跳到主要內容

臺灣博碩士論文加值系統

(98.82.140.17) 您好!臺灣時間:2024/09/08 08:16
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:黃維鵬
論文名稱:運用ISO/IEC17799建構資訊安全風險管理預警指標
論文名稱(外文):Applying ISO/IEC 17799 to Construct Early Warning Indicators for Information Security Risk Management
指導教授:吳美玉吳美玉引用關係
指導教授(外文):Mei-Yu Wu
學位類別:碩士
校院名稱:中華大學
系所名稱:資訊管理學系(所)
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2008
畢業學年度:96
語文別:中文
論文頁數:90
中文關鍵詞:資訊安全風險管理預警指標ISO/IEC 17799資訊安全管理系統可接受風險等級
外文關鍵詞:Early Warning Indicators for Information Security Risk ManagementISO/IEC 17799Information Security Management SystemAcceptable Risk Level
相關次數:
  • 被引用被引用:0
  • 點閱點閱:299
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
在資訊科技應用普及的年代,企業在面對資訊與網路的高度依賴與營運不可中斷要求下,資訊安全觀念截然成形,但在資訊單位導入資訊安全管理觀念時,企業是否真如預期能達到預期效益,來保護我們企業組織資訊系統安全,要如何評估資訊安全政策管理的落實與資訊安全相關防護措施的運作成效?放眼現今資訊安全的主流重點強調的是由上而下的整體架構,重視的是「管理」而非「技術」,因此企業應該要以一種全新的觀點來建立對於資訊安全的認知。
但是我們可以觀察目前企業有關於資訊安全管理遵循的策略,都是在不完整或是極度缺乏資訊內容下所做決定的,以專家的研究角度來看,企業若可以遵循資訊安全管理相關標準,就可以減輕因不完整資訊引發之困難,標準可以減少選擇的範圍而簡化資訊之供給與需求決策制定的過程,而在風險處理過程中,一旦評估出風險後,即須將不同的風險等級加以定義並決定出可接受風險等級,供決策參考。風險控制之策略,即在於如何將風險降低至可接受風險等級之內。
故本研究是建構資訊安全風險管理預警指標應用研究,我們將應用ISO/IEC 17799、ISO/IEC 27001 資訊安全管理系統(Information Security Management System,簡稱ISMS)建置標準、ISO/IEC 13335 風險管理程序與災後復原程序,再加上美國國家標準安全局資訊技術實驗室(The Information Technology Laboratory,簡稱ITL)之資訊安全風險管理指南相關評核標準,將相關評核項目以加權分數方式為之量化後,加總相關量化分數,再定義相關等級與燈號,我們並提供資訊部門人員與管理者相關資訊與相對應措施參考標準,此研究不但突破以往資訊安全管理評量之思考,對於企業之資訊人員從事企業網路安全預警規劃時,可依本研究結果做基礎進行規劃作業,則可有效減少資訊人員維護建構時間與災後復原時間,本研究最後將以T公司驗證實際案例,此研究將進行相關分析並提出驗證成果,對於T公司資訊人員而言,可依本預警指標結果,可減少T公司資訊人員不論是平時或緊急事件時,在維護或是搶修上進行相關評估及實作之時程,減少所耗費之無謂成本,此結果為本研究所期望之最大之效益。
In the universal information technology era, enterprises are dependent on information and network extremely. Therefore, the information security becomes an important issue. However, if enterprises achieve their expected benefit to protect assets after adopting information security management system becomes another important issue. The trend of information security is a top-down framework. It focuses on “management” rather than “technology”. Therefore, enterprises should use a novel perspective to establish the information security awareness.
However, the great information security management strategies followed by current business were designed under incomplete or extreme lack of information. If enterprises follow related information security management standards, the hard point arised from incomplete information will be abated. Follow standards, the decision process of supply and demand will simplify. In the risk management process, various risk levels should be identified and the acceptance risk levels should be defined. The main purpose of risk control strategies is how to reduce risk to an acceptable level.
The main contribution of this research is to construct the early warning indicators for information security risk management. We apply ISO/IEC 17799 and ISO/IEC 27001 information security management system (ISMS) standards, ISO/IEC 13335 risk managemenr process and disaster recovery process, information security risk management guidelines related assessment criterias proposed by American National Standards Information Technology Laboratory (ITL) to construct the early warning indicators. We quantitate the related assessment criterias and sum the weighted scores. We also define the related classes and lights to achieve easy control for information department staff and manager. This research not only makes a breakthrough on existed information security management criteria but also provides notable efficieny on less maintain and disaster recovery time. Finally, the research adopted T firm as our verified target. We apply the early warning indicators on T firm and analysis the effect. According to the early warning indicators, the maintenance or recovery time will be reduced no matter on peacetime or emergent time for information security staffs in T Firm.
摘 要 I
ABSTRACT III
圖目錄 VIII
表目錄 1
第一章 緒論 2
1.1 研究動機 2
1.2 研究目的 3
1.3 研究方法與流程 5
1.4 研究限制 6
1.5 論文架構 7
第二章 文獻探討 8
2.1 資訊安全管理 8
2.1.1 需要資訊安全管理之理由 8
2.1.2 資訊安全管理範圍 9
2.1.3 資訊安全管理的目的 9
2.2 現行資訊安全管理理論 10
2.2.1 資訊安全定義及目標 10
2.2.2 資訊安全管理理論 11
2.3 資訊安全事件史的變遷 13
2.3.1 資訊安全事件「質」與「量」的變動 13
2.3.2 知名資安事件及其影響 14
2.4 資訊安全事件概述 17
2.4.1 資安事件類型 17
2.4.2 資安事件的威脅 20
2.5 資訊安全管理系統(ISMS)的建置及資訊安全認證導入 20
2.5.1 名詞解釋 21
2.5.2 資訊安全管理系統建立 23
2.5.3 政策的擬定及範圍的界定 24
2.6 資訊安全管理標準與適用範圍 24
2.6.1 ISO/IEC 17799的發展歷程 25
2.6.2 ISO/IEC 17799與 ISO/IEC 27001 比較 26
2.6.3 資安認證導入的效益 28
2.6.4 資訊安全決策的驗證 29
2.7 資訊風險管理相關理論 29
2.7.1 風險管理概述 29
2.7.2 風險管理相關標準 31
2.7.3 風險管理評估 35
2.7.4 風險處理 35
2.7.5 風險管理之方法論 37
2.7.6 資訊安全風險成本計算 40
2.7.7 減輕風險損失效益成本計算 40
2.8 綜合結論 42
第三章 建置資訊安全風險管理預警指標 43
3.1 本研究採用之方法學 43
3.2 建立檢測評核要項表 44
3.3 評核結果與問題檢討 45
3.4 建置資訊安全風險管理預警指標之規劃與設計 46
3.4.1 資訊安全風險管理預警指標規劃與設計步驟 47
3.4.2 資訊安全風險管理預警指標相關定義 49
3.5 建立驗證公司資訊安全風險管理預警指標評分加權子項目 50
3.5.1 驗證公司T公司簡介 50
3.5.2 T公司現有資訊安全產品及其資訊安全政策介紹 51
3.5.3預警指標評核子項目與加權計分標準 54
3.6 建立預警指標相對應決策與措施 57
第四章 ISPLLI實作探討與效益比較 58
4.1 T公司導入ISPLLI前狀況介紹 58
4.1.1 未導入ISPLLI事件一 58
4.1.2 未導入ISPLLI事件二 58
4.2 T公司導入ISPLLI之預期效益 58
4.2.1 導入ISPLLI事件一成效評估 58
4.2.2 導入ISPLLI事件二成效評估 62
第五章 結論與未來研究方向 65
5.1 研究結論 65
5.2未來研究方向 66
參考文獻 68
附錄A 檢測預警評核標準要項表 72


圖目錄
圖1.1 台灣地區資訊經費支出結構概況 3
圖1.2 本研究流程圖 6
圖2.1 資訊安全涵蓋的範圍 9
圖2.3 PDCA模型應用在ISMS流程 24
圖2.4 BS 7799的發展歷程 26
圖2.5 資訊安全管理系統風險關係示意 31
圖2.6 風險管理流程 33
圖2.7 ISO/IEC 13335 風險管理程序圖 34
圖2.8 資訊風險分析圖 37
圖2.9 資訊風險評核管理5 大步驟流程圖 38
圖2.10 資訊系統的風險估計9大步驟圖 39
圖2.11 資訊安全藍圖 42
圖3.1 資訊風險管理過程中的有效性之項目 48
圖3.2 資訊風險管理技術的有效性之項目 48

表目錄
表2.1 國內外「資訊安全」定義彙整 10
表2.2 資訊安全管理理論彙總 12
表2.3 垃圾郵件、病毒、非法入侵郵件通報統計 14
表2.4 入侵求助案件 14
表2.5 國內外重大資安事件列表 16
表2.6 十大著名病毒財損表 17
表2.7 美國聯邦調查局與電腦安全協會 CSI/FBI 電腦犯罪調查表 19
表2.8 ISO/IEC 17799 資訊資產分類 22
表2.9 P.D.C.A.說明 23
表2.10 BS 7799 Part 1 及Part 2的差異 25
表2.11 ISO/IEC 17799 與 ISO 27001之比較 27
表2.12 ISO/IEC 17799與ISO/IEC 27001管理要項差異表 27
表3.2 預測檢測結果統計 46
表3.3 評核項目與配分分數 48
表3.5 區域網路防禦種類計分標準 48
表3.6 閘道防禦種類計分標準 48
表3.7 內部網路防禦系統計分標準 48
表3.8 警告資訊系統評核計分標準 48
表3.9 資訊部門管理者操作者相對應標準 48
表4.1 2003/8/12事件一ISPLLI系統等級與燈號 48
表4.2 2003/8/12 攻擊事件前後效益比較表 48
表4.3 2008/3/13事件二ISPLLI系統等級與燈號 48
表1 安全政策於檢測預警評核標準要項表 48
表2 組織資訊安全於檢測預警評核標準要項表 48
表3 安全政策資產管理於檢測預警評核標準要項表 48
表4 人力資源安全於檢測預警評核標準要項表 48
表5 實體與環境安全於檢測預警評核標準要項表 48
表6 通訊與作業管理於檢測預警評核標準要項表 48
表7 存取控制於檢測預警評核標準要項表 48
表8 資訊系統取得、開發、及維護於檢測預警評核標準要項表 48
表9 資訊安全事件管理於檢測預警評核標準要項表 48
表10 營運持續管理於檢測預警評核標準要項表 48
表11 營運持續管理符合性於檢測預警評核標準要項表 48
[1] CIO Magazine, Calculating Return on Security Investment, http://www.cio.com/archive/021502/security_sidebar.html,2002.
[2] CERT Statistics, http://www.cert.org/stats/cert_stats.html.
[3] Darrell M. West, Global E-Government Full Report, (HTML file),   http://www.insidepolitics.org/egovt02int.html, 2002.
[4] David P. Gilliam, “Security Risks: Management and Mitigation in the Software Life Cycle”, Proceedings of the 13th IEEE International Workshops on Enabling Technologies,p.3,2004.
[5] D. Ferraiolo and R. Kuhn, “Role-based access control”, 15th NIST-NCSC National Computer Security Conference, 1992.
[6] Eric Maiwald, Network Security:A Beginner's Guide,2nd ed., McGraw-Hill, New York, 2004.
[7] Ernst & Yong LLP, Global Information Security Survey 2003, http://www.ey.com, 2003.
[8] Gary Stoneburner, Alice Goguen, Alexis, “Feringa Recommendations of the National Institute of Standards and Technology”,2002.
[9] ISO, ISO/IEC 13335-1:2004, Information technology — Security techniques —  Management of information and communications technology security — Part1:  Concepts and models for information and communications technology security  management, 2004.
[10] ISO, ISO/IEC 17799:2005 – Information technology – Code of Practice for Information Security Management, 2005.
[11] ISO, ISO/IEC 27001 Information technology – Security techniques – Information Security Management Systems – Requirements, 2005.
[12] ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use in Standards, ISO, 2002.
[13] Karin Hone, J.H.P. Eloff, “Informaton Security Policy – What Do International Information Security Standards Say?”, Computers and Security, Volume 21, Number 5, pp.402-409, 2002.
[14] McDaniel, George, ed., IBM Dictionary of Computing, McGraw-Hill, New York, 1994.
[15] Microsoft Corporation, The Security Risk Management Guide, http://www.microsoft.com/technet/security/guidance/secrisk/default.mspx, 2004.
[16] U.S Symantec Corporation, IT Risk Management Report, Volume 1, February, pp.16-17, 2007.
[17] Wes Sonnenreich, Jason Albanese and Bruce Stout, “Return On Security Investment (ROSI): A Practical Quantitative Model”, International Workshop on Security in Information Systems WOSIS 2005, 2005.
[18] BS7799 導論,上海信息化培訓中心,http://www.information.sh.cn,2005.
[19] Datapro Research Corporation,中小型企業客製化資安維護系列專輯之七-資訊安全的最大威脅-人員安全,https://www.i-security.tw/topic/topic_sg.asp?id=29.
[20] ISO 27001資訊安全管理驗證服務SGS,http://www.tw.sgs.com/zh_tw/iso_27001_2005_information_security_management_system_certification?serviceId=10015755&lobId=27209.
[21] ISO/IEC TR 13335,資訊技術-資訊安全管理的指導原則,經濟部標準檢驗局,2002。
[22] Kaspersky Corporation,網路威脅,http://www.kaspersky.com.tw/.
[23] Microsoft Corporation,Windows Server Update Services (WSUS) 技術文件庫,http://technet2.microsoft.com/windowsserver/zh-cht/library.
[24] TANet 與資訊安全,賴溪松,http://crypto.ee.ncku.edu.tw.
[25] Trend Micro Corp,ESO Weekly Report for enterprise,2005.
[26] Trend Micro Corporation, OfficeScan Client/Server ,http://tw.trendmicro.com/tw/products/enterprise/officescan-client-server-edition.
[27] Trend Micro Corporation ,安全威脅資源中心,http://tw.trendmicro.com/tw/threats/vinfo/general/virus/.
[28] TWCERT,台灣電腦網路危機處理中心, http://www.cert.org.tw/about/.
[29] U. S CA Corporation,CA Global Security Advisor,http://www.ca.com/tw/.
[30] U. S McAfee Corporation,Global Threat Condition,http://www.mcafee.com/tw/.
[31] U.S Symantec Corporation ,網路風險指數,http://www.symantec.com/zh/tw.
[32] 行政院主計處,95 年資訊經費全年支出結構概況報告,http://www.dgbas.gov.tw/public/Attachment/792617263171.xls,2006。
[33] 行政院主計處,95 年遭遇資通安全事件概況報告,http://www.dgbas.gov.tw/public/Attachment/792617281371.xls,2006。
[34] 邱師璇, BS7799 加溫LA人員漸增,資安人科技網,http://www.isecutech.com.tw/feature/view.asp.
[35] 洪國興、趙榮耀,資訊安全管理理論之探討,資管評論,第12期,頁17-47,2002。
[36] 淡江大學資訊管理系,資訊安全,http://mail.im.tku.edu.tw/~yantsung/is.ppt.
[37] 陳兆祺,「導入BS7799 標準對建立資訊安全文化影響之經驗研究-以Y 公司為例」,大同大學資訊經營研究所碩士論文,2004。
[38] 經濟部工業局,風險管理與風險評估概述,http://proj.moeaidb.gov.tw/cpnet/tools/risk_main.htm,2004.
[39] 經濟部標檢局,資訊安全管理系統要求,http://www.bsmi.gov.tw.
[40] 劉聰德、蔡舜智、謝沛宏、劉瑄儀、陳彥豪、許乃文、王靜音,剖析我國資通安全現況及挑戰~資通安全關鍵議題研究,NARL 國家實驗研究室,http://www.narl.org.tw/tw/topic/topic.php?topic_id=19,2004。
[41] 蒲樹盛,組織管理必備技能-風險管理,http://risk.rdec.gov.tw/Upload/A09/CaseFile/33.doc.
[42] 鄭東昇,「資訊安全管理系統與企業網路安全實作探討」,交通大學資訊管理研究所碩士論文,2005。
[43] 趨勢科技2007年資安威脅報告中,趨勢科技,http://tw.trendmicro.com/tw/about/news/pr/article/20071106102537.html,2007。
[44] 樊國楨,ISMS 之驗證、稽核,資安人科技網,http://www.isecutech.com.tw/feature/view.asp?fid=149,2005。
[45] 樊國楨,林樹國,鄭東昇,資訊安全保證框架標準初探:根基於ISO/IEC 17799:2005之12.6.1節,http://ics.stpi.org.tw/Treatise/doc/4.pdf,2005。
[46] 謝惠玲,「資訊安全機制規劃及建置之現況調查與分析-以國內大學校園系統為例」,靜宜大學資訊管理研究所碩士論文,2007。
[47] 瞿鴻斌,「資訊安全風險評估驗證系統」,世新大學資訊管理研究所碩士論文,2005。
[48] 賽迪網,廿年破壞力前十大病毒排名,http://hi.baidu.com/websecurity/blog/item/e9bc71d97f113ae939012f16.html.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top