跳到主要內容

臺灣博碩士論文加值系統

(3.236.23.193) 您好!臺灣時間:2021/07/24 12:04
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:胡文騰
研究生(外文):Mike Hu
論文名稱:金融機構ISO27001換證作業:一個案公司之研究
論文名稱(外文):ISO 27001 License Re-certification for Financial Institutions: A Case Study
指導教授:黃景彰黃景彰引用關係
學位類別:碩士
校院名稱:長庚大學
系所名稱:資訊管理研究所
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2007
畢業學年度:95
語文別:中文
論文頁數:186
中文關鍵詞:金融機構資訊安全管理系統標準作業程序適用性聲明
外文關鍵詞:ISMSBS 7799ISO 27001SOPSOAPDCA
相關次數:
  • 被引用被引用:2
  • 點閱點閱:614
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
隨著資訊科技的發展,以及消費者自我保護意識抬頭,台灣金融業之資訊安全管理系統(Information Security Management System, ISMS)機制已日趨成熟。而有效的資訊安全管理系統模式之建立,對當下台灣金融機構之內部作業風險管理尤為重要。本篇論文主要在研究探討一通過BS 7799認證之信用卡公司,因應ISO 27001換證之準備作業,以持續維持有效的資訊安全管理。
根據本研究探討發現,ISO 27001控制措施,相較於BS 7799,移除11項,新增17項,總計有11項控制項目、34項控制目標及133項控制措施;而個案公司現有的資訊內部標準作業程序(standard operating procedure, SOP)計12篇,規章辦法28篇。其中為配合ISO 27001要求事項修訂者,共計有資訊內部作業標準程序增訂一篇,修訂規章辦法5篇,新標準之控制措施計132項列入個案公司ISMS適用性聲明文件(statement of applicability, SOA)中。而作者認為ISO 27001與BS 7799最大的不同點,在於ISO 27001更加著重於資產的風險評量手法及評量標準之建置,且在每年的實地查核(due diligence, DD)亦著重於PDCA(plan do check act, 計劃、執行-檢查-行動)管理程序的落實情形。
本研究結論,資訊安全管理系統的維持,除需有高層主管的高度支持外,加上各級主管的用心經營,尤其是全體員工的落實執行,才是資訊安全管理系統維持一定水準的要務。未來亦跟隨資訊安全管理系統的要求事項演進,持續用心實現資訊安全的承諾。
Information Security Management (ISM) is essential to successful operation of financial companies, because flaws in information security increase risk. ISO 17799, which is the same as BS 7799, is a documented standard that provides a guideline for assessing the effectiveness of ISM in a company. Many companies have been certified that their practices comply with this standard. Recently, this standard was upgraded to a new standard named ISO 27001.
This thesis presents a case study on a company with credit-card issuing business. The effectiveness of ISM in this company was certified according to ISO 17799. And a re-certification according to the new standard 27001 is under preparation. This thesis describes how this company prepares for the re-certification and, more importantly, how it continues its effort for ensuring information security.
The author compares the differences between the old and new standards. Nine items of control measure are deleted; seven items added. Included in the new standard in total are 11 control projects, 34 control goals, and 133 control measures. To meet the requirements for complying with ISO 27001, the company adds one SOP (Standard Operating Procedure) to the existing 12 SOPs, and modified five rules of regulation. The Statement of Applicability includes 132 control measures; in other words, only one of the 133 measures defined in the standard ISO 27001 is excluded. The major difference between the old and new standards is that the new standard presents a way for assessing risk in asset and a setting for evaluation criteria. In addition, the new standard emphasizes more on the implementation of PDCA cycle (Plan-Do-Check-Act Cycle) in due diligence.
Information Security Management needs continuous effort. Support from high-level executives is particularly essential. Every employee must also make effort to ensure that their daily conduct complies with the upgraded standard.
指導教授推薦書-------------------------------------------------------------------------------------------------- - i -
口試委員審定書------------------------------------------------------------------------------------------------- - ii -
授權書------------------------------------------------------------------------------------------------------------ - iii -
誌謝---------------------------------------------------------------------------------------------------------------- - iv -
中文摘要----------------------------------------------------------------------------------------------------------- - v -
英文摘要--------------------------------------------------------------------------------------------------------- - vii -
目錄--------------------------------------------------------------------------------------------------------------- - ix -
圖表目錄--------------------------------------------------------------------------------------------------------- - xii -
第一章、 緒論 - 1 -
1.1 研究背景 - 1 -
1.2 研究動機 - 2 -
1.3 研究目的 - 3 -
1.4 研究設計 - 3 -
1.4.1 研究方法 - 3 -
1.4.2 研究流程 - 4 -
1.5 研究限制 - 6 -
第二章、文獻探討 - 7 -
2.1 資訊安全管理學術理論探討 - 7 -
2.1.1 資料真確性保護程度評估手法 - 7 -
2.1.2 制定內部控制目的 - 8 -
2.1.3 Integrity名詞中譯的探討 - 11 -
2.2 金融業資訊安全相關基本法令及行政規章說明 - 11 -
2.2.1 銀行內部控制及稽核制度實施辦法 - 12 -
2.2.2 金融機構辦理電子銀行業務安全控管作業基準 - 12 -
2.2.3 電腦處理個人資料保護法 - 20 -
2.3.4 金融業個人資料檔案安全維護計劃標準 - 22 -
2.2.5 個人網路銀行業務服務定型化契約範本 - 23 -
2.2.6 網路銀行業務參考查核項目 - 26 -
2.2.7 電子簽章法 - 28 -
2.2.8 金融控股公司及其子公司自律規範 - 30 -
2.2.9 發卡及收單機構內部安檢稽核作業範本 - 32 -
2.2.10 公開發行公司建立內部控制制度處理準則 - 34 -
2.2.11 金控公司建置資料庫有關保密義務相關規範 - 38 -
2.3 資訊安全管理系統(ISMS)要求事項簡介 - 38 -
2.3.1 過程導向(process approach) - 39 -
2.3.2 適用範圍(scope) - 40 -
2.3.3 引用標準(normative references) - 41 -
2.3.4 用語和定義(terms and definitions) - 41 -
2.3.5 建立與管理ISMS(establishing and managing the ISMS) - 43 -
2.3.6 文件管制(control of documents) - 47 -
2.3.7 管理階層責任(management responsibility) - 48 -
2.3.8 ISMS內部稽核(internal ISMS audits) - 49 -
2.3.9 ISMS之管理階層審查(management review of the ISMS) - 50 -
2.3.10 ISMS之改進(ISMS improvement) - 50 -
2.4 CNS 27001/ISO 27001控制目標與控制措施說明 - 52 -
2.5 信用卡業務流程 - 69 -
第三章、個案公司簡介 - 72 -
3.1 資訊安全政策說明 - 72 -
3.2 資訊內部作業控制程序及規章辦法說明 - 75 -
3.3 BS 7799導入過程 - 77 -
3.3.1 緣由 - 77 -
3.3.2 導入步驟 - 77 -
3.3.3 導入心得 - 78 -
第四章、協助個案公司換證之研究 - 80 -
4.1 BS 7799適用性聲明(SOA) - 80 -
4.2 以往BS 7799查核發現(AUDITING FINDING) - 102 -
4.3 ISO 27001與BS 7799差異分析 - 114 -
4.3.1 新舊標準文件差異及過渡期說明 - 114 -
4.3.2 新舊標準控制措施比較 - 115 -
4.4 ISO 27001適用性聲明(SOA) - 125 -
4.5 標準作業程序及規章辦法配合修訂 - 150 -
4.6 高風險資料真確性保護程度評估 - 152 -
4.6.1 資料真確性查檢表的引用及調整 - 153 -
4.6.2 個案公司高風險資料真確性評估結果 - 153 -
4.6.3 個案公司潛在風險發現及防範措施 - 162 -
4.7 ISO 27001換證申請程序 - 163 -
第五章、結論與未來研究方向 - 167 -
5.1 結論 - 167 -
5.2 未來研究方向 - 168 -
中文參考文獻 - 171 -
英文參考文獻 - 174 -
附錄 - 175 -
一、個案公司資訊安全政策 - 175 -
二、資安人雜誌專訪個案公司資料 - 179 -
[1]黃景彰(民90)。資訊安全-電子商務之基礎(初版)。台北:華泰文化。
[2]黃景彰(民95.12)。用心實現安全的承諾。余俊賢,威脅分秒現固本應萬變。2007資安趨勢論壇,台北。
[3]蔡篤村(民85)。資訊管理部控制與稽核(初版)。台北:富春文化。
[4]徐廣寅(民92)。資訊安全管理導論(初版)。台北:金禾資訊。
[5]廖耕億,黃景彰(民87)。Integrity名詞中譯的探討。資訊安全通訊,第四卷第二期,92~95頁。
[6]台灣金融研訓院(民95)。銀行內部控制與內部稽核(初版)。台北:台灣金融研訓院。
[7]台灣金融研訓院(民95)。銀行內部控制與內部稽核法規輯要(初版)。台北:台灣金融研訓院。
[8]經濟部標檢局(民91)。銀行及相關資訊服務業-資訊安全指引(CNS 14644)。台北:經濟部標準檢驗局。
[9]經濟部標檢局(民91)。資訊技術-資訊安全管理系統作業要點(CNS 17799)。台北:經濟部標準檢驗局。
[10]經濟部標檢局(民91)。資訊技術-資訊安全管理系統規範(CNS 17800)。台北:經濟部標準檢驗局。
[11]經濟部標檢局(民95)。資訊技術-資訊安全管理系統-要求事項(CNS 27001)。台北:經濟部標準檢驗局。
[12]銀行內部控制及稽核制度實施辦法(民94修正發布)。
[13]中華民國銀行商業同業公會(民96)。金融機構辦理電子銀行業務安全控管作業基準。台北:銀行公會。
[14]財政部金融局(民85)。金融業個人資料檔案安全維護計劃標準。台北:財政部。
[15]陳連枝(民92)。國內金融控股公司資訊安全管理系統之探討-以M公司為例。未出版之碩士學位論文,長庚大學,林口。
[16]行政院金融監督管理委員會網站(民96)。組織架構。http://www.fscey.gov.tw/ct.asp?xItem=1833573&CtNode=2120&mp=2
[17]電腦處理個人資料保護法(民84年公布)。
[18]電子簽章法(民90公布)。
[19]法務部-全國法規資料庫網站(民85)。金融業個人資料檔案安全維護計劃標準。http://law.moj.gov.tw/Scripts/Query4A.asp?FullDoc=all&Fcode=G0380076
[20]財政部金融局(民90)。金融控股公司及其子公司自律規範。台北:財政部。
[21]財政部金融局(民92)。發卡及收單機構內部安檢稽核作業範本。台北:財政部。
[22]行政院金融監督管理委員會-金融法規全文檢索查詢系統網站(民95)。個人網路銀行業務服務定型化契約範本。http://law.banking.gov.tw/Chi/FLAW/FLAWDAT0202.asp
[23]財政部金融局(民92)。網路銀行業務參考查核項目。台北:財政部。
[24]行政院金融監督管理委員會(民93)。金控公司建置資料庫有關保密義務相關規範。台北:金管會。
[25]挪威商立威恩驗證(股)台灣分公司( Det Norske Veritas, DNV)(民94)。ISO 27001:2005標準轉換課程講義。台北:DNV。
[26]蒲樹盛(民94.11)。ISMS資訊安全管理系統BS7799-2/ISO27001:2005國際標準(新版)介紹。高毅民,如何建立您的優質管理制度。資訊安全暨資訊管理國際發展研討會,台北。
[1]British Standards Institution (2000). Information security management—part 1: Code of practice for information security management. BS 7799-1:2000. BSI.
[2]British Standards Institution (2002). Information security management systems—part2: Specification with guidance for use. BS 7799-2:2002. BSI.
[3]Iternational Organization for Standardization (2005). Information technology-Security techniques-Information security management systems-Requirement. ISO/IEC 27001:2005. ISO.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top