跳到主要內容

臺灣博碩士論文加值系統

(3.235.227.117) 您好!臺灣時間:2021/08/01 22:01
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:劉佳勳
研究生(外文):Chia-Hsun Liu
論文名稱:導入資訊安全管理系統之績效衡量架構-以國家研究單位為例
論文名稱(外文):Performance Measurement Framework for Introducing Information Security Management System to the National Research Unit
指導教授:陳欽雨陳欽雨引用關係
指導教授(外文):Chin-Yeu Chen
學位類別:碩士
校院名稱:世新大學
系所名稱:企業管理研究所(含碩專班)
學門:商業及管理學門
學類:企業管理學類
論文種類:學術論文
論文出版年:2009
畢業學年度:97
語文別:中文
論文頁數:90
中文關鍵詞:資訊安全管理系統層級分析法績效衡量
外文關鍵詞:Information Security Management SystemAnalytic Hierarchy ProcessPerformance Measurement
相關次數:
  • 被引用被引用:2
  • 點閱點閱:401
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
  本研究在探討影響政府機關導入資訊安全管理系統的因素,並設計及發展資訊安全管理系統的績效衡量架構。研究方法採用文獻回顧及專家問卷法進行資料蒐集,並應用層級分析法進行評估指標及題項權重分析。研究發現導入資訊安全管理系統之影響因素中,以「獲得上級授權程度、建立整體成員共識、獲得管理階層的承諾與支持、制定良好之審查存取控制政策、充足的專業知識及良好的員工配合度」等因素最為重要;而導入資訊安全管理系統評估架構,可分成六大構面共包含29個評估指標,其中依序以「風險管理、持續性管理及安全政策」三大構面所占的權重最高;而在29個評估指標中,依重要程度排序為「制定資訊安全風險控制措施、定期記錄影響系統安全弱點機制、資訊設備管理機制的完整性、擁有完整的災難復原計劃及資訊安全事件的回報機制」為最重要;另針對三個國家研究單位實證研究後發現,整體而言A單位之總體績效最佳,其在「安全政策及存取控制」部分表現明顯優於B及C單位,而B單位在「人員安全」部分表現較A及C單位為優,至於C單位則在「風險管理、持續性管理及資訊資產管理」部分較具優勢。本研究結果可作為公民營機構資管部門建構資訊安全管理系統績效衡量架構之參考。
  The current study explored the influential factors and developed a framework for introducing the information security management system (ISMS) to the national research units. The hierarchical structure of indices and items for evaluating the ISMS performance were developed by adopting the methods of literature review, expert questionnaire, and analytic hierarchy process. After completing analysis, the study designed an ISMS performance measurement framework that included 6 dimensions and 29 items. The result implied that three dimensions of safety policy, risk management, and continuous management were most important since they had the highest weights among all ISMS factors. Hence, if the government units want to implement an ISMS, they need to emphasize the critical impacts of safety policy, risk management, and continuous management. Moreover, three National Research Units were subjectively chosen to evaluate their ISMS performance using the proposed framework. The evaluation results showed that overall speaking, Unit A had the best performance than Units B and C, especially for the factors of safety policy and access controlling. But, Unit B had better performance in the item of human safety than other units, and Unit C had better performance in risk management, continuous management, and information properties management. The findings could provide the public or private institutions as a reference tool for developing the mechanism and the standard process for evaluating ISMS performance.
中文摘要
ABSTRACT
目 次
表 次
圖 次
第一章 緒 論
 第一節 研究背景
  一、資訊安全管理之現況
  二、國家資訊安全之現況
 第二節 研究動機
 第三節 研究問題
  一、資訊安全管理系統之影響因素
  二、資訊安全管理系統績效衡量
 第四節 研究目的
 第五節 研究重要性
第二章 文獻回顧
 第一節 資訊安全管理問題及防護措施
  一、資訊安全問題
  二、資訊安全防護計畫
  三、資訊安全管理措施
 第二節 資訊安全系統內容及範圍
  一、資訊安全管理系統概述
  二、資訊安全管理系統範圍
 第三節 資訊安全管理系統的影響因素及導入過程
  一、建置資訊安全管理系統之目標
  二、建置資訊安全管理系統之流程
 第四節 資訊安全系統績效衡量架構與指標
 第五節 小結
第三章 研究方法
 第一節 研究範圍與對象
  一、研究範圍
  二、研究對象
 第二節 研究方法
  一、AHP基本假設
  二、AHP法之計算程序
 第三節 研究步驟
 第四節 研究架構
 第五節 研究變數定義與衡量
 第六節 問卷設計
第四章 研究結果
 第一節 基本資料分析結果
 第二節 描述統計分析結果
 第三節 AHP分析結果
  一、層級分析法問卷發放與回收
  二、層級分析法問卷結果分析
  三、資訊安全系統績效衡量評估模式建立
 第四節 個案評量分析結果
 第五節 管理意涵
第五章 結論與建議
 第一節 研究總結
  一、導入資訊安全管理系統之影響因素
  二、資訊安全管理系統之績效衡量評估指標
 第二節 研究限制
 第三節 實務建議
 第四節 後續研究建議
參考文獻
附錄一
附錄二
1.UL通訊,2006,〈資訊系統安全管理標準-ISO/IEC 27001〉,《通訊雜誌》,第17期,【線上資料】,http://www.ul.com.hk/b5/news_nl/2006-Issue17/page6.htm,2008/11/1。
2.中國國家標準,《CNS 17799資訊技術-資訊安全管理的實施要則》,台北市:經濟部標準檢驗局。
3.方鴻春,2004,〈企業建置資訊安全管理系統(ISMS)之平衡績效指標研究-以個案單位為例〉,國立台灣科技大學工業管理系碩士論文,未出版。
4.王百川,2003,〈資訊安全管理系統的導入與管理模式之研究〉,中國文化大學資訊管理研究所碩士在職專班碩士論文,未出版。
5.行政院,2002,《資訊安全管理系統(ISMS)建置手冊》,台北市,行政院資通安全會報技術服務中心。
6.行政院,2007,〈政府資安作業共通規範〉,【線上資料】,http://www.giscc.org.tw,2008/11/1。
7.行政院主計處,1999,《行政院及所屬各機關資訊安全管理要點》,台北:行政院。
8.行政院研考會,2007,《電子化政府96年度報告書》,台北:行政院。
9.行政院研考會,1999,《行政院及所屬各機關資訊安全管理規範》,台北市:行政院研究發展考核委員會。
10.行政院研考會,2005,《行政院及所屬各機關資訊安全管理規範》(修訂草案),台北市:行政院研究發展考核委員會。
11.行政院研考會,2008,《建立我國通訊資訊基礎建設安全機制計畫(94至97年)》,台北市:行政院研究發展考核委員會。
12.吳啟文,2008,〈政府資安不打烊-國家資通安全技術服務與防護管理〉,《研考雙月刊》,第32卷第1期,頁49-56。
13.李順仁,2007,《資訊安全》(再版),台北市:文魁資訊。
14.杜偉欽,2005,〈結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究〉,國立成功大學工程科學系研究所碩士論文,未出版。
15.英國標準協會(BSI),2004,來源︰http://www.xisec.com/。
16.侯皇熙,2004,〈植基於BS7799探討政府部門的資訊安全管理-以海關資訊部門為例〉,國立成功大學工程科學系在職專班碩士論文,未出版。
17.柯雅娟,2007,〈我國政府機關導入資訊安全管理系統之績效評估指標研究〉,國立台灣科技大學資訊管理系碩士論文,未出版。
18.張詠翔,2004,〈結合BS7799與資訊安全藍圖建構資訊安全評估機制之研究〉,銘傳大學資訊管理學系碩士在職專班碩士論文,未出版。
19.張榮庭,2005,〈台灣企業對資訊安全之採用:產業別及資訊化程度對其之影響〉,國立成功大學博士論文,未出版。
20.莊美如,2005,〈全國性預防接種資訊管理系統績效指標之建構〉,國立中正大學資訊管理研究所碩士論文,未出版。
21.陳正昌、張慶勳,2007,《量化研究與統計分析》(再版),台北:新學林。
22.陳連枝,2002,〈國內金融控股公司資訊安全管理系統之探討〉,長庚大學企業管理研究所碩士論文,未出版。
23.陳韻雯,2004,〈以AHP法探討ERP 績效衡量指標之權重〉,國立中央大學資訊管理學系碩士論文,未出版。
24.曾國雄、鄧振源,1989,〈研究生選課行為之研究:多屬性效用理論之應用〉,發表於「中華民國第四屆科學教育學術研討會論文彙編」,師範大學,台北。
25.資策會MIC,資通安全服務市場現況調查分析,來源︰http://mic.iii.org.tw/intelligence/。
26.楊金炎,2000,〈企業內部控制有關資訊系統與安全的個案研討〉,中原大學資訊管理研究所碩士論文,未出版。
27.經濟部,2002,《資訊技術-資訊安全管理系統規範(CNS 17800 / CNS 17799)》,台北市:經濟部標準檢驗局。
28.經濟部,2002,《資訊技術-資訊安全管理的作業要點》,台北市:經濟部標準檢驗局。
29.雷誠久,2006,〈醫院資訊安全管理系統之探討〉,國立東華大學資訊工程學研究所碩士論文,未出版。
30.廖金城,2007,〈電子製造業資訊安全評估機制之研究〉,世新大學資訊管理學研究所碩士論文,未出版。
31.劉永禮,2002,〈以BS 7799資訊安全管理規範建構組織資訊安全風險管理模式之研究〉。元智大學工業工程與管理學系碩士論文,未出版。
32.鄭東昇,2005,〈資訊安全管理系統與企業網路安全實作探討〉,國立交通大學管理學院研究所碩士論文,未出版。
33.蕭光妤,2005,〈根據組織學習觀點探討資訊安全系統導入-以公務單位為例〉,長庚大學資訊管理研究所碩士論文,未出版。
34.趨勢科技,2007,〈資訊竊取威脅驚人,兩年擴散逾五倍〉,《資訊傳真雜誌》,4月號,【線上資料】,http://cpro.com.tw/channel/news/content/?news_id=54662,2008/11/1。
35.蘇友章,2004,〈應用AHP模式探討資訊安全決策選擇之研究〉,樹德科技大學資訊管理研究所碩士論文,未出版。
36.蘇珠香,2003,〈政府機關網站資訊安全之檢討與加強措施〉,《清流月刊》, 3月號,頁1-5。

(二) 英文部份
1.Albrechtsen E. 2006, “A Qualitative Study of Users’ View on Information Security.” Computers and Security, 25: 445-451.
2.Alandwani Adel M. 2002, “An integrated performance model of information system projects” JMIS, 19(1): 185-210.
3.Anderson R. 2001, “Why Information Security is Hard: An Economic Perspective.” Proceedings of 17th Annual Computer Security Applications Conference, 358- 365.
4.Baskerville R. 1993, “Information Systems Security Design Methods: Implications for Information Systems Development.” ACM Computing Surveys (CSUR), 25 (4): 375-414.
5.Belcher L. W. and Watson H. 1993, “Assessing the value of Conoco’s EIS,” MIS Quarterly”, 239-253.
6.BSI. 2000, “Information Technology-Code of Practice for Information Security Management.” BS ISO/IEC 17799: 2000; BS 7799-1: 2000.
7.BSI. 2002, “Information Security Management Systems-Specification with Guidance for Use.” BS 7799-2: 2002.
8.Chan Y., Huff S. L. and Barclay D.W. 1990, Frameworks for Identifying SIS Opportunities-A Crtique”, Canada: ASAC Whistler.
9.Coles R.S. and Moulton R. 2003, "Applying information security governance.", Computers & Security,.22(7):580-584.
10.DeLone W.H. and McLean E.R. 1992, “Information Systems Success: The Quest for the Dependent Variable,” Information Systems Research, 3 (1) : 60-95
11.Dhillon G. and Backhouse J. 2000, “Technical Opinion: Information System Security Management in the New Millennium.” Communications of the ACM, 43 (7): 125-128.
12.Elliot R. K. and Jacobson P. D. 2002, “Costs and benefits of business information disclosure” Accounting Horizon, December, 80-96.
13.Eloff M. M. and Von Solms S. H. 2000, “Information Security Management: A Hierarchical Framework for Various Approaches.” Computers and Security, 19: 243-256.
14.Gordon L. A. and Loeb M. P. 2006, “Economic Aspects of Information Security: An Emerging Field of Research.” Information System Frontiers, 8 (5): 335-337.
15.Hamilton S. and Chervany N. L. 1981, “Evaluating Information System Effectiveness – Part I: Comparing Evaluating Approaches.” MIS Quarterly, l5, (3): 55-69.
16.IT Governance Ltd. 2008, “ISO 27001/BS 7799.” 【On-line information】http://www.itgovernance.co.uk/bs7799.aspx: 2008/11/1.
17.Ives B., Hamilton S. and Davis G. B. 1980, “A framework f-or research in computer-based management information s-ystems.” Mamagement Science, 26(9), 910-934.
18.Karabacak B. and Sogukpinar I. 2005, “ISRAM: Information Security Risk Analysis Method.” Journal of Computer Security, 24 (2):147-159.
19.Karabacak B. and Sogukpinar I. 2006, “A Quantitative Method for ISO 17799 Gap Analysis.” Computers and Security, 25: 413-419.
20.Laudon K. C. and Laudon J. P. 2004, Management Information Systems: Managing the Digital Firm, USA: Prentice Hall.
21.Lin Y. H. and Hemmington N. 1997, “The Impact of Government Environmental Policy on The Tourism Industry in Taiwan.” Tourism and Hospitality Research, l(3):35-45.
22.Leach J. 2003, “Improving User Security Behaviour.” Computers and Security, 22: 685-691.
23.Mellado Fern�鴨dez-Medina D. E. and Piattini M. 2008, “Towards Security Requirements Management for Software Product Lines: A Security Domain Requirements Engineering Process.” Computer Standards & Interfaces, 30: 361-371.
24.Ong T. H., Tan C. P., Tan Y. T. and Ting C. 1999, “SNMS – Shadow Network Management System.” In Symposium on Network Computing and Management, Singapore, May: 1-9.
25.OECD. 2001, “ OED Guidelines for the Security of Information Systems.” Information Security Objectie【online】,
http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-document-43-nodirectorate-no-no-10249-13,FF.html#title
26.Ruighaver A. B., Maynard S. B. and Chang S. 2007, “Organisational Security Culture: Extending the End-user Perspective.” Computers and Security, 26: 56-62.
27.Saaty T. L. 1970, The analytic hierarchy process. New York. McGraw-Hill.
28.Sademies A. and Savola R. 2004, “Measuring the Information. Security Level – A Survey of Practice in Finland.” Proceedings of the 5th Annual International Systems. Security Engineering Association (ISSEA) Conference.
29.Stone Dan N. 1990, “Assumptions and Values in the Practice of Information Systems Evaluation,” Journal of Information Systems 4:2: 1-17.
30.Sanders G. L. and Garrity E. J. 1995, Dimensions of Information System Success Working Paper, New York: Jacobs School of Managemen.
31.Shreve M. 2004, “The Office Now a Major Place for Identity Theft.” Crains, September: 1-4.
32.Siponen M. T. 2000, “A Conceptual Foundation for Organizational Information Security Awareness.” Information Management and Computer Security, 8 (1): 31-41.
33.Siponen M. T. 2006, “Secure-system Design Methods: Evolution and Future Directions.” IT Professional, 8 (3): 40-44.
34.Taudes A. 1998, “Software Growth Options”Journal of Management Information Systems ,15:1, pp. 165-185.
35.Toval A., Joaquin N., Begona M. and Fernando G. 2002, “Requirement Reuse for Improving Information Systems Security: A Practitioner's Approach.” Requirements Engineering, 205-219.
36.Tipton H. F. and Drause M. 2007, Information Security Management Handbook, USA: CRC Press, FL.
37.Von Solms B. and Von Solms R. 2004, “The 10 Deadly Sins of Information Security Management.” Computers and Security, 23: 371-376.
38.Workman M. 2007, “Gaining Access with Social Engineering: An Empirical Study of the Threat.” Information Systems Security Journal, 16: 315-331.
39.Workman M. and Gathegi J. 2007, “Punishment and Ethics Deterrents: A Study of Insider Security Contravention.” Journal of the American Society for Information Science and Technology, 58: 210-222.
40.Workman M., Bommer W. H. and Straub D. 2008, “Security Lapses and the Omission of Information Security Measures: A Threat Control Model and Empirical Test.” Computers in Human Behavior, 24: 2799-2816.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top