跳到主要內容

臺灣博碩士論文加值系統

(18.204.48.64) 您好!臺灣時間:2021/08/04 18:16
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:王志斌
研究生(外文):Chih-pin Wang
論文名稱:結合層級分析法與德菲法發展資訊安全認知評量表之研究
論文名稱(外文):A Study of the Development of Information Security Awareness Scale Using AHP and Delphi Methods
指導教授:吳瑞堯吳瑞堯引用關係
指導教授(外文):Rei-yao Wu
學位類別:碩士
校院名稱:世新大學
系所名稱:資訊管理學研究所(含碩專班)
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2009
畢業學年度:97
語文別:中文
論文頁數:117
中文關鍵詞:資訊安全資訊安全認知層級分析法德菲法
外文關鍵詞:Information SecurityInformation Security AwarenessAnalytic Hierarchy Process (AHP)Delphi Method
相關次數:
  • 被引用被引用:55
  • 點閱點閱:2007
  • 評分評分:
  • 下載下載:669
  • 收藏至我的研究室書目清單書目收藏:4
在資訊安全事件的類型中,因「人員」所造成的佔有極大的比例。若能衡量人員的資訊安全認知,據以加強人員資訊安全教育訓練規劃,將更能有效提升人員認知程度,並從「根本」去預防資安事件的發生。
本研究依據NIST SP 800-16 資訊安全訓練需求與NIST SP 800-50 資訊安全認知訓練課程,並結合層級分析法與德菲法發展出一個「資訊安全認知評量表」,訂出9大主題與各主題內共24項資訊安全認知權重,讓各組織(單位)可運用此評量表對組織進行資訊安全認知評量,並作為資訊安全教育訓練規劃之參考。
經實際運用於我國某政府機關獲得結論如下:
1. 該機關內部人員在9大評量項目中,「法律與規範」及「組織與資訊安全」兩大項表現出較高的認知程度,而在「取得/開發/安裝/執行控制」、「技術控制」及「敏感性」三大項認知程度則較低。
2. 透過受訪人員權重分數進行統計分析,發現該機關現行資訊安全教育訓練對於內部人員在「組織與資訊安全」項目的認知程度能有效提升;但在「法律與規範」、「風險管理」及「取得/開發/安裝/執行控制」等3項認知程度的提升效果有限。
3. 該機關內部人員於24項資訊安全認知概念項目認知程度表現上,在「法律與規範」、「對策與控制」、「預期意外」、「必須知道」、「安全訓練」、「負責資安職權之人員」、「備份」、「品質保證/品質控制」、「單一識別碼」等資訊安全認知概念項目中認知程度較低。
Nowadays, the man-made factor resulted from “personnel” is the most important factor in the accidents which related to the information security. In order to improve the cognitive ability for each user and to prevent from the events about the information security, the users need to have a nice training based on his/her learning for the information security awareness.
In this thesis, based on NIST SP 800-16 (Information Technology Security Training Requirements: A Role-and-performance-based Model) and NIST 800-50 (Building an Information Technology Security Awareness and Training Program), the AHP and Delphi Method are applied to design “Information Security Awareness Scale” for all types of the organizations. The Scale of Information Security Awareness can be provided as the references for the information security education and training plans.
For the practical implements in the government organization, we have the conclusions listed below. First, for the employees in the government organization, the two items, “Law and Regulations” and “The Organization and IT Security”, are with the higher weights among the nine criticized items in the Information Security Awareness Scale. However, the three items, “Acquisition/ Development/ Installation/ Implementation Controls”, “Technical Controls” and “Sensitivity”, are with the lower weights in the Information Security Awareness Scale. Second, the cognitive ability for “The Organization and IT Security” is improved for the implements of the information security training. However, there is no prominent improvement on the cognitive abilities for “Law and Regulations”, “Risk Management” and “Acquisition/ Development/ Installation/ Implementation Controls”. Finally, for the employees in the government organization, the items, “Law and Regulations”, “Countermeasures and Control”, “Expect the Unexpected”, “Need to Know”, “Security Training”, “DAA and other Officials”, “Backup”, “Quality Assurance/Quality Control”, “Unique Identifiers” are with the lower weights among the twenty-four conceptual items in the Information Security Awareness Scale.
誌謝 I
摘要 II
Abstract III
目錄 IV
表目錄 VI
圖目錄 VIII
第一章 緒 論 1
1.1 研究動機 1
1.2 研究目的 2
1.3 研究方法 4
1.4 論文架構 4
第二章 文獻探討 5
2.1 資訊安全 5
2.1.1 資訊安全的定義 5
2.1.2 資訊安全管理相關標準與規範 6
2.1.3 我國資訊安全的推動與發展 9
2.1.4 小結 11
2.2資訊安全認知 12
2.2.1資訊安全認知的定義 12
2.2.2資訊安全訓練參考標準 13
2.2.3國內相關研究 17
2.2.4小結 18
2.3資訊安全基礎知識與素養 18
2.3.1資訊安全基礎知識 19
2.3.2資訊安全素養課程架構 21
第三章 研究方法 23
3.1研究流程設計 23
3.2層級分析法(Analytic Hierachy Process, AHP) 24
3.2.1層級分析法的假設與特性 25
3.2.2層級分析法理論與操作程序 28
3.3德菲法(Delphi method) 31
3.3.1德菲法的基本假設 32
3.3.2德菲法應用的步驟 34
第四章 建立資訊安全認知評量表 35
4.1 AHP層級建立與專家問卷設計 35
4.1.1 AHP層級建立 35
4.1.2 AHP問卷設計與專家調查 36
4.1.3 AHP層級權重計算與數據整理 36
4.1.4 專家意見穩定性分析 44
4.2資訊安全認知評量表建立與應用 48
4.2.1 評量表設計 48
4.2.2 評量表運用方式説明 51
4.2.3 資訊安全認知評量表調查 52
4.2.4 資料整理與數據分析 52
第五章 結論與建議 70
5.1研究結論 70
5.2研究限制與建議 72
5.3未來研究方向 73
參考文獻 74
中文文獻 74
英文文獻 77
附錄A「IT Security ABC’s-Terms and Concepts」 80
附錄B第一回合AHP問卷 90
附錄C第二回合AHP問卷 98
附錄D資訊安全認知評量表 106
中文文獻
1.王義智, 台灣大型企業資訊安全應用調查分析, 情報顧問產業研究報告 http://mic.iii.org.tw/intelligence/reports/pop_Docfull_review.asp?func=&sesd=730359161&docid=CDOC20060501004&cate=&tt=W0971200451 , 台北市, 台灣, 財團法人資訊工業策進會資訊市場情報中心(MIC), 2006。
2.王明妤,新產品開發流程中功能性價值之選擇研究─以數位電視機與經營資訊服務為例, 新竹市, 新竹, 交通大學工業工程與管理學系科技工程組博士論文, 2000。
3.方仁威, 資訊安全管理系統驗證作業之研究, 新竹市, 新竹, 交通大學資訊管理研究所博士論文, 2004。
4.中華民國國家標準, 資訊技術-安全技術-資訊安全管理作業規範(CNS 17799), 台北市, 經濟部標準檢驗局, pp.7-11, 2006。
5.中華民國國家標準, 資訊技術-安全技術-資訊安全管理系統-要求事項(CNS 27001), 台北市, 經濟部標準檢驗局, pp.5-6, 2006。
6.行政院國家資通安全會報, 建立我國通資訊基礎建設安全機制計畫, http://www.pthg.gov.tw/CmsFile%5C200742694854234.pdf , Retrieved 2008, Nov., 30。
7.行政院國家資通安全會報, 政府機關(構)資訊安全責任等級分級作業施行計畫, http://www.nicst.nat.gov.tw/include/getfile.php?fid=21 , Retrieved, 2008, Nov., 30。
8.行政院國家資訊通信發展推動小組, 國家資通安全, http://www.nici.nat.gov.tw/content/application/nici/generalb/guest-cnt-browse.php?cnt_id=98 , Retrieved 2008, Oct., 20。
9.行政院國家資通安全會報, 行政院國家資通安全會報緣起背景, http://www.nicst.nat.gov.tw/content/application/nicst/background/guest-cnt-browse.php?cnt_id=7 , Retrieved 2008, Oct., 20。
10.何全德, 淺論國家資通安全工作推動方向, http://www.im.cpu.edu.tw/cyber06/cyber06-a2.pdf , Retrieved 2008, Dec., 12。
11.李東峰, 資訊主管對企業資訊安全之風險控管決策, 資訊管理研究, 中壢, 桃園, Vol.4,No.2,pp.4, 2002。
12.汪復進, 營養午餐供應商評估模式之建立----以台北地區HACCP先期輔導認證廠商為例, 台北, 台北大學企業管理學系碩士論文, pp.22-34,2004。
13.杜偉欽, 結合HIPAA與ISO27001為基礎探討醫療院所資訊安全管理之研究, 台南市, 台南, 成功大學工程科學研究所碩士論文, 2006。
14.張金輝, 承包商執行專案工程績效評估之研究, 台北市, 台灣科技大學營建工程系碩士論文, pp.21-27 , 2002。
15.張芳珍, 以BS7799落實資訊安全管理-管理類資訊資產分類與控管, 中壢市, 桃園, 中央大學資訊管理學研究所碩士論文, 2005。
16.曹明玉, 資訊安全認知評量表之研究, 淡水鎮, 台北, 淡江大學資訊管理學系碩士論文, 2006。
17.許碧芳、許美菁, 應用德菲法與層級分析法建構基層醫療機構醫療資訊系統外包商評選模式, 醫務管理期刊, 台北市, 社團法人台灣醫務管理學會, Vol.7,No.1,pp.40-56, 2006。
18.陳家發, 以德爾菲法研究國防通識教育在高中職學校教育之成效, 教育部97年度全民國防教育教學及研究績優人員論文, 2008。
19.國家標準公告系統, 國家標準最新制定、修訂、廢止(95年6月16日公告), http://www.cnsonline.com.tw/bulletin/report.jsp?strDate=20060616 , Retrieved 2008, Nov., 30。
20.國家標準公告系統, 國家標準最新制定、修訂、廢止(96年10月24日公告), http://www.cnsonline.com.tw/bulletin/report.jsp?strDate=20071024# , Retrieved 2008, Nov., 30。
21.國家圖書館,國家圖書館全國碩博士論文網, http://etds.ncl.edu.tw/theabs/site/browse_subject2.jsp , Retrieved 2008, Dec., 20。
22.曾淑惠, 以BS 7799為基礎評估銀行的資訊安全環境, 淡水鎮, 台北, 淡江大學資訊管理學系碩士論文, pp. 4, 2002。
23.經濟部標準檢驗局, 資訊安全管理系統(ISMS)-CNS 27001標準介紹 , http://www.bsmi.gov.tw/wSite/public/Data/f1223529524000.ppt , Retrieved 2008, Oct., 31。
24.游啟聰, 我國資通訊安全機制之建置簡報, 行政院NII小組, www.twnic.net.tw/download/seminar/90329/0329.ppt , Retrieved 2008, Oct., 20。
25.黃彥蔡, 資策會4月首度推出IT治理COBIT Foundation課程, http://www.ithome.com.tw/itadm/article.php?c=48442 , Retrieved 2008, Nov., 30。
26.褚麗絹, 以策略觀點探討組織資訊安全管理系統之導入與管理模式, 龜山鄉, 桃園縣, 中央警察大學, 第二屆「風險社會與安全管理」學術研討會論文集, pp.244-54, 2006。
27.褚志鵬, Analytic Hierarchy Process Theory層級分析法(AHP)理論與實作,壽豐鄉,花蓮縣,東華大學企業管理學系暨研究所教學講義, 2009, http://faculty.ndhu.edu.tw/~chpchu/POMR_Taipei_2009/AHP2009.pdf , Retrieved 2009, Mar., 20。
28.褚志鵬, 褚志鵬教學講義, 壽豐鄉,花蓮縣,東華大學企業管理學系暨研究所教學講義, 2009, http://faculty.ndhu.edu.tw/~chpchu/POMR_Taipei_2009/Teach2009.pdf , Retrieved 2009, Mar., 20。
29.廖經泰, 層級分析法於群體決策偏好整合之研究, 台南市, 台南, 成功大學工業與資訊管理學系碩士班碩士論文, 2006。
30.樊國楨, 資訊安全管理系統標準系列及教育訓練的回顧與前瞻, 資訊安全通訊, 台北市, 中華民國資訊安全學會, Vol.14, No.3, pp. 25-44., 2008。
31.劉智敏, 運用BS 7799建構資訊安全風險管理指標, 台北市, 台北大學企業管理學系碩士論文, 2004。
32.歐陽惠華, ISO 27002 與COBIT 4.1 控制措施之對映分析, 高雄市, 高雄師範大學資訊教育研究所碩士論文, 2007。
33.鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(上), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.6, pp.5-22, 1989。
34.鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(下), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.7, pp.1-20, 1989。
35.盧敏雄, 結合層級分析法與德菲法建立航太企業投資評估模式, 台南市, 台南, 成功大學工程管理研究所碩士論文, 2003。
36.盧興義, 危機管理在資訊安全上之研究-以防範「組織內部人員不當竊取」為例, 大村鄉, 彰化, 大葉大學事業經營研究所碩士論文, 2004。
37.謝正勳, 都市永續發展指標適用性評估- 以高雄市為例, 高雄, 中山大學公共事務管理研究所碩士論文, pp.65-79, 2002。
38.謝惠玲, 資訊安全機制規劃及建置之現況調查與分析-以國內大學校園系統為例, 沙鹿鎮, 台中, 靜宜大學資訊管理學系碩士論文, 2007。
39.蘇有章, 應用AHP模式探討資訊安全決策之選擇研究, 燕巢鄉, 高雄縣, 樹德科技大學資訊管理學系碩士論文,2004。
英文文獻
1.ENISA, The new user’s guide:How to raise information security awareness, ENISA, European Union(EU), available at http://www.enisa.europa.eu/doc/pdf/deliverables/new_ar_users_guide.pdf , Retrieved 2008, Dec., 20.
2.Gary Stoneburner, Models for IT Security, NIST, SP 800-33, Washington, U.S. Government printing office, pp. 2; 2001, available at http://csrc.nist.gov/publications/nistpubs/800-33/800-33.pdf , Retrieved 2008, Oct., 10.
3.Harold A. Linstone and Murray Turoff, The Delphi Method: Techniques and Applications, pp.71-9 ; 2002, available at http://is.njit.edu/pubs/delphibook/delphibook.pdf , Retrieved 2009, Feb., 20.
4.International Register of ISMS Certificates, Number of Certificates Per Country, http://www.iso27001certificates.com/ , Retrieved 2008, Dec., 20.
5.Mark Wilson and Joan Hash, Building an Information Technology Security Awareness and Training Program, NIST, SP 800-50, Washington, U.S. Government printing office, 2003, available at http://csrc.nist.gov/publications/nistpubs/800-50/800-50.pdf , Retrieved 2008, Oct. , 10.
6.Norman C. Dalkey, The Delphi Method: An Experimental Study of Group Opinion, CA: The Rand Corporation, pp.1-15, 1969.
7.NIST, An Introduction to Computer Security:The NIST Handbook, NIST SP 800-12, Washington, U.S. Government printing office, 1995, pp.145-56, available at http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf , Retrieved 2008, Oct., 10.
8.NIST, General information, NIST, Washington, U.S. Government printing office available at http://www.nist.gov/public_affairs/general2.htm , Retrieved 2008, Dec., 20.
9.Robert Richardson, 2008 CSI Computer crime and security survey-The latest results from the longest-running project of its kind, CSI, available at http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf., Retrieved 2008, Nov., 30.
10.Richard Kissel(editor), Glossary of Key Information Security Terms, NIST IR 7298, Washington, U.S. Government printing office, 2006, available at http://csrc.nist.gov/publications/nistir/NISTIR-7298_Glossary_Key_Infor_Security_Terms.pdf , Retrieved 2008, Oct., 10.
11.The ISO 27000 Directory, Introduction To ISO 27002 (ISO27002), available at http://www.27000.org/iso-27002.htm , Retrieved 2008, Dec., 10.
12.Thomas L. Saaty , How to make a decision- The analytic hierarchy process, INTERFACES, Vol. 24, No. 6, pp. 19-43,1994 Nov.-Dec..
13.Wilson, Mark(Editor), Dorothea E. de Zafra, Sadie I. Pitcher, John D. Tressler & John B. Ippolito, Information technology security training requirements:A role- and performance-based model, NIST, SP 800-16, Washington, U.S. Government printing office, 1988, available at http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf , Retrieved 2008, Oct., 10.
14.The United Nations Industrial Development Organization (UNIDO), Delphi method, available at http://www.unido.org/fileadmin/import/16959_DelphiMethod.pdf , Retrieved 2009, Mar., 14.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
1. 17. 許碧芳、許美菁, 應用德菲法與層級分析法建構基層醫療機構醫療資訊系統外包商評選模式, 醫務管理期刊, 台北市, 社團法人台灣醫務管理學會, Vol.7,No.1,pp.40-56, 2006。
2. 17. 許碧芳、許美菁, 應用德菲法與層級分析法建構基層醫療機構醫療資訊系統外包商評選模式, 醫務管理期刊, 台北市, 社團法人台灣醫務管理學會, Vol.7,No.1,pp.40-56, 2006。
3. 30. 樊國楨, 資訊安全管理系統標準系列及教育訓練的回顧與前瞻, 資訊安全通訊, 台北市, 中華民國資訊安全學會, Vol.14, No.3, pp. 25-44., 2008。
4. 30. 樊國楨, 資訊安全管理系統標準系列及教育訓練的回顧與前瞻, 資訊安全通訊, 台北市, 中華民國資訊安全學會, Vol.14, No.3, pp. 25-44., 2008。
5. 33. 鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(上), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.6, pp.5-22, 1989。
6. 33. 鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(上), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.6, pp.5-22, 1989。
7. 34. 鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(下), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.7, pp.1-20, 1989。
8. 34. 鄧振源、曾國雄, 層級分析法(AHP)的內涵特性與應用(下), 中國統計學報, 台北市, 中國統計學報雜誌社, Vol. 27, No.7, pp.1-20, 1989。