(3.238.96.184) 您好!臺灣時間:2021/05/12 23:43
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

: 
twitterline
研究生:林碩哲
研究生(外文):Shuo-che Lin
論文名稱:教育體系資訊安全管理系統之導入方法-以資訊機房為例
論文名稱(外文):Education system of information security management systems to import Ways - For the Data Center as an example
指導教授:蕭雅柏蕭雅柏引用關係
指導教授(外文):Ya-po Shiao
學位類別:碩士
校院名稱:明道大學
系所名稱:資訊工程學系碩士班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2009
畢業學年度:97
語文別:中文
論文頁數:139
中文關鍵詞:教育體系資訊安全管理系統風險評鑑資訊機房TIA-942
外文關鍵詞:ISMS、Risk Assessment、Data center、TIA-942
相關次數:
  • 被引用被引用:9
  • 點閱點閱:940
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:250
  • 收藏至我的研究室書目清單書目收藏:0
本研究之方向著重於96年度教育部頒布「教育體系資訊安全管理制度」之導入方法,在新標準上路的第一年,本研究以個案實際導入過的實務經驗,以教育部要求導入之重點,以資訊機房為例,使用美國國家標準協會所訂定之TIA-942規範結合教育體系資訊安全管理制度發展一套適合資訊機房風險評鑑的方法,獲得更切合資訊機房的風險評鑑工具。
故本研究深入探討了教育體系資訊安全管理制度、ISO27005以及資訊機房規範TIA-942等規範,對兩所已導入教育體系資訊安全管理制度的學校之資訊機房進行風險評鑑,藉由風險評鑑的實作與探討,尋求建立屬於資訊機房風險評鑑的方法。本研究發現,利用TIA-942規範作為風險評鑑的方法雖然不同於ISO27005所建議利用情境式的方法,但對於依照資訊機房的實體與環境安全來評估風險是相當具有可靠性,雖然評鑑的範圍與步驟有些許不同,但是都能夠有效地評鑑出資訊機房的風險,且滿足了ISO27005在風險評估上「利用多種風險評估方法進行分析」的安全性建議。
本研究在嘗試籍由教育體系資訊安全管理制度結合TIA -942規範後,建構出了半定量性的資訊機房風險評鑑模式,經由此模式的建立,與實際案例的導入驗證其可行性,最終確立此一模式能夠提供後續教育體系單位在導入資訊安全管理制度時,在資訊機房的風險評鑑上能夠有一套增進資訊機房風險評鑑可靠性的方法。
The direction of this research is focused on how to conduct “Educational System of Information Security Management System” into methods, which is promulgated by Education Ministry on annuals 96. As the new standard begins to implement at the 1st year, we will take actual actions.For example, Education Ministry will request to import a main Data Center that is based on American National Standards Institute which is stipulated a specification of TIA-942 and develop an appropriate method of Risk Management and Evaluation for the Data Center; then, we can process a better survey tools for the Data Center.Therefore,the research method is according to Educational System of Information Security Management combined with specification TIA-942. With establishment of the model and verify its feasibility of insertion on real cases, we anticipate to provide conducting a Education System unit for those people who tried or be trying to.
第一章 緒論 1
1.1背景與動機 1
1.2目的 2
1.3研究架構 3
第二章 文獻探討 5
2.1 資訊安全之定義 5
2.2資訊安全管理規範 8
2.2.1 資訊安全規範BS7799 8
2.2.2 資訊安全規範與政府機關 9
2.3.3 資訊安全規範與教育體系 11
2.3 教育體系資訊安全管理制度 13
2.3.1 規範緣起 14
2.3.2 規範範圍 14
2.3.3 建置架構 16
2.4資訊安全風險管理 17
2.4.1 NIST SP 800-30的風險評鑑方法 18
2.4.2 AS/NZS 4360的風險管理標準 19
2.4.3 ISO 27005的風險評鑑方法 20
第三章 研究方法 23
3.1研究目的 23
3.2研究步驟 23
3.3風險管理 25
3.3.1 鑑別風險 26
3.3.2 鑑別所有相關資產 27
3.3.3 確定資產價值 27
3.3.4 定義可接受風險之等級 32
3.3.5 風險分析 33
3.4 機房標準TIA-942 34
3.4.1 TIA-942標準介紹 34
3.4.2 資訊機房標準TIA-942之風險評鑑模式 37
第四章 個案研究 50
4.1個案研究-以M大學為實例 50
4.1.1個案背景 50
4.1.2風險評鑑 52
4.1.3資訊資產辨識 52
4.1.4資訊資產價值評估 55
4.1.5 風險值計算 57
4.1.6 風險評鑑結果分析 60
4.2個案研究-以K科技大學為實例 64
4.2.1個案背景 64
4.2.2風險評鑑 65
4.2.3資訊資產辨識 65
4.2.4資訊資產價值評估 67
4.2.5 風險值計算 69
4.2.6 風險評鑑結果分析 73
4.3.個案分析 76
4.3.1 差異分析 77
4.3.2個案風險改善建議 79
4.4小結 80
第五章 結論與建議 83
5.1結論 83
5.2未來研究方向 84
附錄A ISO27001與教育體系版之比較 85
附錄B威脅及弱點評估表 91
附錄C TIA-942 ANNEX G 117
附錄D 個案學校之情境式風險彙整表 134
參考文獻 136
1.黃亮宇(1994),資訊安全規劃與管理,松崗電圖書資料股份有限公司。
2.行政院(2001),建立我國通資訊基礎建設安全機制計畫,行政院資通安全會報。(2009.6.16 search) www.cga.gov.tw/sea/doc/p12_4.pdf
3.張偉斌(2001),「網路資訊安全諮詢服務系統之研究」,國立台北科技大學商業自動化與管理研究所,碩士論文。
4.林勤經、樊國楨、方仁威、黃景彰(2002),“資訊安全管理系統建置工作之研究”,資訊管理研究第四卷第二期,17-22。
5.樊國楨(2003),資通安全專輯之十-資訊安全管理系統與稽核,國家科技實驗研究院,36-127。
6.李順仁(2003),資訊安全,文魁資訊股份有限公司。
7.楊峻榮(2004),以風險評估方式規劃校園資安機制,台南區域網路中心93年度研討會。(2009.6.16 search) tnrc.ncku.edu.tw/course/93/930823-4.pdf
8.汪耀華(2004),「國立大學資訊安全管理之研究」,國立臺灣師範大學教育學系在職進修碩士班,碩士論文。
9.賴溪松(2006),校園資訊安全認知,成功大學。(2009.6.16 search) www.cc.kyu.edu.tw/deta/95/200706054.pdf
10.教育部(2006),TANET連線學校資通安全管理規範計劃。(2009.6.16 search) www.nii.org.tw/tanet/event/
11.黃 鍇(2006),《新一代資訊機房基礎設施建設的理念與策略》,《機房技術與管理》2006年第5期,122-132。
12.黃 鍇(2006),《對資訊機房TIA-942標準的理解與實踐》,《機房技術與管理》2006年第6期,117-125。
13.郭耀煌(2006),國內教育環境的資安挑戰與對策,iSecuTech 2006 資訊安全論壇,SecuTech,台北國際會議中心。(2009.6.16 search) www.cc.ncnu.edu.tw/icsst/laws/edu-env-IS-policy-educc.pdf
14.教育部(2007),「教育體系資通安全管理規範」,提升校園資訊安全服務計劃。(2009.6.16 search) www.edu.tw/files/site_content/b0089/ediisms-960530v1_1.doc
15.謝惠玲(2007),資訊安全機制規劃及建置之現況調查與分析-以國內大學校園系統為例,靜宜大學資訊管理學系,碩士論文。
16.NII產業發展協進會(2007),資訊風險評鑑課程,TANet網路中心導入資訊安全管理制度資訊安全專業人才培訓計畫。(2009.6.16 search) www.nii.org.tw/tanet/docs/資訊風險評鑑.pdf
17.NII產業發展協進會(2007),風險管理課程,TANet網路中心導入資訊安全管理制度資訊安全專業人才培訓計畫。(2009.6.16 search) http://www.nii.org.tw/tanet/docs/風險管理.pdf
18.教育部電子報(2008),第258期。(2009.6.16 search) http://epaper.edu.Tw /epaper
19.魯君禮(2008),ISO27001資訊安全管理系統輔導說明,NII產業發展協進會,東海大學。
20.行政院主計處(2008),96 年電腦應用概況報告,行政院主計處。(2009.6.16 search) www.dgbas.gov.tw/imc61/
21.行政院資通安全會報(2009),(2009.6.16 search) www.nicst.nat.gov.tw/content/application/nicst/orgnization/guest-cnt-browse.php?cnt_id=3
22.教育部資訊安全服務網(2009),(2009.6.16 search) cissnet.edu.tw/iscb01.aspx
23.Drazin, R. and Van de Ven, and A. H.(1985), “Alternative Forms of Fit in Contingency Theory”, Administrative Science Quarterly, Vol. 30, pp. 514-539.
24.Rusell, D. & Gangemi, G.T.(1992), Computer Security Basics, California, U.S.A., O’Reilly & Associates, Inc.
25.BritishStandards Institution(1999), BS 7799-1 Information Security Management-Part 1:Code of Practice for Information Security Management.
26.British Standards Institution(1999), BS 7799-2 Information Security Management-Part 2:Specification for Information Security Management System.
27.Flynn, N. L.(2001),“The e Policy Handbook:Designing and Implementing Effective E-Mail, Internet,and Software Policies”, New York: American Management Association.
28.ISO(2001) Information Technology- Guidelines for the Management of IT Security Part 1-5, ISO/IEC TR 13335 (All Parts), ISO, Geneva.
29.Jay Heiser(2003), ”A risky business”, Telecomm- unications International, Nov.2003,pp. 242-253.
30.Katz,FH(2005).The effect of a university information security survey on instructing methods in information security. In: Proceedings of the second annual conference on information security curriculum development; 2005. p. 43–68.
31.ANSI/TIA-942(2005), 《Telecommunications Infrastructure Standard for Data Centers》, American National Standards Institute。
32.ISO(2005), ISO/IEC 27001 Information technology -- Security techniques – Information security management systems – Requirements.
33.ISO(2007), ISO/IEC 27002 Information technology - Code of practice for information security management.
34.ISO(2008), ISO/IEC 27005 Information technology -- Security techniques – Information security risk management.
35.British Standards Institution (2009) Standards and Publications . (2009.6.16 search) www.bsi-global.com/en/Standards-and-Publications/About-BSI-British-Standards/History/
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔