24
第一節　研究結構 24
第二節　研究模式 24
第三節 研究方法 25

第五章　實證分析 60
第二節 企業內資訊安全管理對業務實施程度 66
第六章　結論與建議 67
第一節　結論 67
第二節　建議 68
第三節　關鍵控制項目及其子項目部署建議解決方案 70
參考文獻 86
一、中文 86
二、英文 87
三、網路 87
附錄、資訊安全應用研究企業訪談表 89





圖　次
圖1-1　研究流程圖 3
圖2-1　我國航空業現況 8
圖2-2　我國資通安全產業架構依據關鍵核心技術功能與產品服務類別分類 10
圖2-3　2017年我國資通安全產業產值 12
圖3-1　資安產業策略(SRB)會議議題 17
圖4-1　研究結構圖 24
圖5-1　企業訪談分析表 60
圖5-2　資訊設備支出占比 61
圖5-3　資安設備支出占比 61
圖5-4　個別企業（罡旻）資安六層面自我審視達成比例 62
圖5-5　個別企業(永記造漆)資安六層面自我審視達成比例 62
圖5-6　個別企業(台船)資安六層面自我審視達成比例 63
圖5-7　個別企業(合勤)資安六層面自我審視達成比例 63
圖5-8　個別企業(協聚德)資安六層面自我審視達成比例 64
圖5-9　個別企業(中信造船)資安六層面自我審視達成比例 64
圖5-10　個別企業(科力航太)資安六層面自我審視達成比例 65
圖5-11　個別企業(漢翔)資安六層面自我審視達成比例 65





表　次
表2-1　我國資安產業發展 SWOT 分析 15
表4-1　國內專業廠家訪談對象名單 59

一、中文
工研院資訊與通訊研究所，2018台灣產業資安防護需求現況與關注議題。
中華民國行政院，107年~114年資安產業發展行動計畫。
中華民國國防部106年四年期國防總檢討。
中華民國國防部106年國防報告書。
中華民國國家資通安全會報，國家資通安全發展方案(106年至109年)(核定本)。
方至民，2001，企業競爭優勢，前程企業管理。
方至民，2017，《造船產業經濟發展國防建設》，中山大學管理學院。
方至民，2018，策略管理-建立企業永續競爭力，前程企業管理，四版四刷
方至民，2019，策略管理概論:應用導向，前程企業管理，三版
方至民博士，2016年4月，造船產業振興與國艦國造研究報告摘要。
洪偉淦，2018年4月，國防產業供應鏈資訊安全關鍵控制項目建議書。
洪偉淦，2019年，資安產業現況與人才需求報告。
國土及公共治理季刊，第六卷第四期，國家資安發展藍圖:發展數位經濟與產業創新之基石。
麥可波特，1996，國家競爭優勢(上)。
經濟部航空小組2017我國航空產業現況。
資策會產業情報研究所，2011，台灣資訊安全產業發展契機。
資策會產業情報研究所，2016，雲端起飛 資安商機爆發 新興應用需求浮現。

二、英文
Malware in Smart Factories: Top Security Threats to Manufacturing Environments, Trend Micro (2019)

三、網路
Information Security 資安人科技網，國內資安產業現況與瓶頸
Information Security 資安人科技網，網路攻擊與防範新技術(上&下集) - SANS表第六版重點資安控制項目指引
iThome，台灣資安產業自主的需求日益提升
Trend Labs 趨勢科技全球技術支援與研發中心（2019年4月10日）。這些年鎖定智慧工廠的病毒。數位時代。取自https://blog.trendmicro.com.tw/?p=60143
朱明（2019年2月19日）。確保潛艦國造資安，台船建構獨立辦公室與人員網路管制。上報。取自https://www.upmedia.mg/news_info.php?SerialNo=57780
徐富桂（2018年9月2日）。製造業需強化供應鏈的資安弱點。工商時報。取自https://www.chinatimes.com/newspapers/20180902000244-260204?chdtv
張庭瑜（2017年9月11日）。資料不值錢也可能遭駭！趨勢科技：傳統製造業是駭客眼中的一塊大餅。數位時代。取自https://www.bnext.com.tw/article/46091/hackers-next-target-traditional-manufacturing-industry
游凱翔（2018年5月10日）。台灣推動國艦國造，專家籲融入資安觀念。中央通訊社。取自https://www.cna.com.tw/news/afe/201805100289.aspx