臺灣博碩士論文加值系統

由於網際網路的發達使得資訊安全的議題越來越受到重視，資訊安全的風險管理亦倍受關注，藉由資訊風險評估可以讓我們暸解整體資安的風險，並提出相關的因應措施，以期能將殘餘風險降至最低。目前多數的安全風險研究多以非量化屬性來呈現風險的嚴重度，在此我們以決策樹安全指標量化模型，搭配量化的統計資料及質性問卷調查來計算風險。一般的質性研究雖然比較容易實施，但不容易得到一個可以一般化(Generalized)的結果，例如風險常分為：低、中、高，三個等級，此結果往往過於主觀，且沒有真正的風險數據，使用機率的量化模組來評估風險，能讓結果更為客觀。
在實務上很多量化的統計數值不易取得，而質化資料又過於主觀，因此本研究選擇了混合模型來計算風險，量化資料(Quantitative Data)由系統統計值或國家行政單位得知，如內政部消防署火災統計表，質化資料(Qualitative Data)則使用問卷量表取得組織中專家的意見，評估完後再加上與驗證組織人員的訪談，確認這些風險是否存在。驗證後發現，殘餘風險的數值可讓資訊部門管理者知道目前最迫切需要注意、改善的風險。

Because of the Internet technology arise, the issues of information security become more and more important each day, bring risk assessment in practice to help enterprise examine overall information risk, and then take action to be the countermeasure, expect to reduce the residual risk in risk management. Many security risk templates adopt nonquantitative attributes to express risk, in this study using the decision-tree model to quantify risk with both quantitative (Statistical report) and qualitative (Self-Administered questionnaire) data. Although qualitative approach is easier to implement, it will difficult to trace a generalized results which is subjective and lake of actual figures.
Purely quantitative data depend on statistical reports or logs, those data is limited, we employ the hybrid decision-tree model to quantify the risk of computer room security. After the empirical study and verify the residual risk with evaluators, we found those residual risk can effective help business to understand and reduce their risk.

第一章 緒論 1
1.1 研究動機 1
1.2 研究目的 1
1.3 研究流程 2
第二章 文獻回顧 3
2.1 風險的定義 3
2.2 保險學界對於風險的定義 3
2.3 資訊安全風險分析演進 5
2.4 風險管理 5
2.5 資訊資產風險評估方法 7
2.6 國內相關研究 9
2.7 ISO27001 資訊安全管理國際標準簡介 11
第三章 理論模式與研究設計 12
3.1 風險量化模型 12
3.2 研究步驟 17
第四章 實證分析 22
4.1 建立機房安全風險評估項目 22
4.2 量化資料蒐集 28
4.3 量化、質化數據整合與殘餘風險計算 31
4.4 殘餘風險分析 34
4.5 建議需優先處理之殘餘風險 41
第五章 研究結論與建議 43
5.1 對驗證組織的建議 43
5.2 研究發現 45
5.3 研究結論及對後續研究之建議 46
參考文獻 47
附錄一 機房資訊安全專家問卷(專家提供無統計資料之質化數據) 49
附錄二 ISO 27001 之詳細控制措施 59
附錄三 校園如何建置資訊安全管理系統(ISMS)之
資訊安全管理制度導入詴作點 69
附錄四 天然災害停電統計 70
附錄五 火災統計 - 桃園縣歷年火災統計表 71
附錄六 受測單位之系統可用度報表 -Internet 可用度統計(Big Brother Monitoring System) 72
附錄七 受測單位之系統可用度報表 -WAN 可用度統計(Big Brother Monitoring System) 73
附錄八 網路業者Statistical Fault Report 74
附錄九 專家問卷回收資料彙整表 82

中文部份
1.史振忠(2005)，資訊安全風險評估與管理之研究，中原大學資訊管理研究所碩士論文。
2.江通儒(2007)，「校園如何建置資訊安全管理系統(ISMS)」，國立台灣大學計算機及資訊網路中心網頁，http://www.cc.ntu.edu.tw/chinese/epaper/0003/20071220_3009.htm。
3.高民杰、袁興林(2004)，企業危機預警(上冊)，台北：讀品文化。
4.張嘉祐(2006)，模糊多準則決策於企業數位權利管理系統風險評估模式之研究，華梵大學資訊管理研究所碩士論文。
5.張慶隆(2006)，以失誤樹分析法建立企業電子化的資訊安全風險模式之研究，華梵大學資訊管理研究所碩士論文。
6.教育部電算中心 (2007)，「教育體系資通安全管理規範」，教育部網頁， http://www.edu.tw/files/site_content/b0089/ediisms-960530v1.doc。
7.許派立(2007)，資訊資產分類與風險評鑑之研究 – 以金融業者為例，大同大學資訊經營研究所碩士論文。
8.劉永禮(2002)，以BS7799資訊安全管理規範建構組織資訊安全風險管理模式之研究，元智大學工業工程與管理研究所碩士論文。
9.劉家明(2006)，風險評鑑方法應用於電子郵件系統安全之研究，華梵大學資訊管理研究所碩士論文。
10.歐弘詹(2006)，「中小企業資通安全管理制度最佳範例導入說明簡報」，NII產業發展協進會網頁，
http://www.i-security.tw/event/ plan/20060530.pdf。
11.鄧家駒(2002)，風險管理，台北：華泰文化事業公司。
12.蘇友章(2004)，應用AHP模式探討資訊安全決策選擇之研究，樹德科技大學資訊管理研究所碩士論文。

英文部分
1.Guan, Bao-Chyuan, Chi-Chun Lo, Ping Wang and Jaw-Shi Hwang (2003), “Evaluation of information security related risks of an organization-The application of multi-criteria decision-making method”, IEEE 37th International Carnahan Conference on Security Technology (ICCST), pp.163-175.
2.Karabacak, Bilge and Ibrahim Sogukpinar (2004) “ISRAM: information security risk analysis method”, Computers & Security, Vol.24, pp.147-159.
3.Stoneburner, Gary, Alice Goguen and Alexis Feringa (2002), Risk Management Guide for Information Technology Swuystem, Special Publication 800-30, National Institute of standards and Technology.
4.Halliday, S. (1996) “A business approach to effective information technology risk analysis and management”, Information Management & Computer Security, 4 (1), pp.27-28.
5.Sahinoglu, Mehmet (2005), “Security meter: A practical decision-tree model to quantify risk”, IEEE Security and Privacy, 3 (3), pp.18-24.
6.Sahinoglu, Mehmet (2007), Trustworthy Computing, Hoboken: Wiley Inter Science, pp.119-131.
7.Ward, S.C. (1999) “Assessing and managing important risks”, International Journal of Project Management, 17 (6), pp. 331-336.