跳到主要內容

臺灣博碩士論文加值系統

(18.97.9.170) 您好!臺灣時間:2024/12/11 05:21
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:曾詩郁
論文名稱:台灣資訊安全風險管理暨保險之研究
指導教授:林建智林建智引用關係
學位類別:碩士
校院名稱:國立政治大學
系所名稱:經營管理碩士學程(EMBA)
學門:商業及管理學門
學類:企業管理學類
論文種類:學術論文
畢業學年度:96
語文別:中文
論文頁數:130
中文關鍵詞:資訊安全風險管理資訊安全保險商品
外文關鍵詞: ISO 13335
相關次數:
  • 被引用被引用:3
  • 點閱點閱:622
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:3
為了因應日新月異的新型態資安事件,企業們紛紛投注相當資源於資訊安全系統的建構/資訊風險的管理,但是在外部技術環境快速變化等諸多變數的不確定下,仰仗風險移轉機制,適切地將風險透過保險轉移至保險業者似乎是較合宜的選擇。何以企業們仍傾向強化風險控制、持續加強資訊安全技術層面,因此本研究擬藉由介紹國際暨台灣資訊安全發展狀況,瞭解資訊安全管理及其衍生之風險管理現況;根據前述現況分析,進一步探討在資訊安全領域中風險工具與風險管理學理之關聯性,並透過訪談相關業者,希冀透過探討資訊安全保險供給暨需求落差,提供既存風險工具之實務意涵。
本研究發現被國際社會廣泛採用之ISO 13335資訊安全管理系統,其風險概念暨管理模組,係奠基於一般風險管理學理:在風險概念方面,係採納『風險因素導致風險事故,進而對風險標的物肇生損失』之概念,並強化資產脆弱點之重要性,藉以強調在疆域尚且不明的資訊安全領域裡,相關從業人員惟有透過持續不輟地辨識、分析暨處理新型態的威脅等諸多要素,才有逐步積貯相關知識,進一步為未來完善資訊安全管理奠下基礎;在風險管理方面,一般風險管理學理用以確認風險因素、風險事件及風險標的物之風險鑑定階段,恰可與ISO 13335中資訊界限制定、資產識別及威脅評估等步驟相呼應,由此可知ISO 13335係採用一般風險管理學理概念而來,自不待言。
透過訪談相關業者,本研究發現資訊安全保險供給與需求存在下述特點:
 保險業者與資訊安全需求業者對資訊價值之認定不同。
 保險商品在市場上被視為行銷工具,而非實質風險移轉機制。
 保險業者缺乏客觀的標準可供遵循。
 資訊安全涵蓋範圍廣泛,非單一風險移轉機制即可。
 資訊安全需求業者對資訊價值之認定會因情境而改變。
 供應者與需求者對保險商品在風險移轉上之定位有不同認知。
由此,本研究建議主管機關、保險業者及從事/利用電子商務之組織可參酌下述各點採取行動,藉此逐步完善國內有關電子商務之保險商品市場:
 主管機關方面,宜制訂資安規範、訂定處罰條款,並核發執照於公正的認證/稽核單位。
 保險公司方面,宜尋找第三方公正單位參與承保範圍之釐清、與被保險人簽訂保密協定、並擬訂資訊安全防護評定等級制度。
 電子商務之企業/組織,宜教育內部、根據認證機構管理原則ISO 27005、並運用科技化的資安設備,強化企業自主防護能力。
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 2
第三節 研究流程與架構 3
第四節 研究方法 5
一、調查研究法 5
二、研究設計 5
第五節 文獻探討 6
一、資料、資訊及資訊安全 6
二、風險管理 8

第二章 資訊安全現狀介紹 9
第一節 國際資訊安全認證現況 9
第二節 台灣資訊安全認證現況 12
第三節 資訊安全風險管理之介紹 14
一、ISO 27001資訊安全管理認證系統 15
二、ISO 27005資訊安全風險管理簡述 21

第三章 資訊安全風險管理探討 25
第一節 資訊安全風險管理之概述 25
第二節 資訊界限制定暨資產識別 31
一、資訊界限制定 31
二、資產識別 31
第三節 資訊安全風險之分析 32
一、資產價值評估 32
二、資產依存關係之建立 34
三、威脅評估 35
四、脆弱性評估 36
五、目前/計劃中保護措施之識別 39
六、風險評估 40
第四節 資訊安全風險工具之選擇 40
一、防護措施之識別 41
二、資訊科技安全架構 43
三、各種限制條件之識別/回顧 45
第五節 資訊安全風險管理執行與探討 46
一、風險概念與ISO 13335風險概念之比較 46
二、風險管理與ISO 13335風險管理之比較 52
第六節 小結 56

第四章 台灣資訊安全之保險相關商品-以「電子商務綜合保單」為例 58
第一節 電子商務綜合保單之介紹 58
第二節 訪談設計 61
第三節 訪談紀要 62
一、Z保險公司訪談紀要 62
二、T金控公司訪談紀要 64
三、C軟體公司訪談紀要 66
第四節 訪談內容之探討 68
第五節 小結 74

第五章 研究結論與建議 77
第一節 研究結論 77
第二節 建議 78

參考文獻 81
《附錄一》訪談內容 83
《附錄二》Z公司電子商務綜合保險 111
(一)中文文獻
[1]. 宏瞻資訊股份有限公司 編製(2005),「風險評鑑與風險管理實務課程」。
[2]. 許鎮麟(2004),「電子商務保險之研究」,私立淡江大學保險學系保險經營碩士班,碩士學位論文。
[3]. 李慧蘭(2006),「國際資訊安全標準ISO 27001之網路架構設計-以國網中心為例探討風險管理」,台灣網際網路研討會。
[4]. 胡宜仁,許鎮麟(2005),「電子商務保險析論」,保險實務與制度第4卷第2期,臺北。
[5]. 台灣賽門鐵克股份有限公司 編製(2007),「IT風險管理報告」。
[6]. 台灣賽門鐵克股份有限公司 編製(2008),「IT風險管理報告第二部:迷思與現實」。
[7]. 湯宗泰、劉文良(2008),「資訊管理概論WEB 2.0思維」,臺北:學貫行銷股份有限公司。
[8]. 經濟部標準檢驗局 編製(2006),「ISO 27001:2005資訊安全管理系統要求」。
[9]. 行政院國家科學委員會科學技術資料中心 編製(2002),「資通安全專輯之十:資訊安全管理系統與稽核」。
[10]. 財團法人國家實驗研究院科技政策研究與資訊中心 編製(2005),「資通安全專輯之二十:資安法規與政策管理」。
[11]. 凌氤寶、康裕民、陳松森 合著(2006),「保險學:理論與實務」,臺北:華泰文化。
[12]. Kenneth C. Laudon、Jane P. Laudon合著,周宣光譯(2007),「管理資訊系統-管理數位化公司」,臺北,東華書局。
[13]. 劉興華(2008),「資訊安全風險管理(ISO/IEC FDIS 27005)議題初探」,堅實我國資訊安全管理系統稽作業相關標準系列討論會之25。
[14]. 經濟部標準檢驗局 編製(2005),「資訊技術-資訊技術安全管理指導綱要-第1部:資訊技術安全概念與模型」。
[15]. 經濟部標準檢驗局 編製(2005),「資訊技術-資訊技術安全管理指導綱要-第3部:資訊技術安全管理之技術」。

(二)英文文獻
[1]. ISO/IEC 13335-3 Information technology — Guidelines for the management of IT Security — Part 3: Techniques for the management of IT Security
[2]. ISO/IEC 13335-1 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security
[3]. Solms R.V. (1999), “Information security management: why standards are important,” Information Management & Computer Seurity, 7(1), pp. 5-5(1).
[4]. Kwok, L.F. and Longley, D. (1999), “Information security management and modeling,” Information Management & Computer Seurity, 7(1), pp. 30-39.
[5]. Evan E. Anderson and Joobin Choobineh (2008),”Enterprise information security strategies,” Computer & Security, 27(1-2), pp. 22-29.
[6]. Basie von Solms (2006), “Information Security- The Fourth Wave,” Computer & Security, 25(3), pp.165-168.
[7]. Etti Baranoff (2003), “Risk Management and Insurance”, Wiely.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top