臺灣博碩士論文加值系統

隨著資訊網路普及，從個人電腦、區域網路、發展到物聯網、智慧聯網，網路安全已從早期強調資料安全到整體網路通訊安全。雖然管理者亦開始意識到資訊安全的重要，但資訊安全事件仍屢屢肇生。資訊安全若做不好，可能危及企業的經營，甚至動搖國家安全，在國家資通安全戰略報告中即提出：「資安即是國安」，可見資訊安全的重要。
本研究是以乳酪模式理論為基礎，從人為錯誤及大系統觀的組成來看資安問題，不強調個別系統安全技術問題，而是由整體系統之軟體、硬體、人員、資料、程序中找出人為的關聯錯誤。也探討資訊安全管理體系、資訊安全法規或制度、資訊安全成熟度等之各種方法精髓，藉由情境式風險評估發展實務管理行動方案。在行動中將軟體、硬體、人員、資料、程序等構面，發展出實務且有效的資安管理方式。
發生重大事故，都是一連串的巧合失誤，防止這問題就是對乳酪洞的貫穿現象找出對策。在本研究的乳酪洞模式有四個防禦對策分別為：情境式的風險評估、縱深防禦的設計概念、融入資安成熟度的治理、資安預防重於事後改善，並能補強臺灣企業普遍實施資安管理制度(ISO27001)之不足處，本研究期能協助企業降低資安事故的發生。

With the popularization of information networks, from personal computers and local networks to the Internet of Things and AIOT, the focus of cyber security has shifted from data security in the early days to the overall network communication security. Although managers have also begun to realize the importance of information security, information security incidents still occur frequently. If information security is not properly ensured, it may endanger the operation of enterprises and even undermine national security. In the National Cyber Security Strategy Report, it is proposed that information security is national security, and the statement shows the importance of information security.
This research is based on the Swiss Cheese Model theory, which approaches information security issues from the perspective of human error and the composition of a large system. Instead of emphasizing individual system security technical issues, the overall system software, hardware, personnel, data and procedures are taken into consideration in order to identify human related errors. This research also explores the essence of various methods of information security management systems, information security regulations or systems, information security maturity, etc. to develop practical management action plans through situational risk assessment. In practice, software, hardware, personnel, data, procedures and other aspects are integrated to develop a practical and effective way of information security management.
A major incident results from a series of coincident mistakes. To prevent this problem, it is necessary to find a countermeasure to the penetration of the cheese hole. There are four countermeasures in the Swiss Cheese Model of this study: situational risk assessment, design concept of defense in depth, governance integrated with security maturity, and the idea that security prevention is more important than remediation. These measures can help bridge the security gap Taiwan’s companies implementing “Information Security Management System” (ISO27001) usually have. In light of this, the research aims to help companies reduce the occurrence of security incidents.

摘要 I
ABSTRACT II
誌謝 III
第1章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 3
1.3 研究流程與方法 6
1.4 論文架構 8
第2章 文獻探討 10
2.1 資訊安全管理體系 10
2.2 資安治理成熟度評估 14
2.3 資安法規與制度 25
第3章 乳酪模式風險評估 32
3.1 威脅情境蒐集 32
3.2 資訊系統資產關聯盤點 38
3.3 風險評估 40
3.4 情境模擬 45
第4章 資安策略與實務佈局 53
4.1 軟體風險處理 53
4.2 硬體管控與佈署 55
4.3 人員資安教育 57
4.4 資料安全 60
4.5 資安事件的預防 61
第5章 結論與未來研究建議 65
5.1 研究結論 65
5.2 未來研究建議 67

中文文獻
中華民國經濟部標準檢驗局（2014），CNS 27001資訊安全管理系統國家標準(更新版)。
王毅堅(2017），香港資安監理規範新趨勢，彰銀月刊，66卷，12期。
行政院國家資通安全會報技術服務中心(2017)，資安治理成熟度框架。
沈怡伶(2014)，美國國家標準技術局發布「改善關鍵基礎建設網路安全框架」文件，科技法律透析，26卷，9期。
林建廷、范金鳳、易俗(2017)，網路安全架構（CSF）層級評估之技術及輔助工具，臺灣網際網路研討會，1173-1178。
林聖翔、卓信宏(2019)，基於人工智慧的自動化網頁安全測試，資訊安全通訊，25卷3期。
金融資安資訊分享與分析中心(2019)，F-ISAC資安情資週報，1-52期。
金融資安資訊分享與分析中心(2020)，F-ISAC資安情資週報，1-18期。
國家資通安全辦公室國安安全會議（2019），國家資通安全戰略報告。
陳美惠(2018)，淺談SWIFT客戶安全強化措施，財金資訊季刊，No.91。
勤業眾信會計師事務所(2016)，資訊安全管理風險評估方法報告。
勤業眾信會計師事務所(2020)，資訊安全法令教育。
資誠會計師事務所(2019)，風險導向稽核教育。
蔡一朗(2019)，數位時代下的多層次防禦，國土及公共治理季刊，第7卷，第4期。
謝續平、理善新(2019)，從國際推動趨勢談我國資安治理之挑戰與政策整備，國土及公共治理季刊，第7卷，第4期。
簡宏偉(2018)，國家資安發展藍圖：發展數位經濟與產業創新之基石，國土及公共治理季刊，6卷，4期。

 
英文文獻
Australian Prudential Regulation Authority(2019)，”Prudential Standard CPS234 Information Security”.
Fedreal Financial Institutions Examination Council (2017), “Cybersecurity Assessment Tool,CAT ”.
Hong Kong Monetary Authority，HKMA(2016)，“Cyber Resilience Assessment Framework ,C-RAF”.
ISO/IEC 27005:2018(2018)，”Information Security Risk Management Standard”.
ISO/IEC 31000(2018)，”Risk management Principles and guidelines”.
Long,Larry E. (1989), “Management Information System , ” Prentice Hall,10-12.
Monetary Authority of Singapore(2019)，”Notice 655 Cyber Hygiene”.
National Institute of Standards and Technology(2012),”NIST SP 800-30r1”, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
National Institute of Standards and Technology(2017),”National Initiative for Cybersecurity Education(NICE) Cybersecurity Workforce Framework”, https://www.nist.gov/nistpubs/Specialpublications/NIST.SP.800-181.pdf
National Institute of Standards and Technology(2018),”Cybersecurity Framework for Improving Critical Infrastructure CybersecurityVersion 1.1”, https://www.nist.gov/cyberframework.
New York State Department of Financial Services，NYDFS(2016)，”Cybersecurity Regulations 23 NYCRR 500”.
Reason, J. (1990), “Human Error, ”Cambridge University Press,207-209.
Society for Worldwide Interbank Financial Telecommunication (2017)，“SWIFT Customer Security Programme ,SWIFT CSP”.
網路文獻
BSI英國標準協會(2019），淺談NIST 網路安全框架與驗證方式。
取自：https://www.bsigroup.com/localfiles/zh-tw/e-news/no177/nist-cybersecurity-framework-peter-wu.pdf