(3.236.222.124) 您好!臺灣時間:2021/05/08 06:40
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:韓富州
研究生(外文):Fu-Chou Han
論文名稱:以ISO27001建置資訊安全管理系統之研究-以某大型企業為例
論文名稱(外文):A Study of Information Security Management System Construction by Standard ISO 27001 - taking an enterprise as example
指導教授:莊煥銘莊煥銘引用關係
指導教授(外文):Huan-Ming Zhuang
學位類別:碩士
校院名稱:國立雲林科技大學
系所名稱:資訊管理系碩士班
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2009
畢業學年度:97
語文別:中文
論文頁數:94
中文關鍵詞:風險管理資訊安全ISO/IEC 27001:2005ISMS
外文關鍵詞:information securityRisk ManagementISO/IEC 27001:2005Information Security Management System (ISMS)
相關次數:
  • 被引用被引用:2
  • 點閱點閱:564
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
隨著資訊科技的普及與快速進展,資訊安全已成為一個不容忽視的重要議題。如何善用有限的資源,有效落實資訊安全管理,是每個組織都要面臨的重大挑戰。
有關資訊安全,英國國家標準協會發展的ISO/IEC 27001:2005標準涵蓋最為廣泛,已成為國際最具公信力的標準之一。本研究以某大型企業(T公司)為例,以個案研究方式探討其依循此標準建置資訊安全管理系統的方法及經驗,並了解現況是否有達持續改善的要求
具體而言,T公司配合「政府機關(構)資訊安全責任等級分級作業施行計畫」規定,並於96年底資訊安全推動作業已通過第三者驗証,其作法為對資訊資產先依機密性、完整性與可用性評估其價值鑑別,再配合資訊資產所面臨的威脅與脆弱點,可獲得資訊資產的風險值,最後針對高度風險之資訊資產進行因應之安控措施,使風險符合組織內部可接受範圍。透過此一系統化與量化的風險管理制度與高階主管的支持,T公司成功的建置了一套量身訂做的資訊安全管理系統,達到持續改善的要求。
As the progress and pervasion of information technology, the topic of information security is so important and cannot be disregarded anymore. How to well use the limited resources and efficiently do the information security management are certainly big challenges for every organization.
About information security, the standard “ISO/IEC 27001:2005” developed by British Standards Institution (BRR) has been one of the most internationally credible standards. Taking a large enterprise (T Corporation) as a case in this study, it would be discussed the methods and experiences of T Corporation building up its information security management system followed by this standard, and to realize the needs or requests of continuous improvements.
In more specifically, T Corporation began to do the information security system management based on the government policy, which is “The Project of Grading the Information Security Responsibility in Governmental Organizations“, and this system has been passed by the third party accreditation since 2005.
T Corporation firstly assessed the value of information property according to its confidentiality, integrity, and availability. After that, this assessed information property value would be measured with its information threatens and weaknesses, and then got a result of risk value. Finally, the high-risk value information property would be focused and coped with a set of security and controlling acts to decrease the risk value be acceptable for the organization.
Through this systematic and quantitative risk management system, T Corporation successfully constructed a well-fitted information security management system and kept persistently improvement.
中文摘要 ---------------------------------------------------------------------- i
英文摘要 ---------------------------------------------------------------------- ii
誌謝 ---------------------------------------------------------------------- iv
目錄 ---------------------------------------------------------------------- v
表目錄 ---------------------------------------------------------------------- vii
圖目錄 ---------------------------------------------------------------------- viii
一、緒論-------------------------------------------------------------------------------------- 1
1.1研究背景與動機-------------------------------------------------------------------- 1
1.2研究目的----------------------------------------------------------------------------- 2
1.3研究範圍與限制-------------------------------------------------------------------- 3
二、文獻探討-------------------------------------------------------------------------------- 4
2.1資訊安全管理系統----------------------------------------------------------------- 4
2.2風險管理----------------------------------------------------------------------------- 5
2.3資訊安全管理系統管理組織與相關標準-------------------------------------- 8
三、研究方法-------------------------------------------------------------------------------- 13
3.1研究架構----------------------------------------------------------------------------- 13
3.2研究實施流程----------------------------------------------------------------------- 13
3.2.1擬定研究主題與目的------------------------------------------------------ 14
3.2.2文獻分析--------------------------------------------------------------------- 15
3.2.3選定研究方向--------------------------------------------------------------- 15
3.2.4訪談大綱設計--------------------------------------------------------------- 16
3.2.5深度訪談--------------------------------------------------------------------- 16
3.2.6資料整理和資料分析------------------------------------------------------ 16
3.3研究對象----------------------------------------------------------------------------- 16
3.4訪談----------------------------------------------------------------------------------- 17
3.4.1訪談方式--------------------------------------------------------------------- 18
3.4.2擇定訪談對象--------------------------------------------------------------- 18
3.4.3訪談進行過程--------------------------------------------------------------- 18
3.4.4訪談進行--------------------------------------------------------------------- 19
3.4.5訪談工具--------------------------------------------------------------------- 19
3.5資料分析與編碼------------------------------------------------------------------- 20
3.5.1開放性編碼------------------------------------------------------------------ 21
3.5.2主軸編碼--------------------------------------------------------------------- 21
3.5.3選擇性編碼------------------------------------------------------------------ 21
3.6三角驗證----------------------------------------------------------------------------- 21
四、資料分析與整理 ---------------------------------------------------------------------- 21
4.1受訪對象背景資料----------------------------------------------------------------- 22
4.2開放性與主軸編碼----------------------------------------------------------------- 23
4.2.1訪談大綱--------------------------------------------------------------------- 23
4.2.2開放性編碼與主軸編碼--------------------------------------------------- 29
4.2.3編碼結果比較分析--------------------------------------------------------- 57
4.2.3.1 T公司資訊安全系統建置於八個重要構面---------------- 57
4.2.3.2 人員因角色涉入程度不同之差異----------------------------- 77
4.2.3.3 系統建置之成功關鍵-------------------------------------------- 77
4.2.3.4 資訊安全管理系統建置之挑戰-------------------------------- 78
五、結論與建議----------------------------------------------------------------------------- 80
5.1 研究結論---------------------------------------------------------------------------- 80
5.1.1 八大重要因素影響資訊安全管理系統之導入----------------------- 80
5.1.2資訊安全之推展需由企業全方位的配合------------------------------ 80
5.1.3 由外控至內化的組織共識為資訊資安管理系統發揮持續運作的關鍵------------------------------------------------------------------------ 81
5.1.4資訊安全管理行政法規化形成外控壓力,加速資訊安全管理系統之建置--------------------------------------------------------------------- 81
5.1.5政令傳達之落實與行政作業自動化為影響資訊安全管理系統順利建置之重要因素--------------------------------------------------------- 81
5.2 研究建議---------------------------------------------------------------------------- 81
5.2.1 參考八大重要構面作為資訊安全管理系統之優先規劃之依據-- 82
5.2.2 需要企業體由上到下的全體配合-------------------------------------- 82
5.2.3 需激發員工之向心力,認同企業理念與政策------------------------ 82
5.2.4 藉由完善資安教育訓練,加強員工資安意識------------------------- 82
5.2.5 完整公司法規定訂並釐清權責懲處,使資訊安全作業有所依據,鞏固機制運------------------------------------------------------------ 82
5.2.6 對於後續研究之建議----------------------------------------------------- 82
參考文獻------------------------------------------------------------------------------------- 83
1.宋明哲,2001,現代風險管理,五南圖書出版公司,台北。
2.李順仁,2003,資訊安全,文魁資訊股份有限公司,初版,台北市。
3.吳瑞明,1994,系統安全的問題與防護措施,資訊與教育雜誌,頁6-12。
4.林禎吉,賴溪松,2000,”資訊安全國際標準制定之現況”,網路通訊,第111期,頁90-97。
5.施宗英,2005,”行政機關風險管理推動構想與作法”,研考雙月刊,29卷,3期,頁88-94。
6.陳同孝,1996,”資訊安全中道德教育問題之研究”,勤益學報,13期。
7.黃亮宇,1992,資訊安全規劃與管理,松崗電腦圖書資料,台北。
8.經濟部標準檢驗局,2005,”資訊技術-安全技術-資訊安全管理系統-要求事項”,CNS 27001。
9.經濟部標準檢驗局,2005,”資訊技術-安全技術-資訊安全管理之作業規範”,CNS17799。
10.樊國楨,徐鈺宗,楊仲英,李孝詩,2004,”美國聯邦政府資訊安全管理系統稽核作業與相關標準初探”,10月。
11.鄧家駒,2005,風險管理,華泰文化事業股份有限公司。
12.鄭燦堂,2007,風險管理,五南圖書出版股份有限公司,臺北市。
13.---,2000,風險管理-理論與實務,五南。
14.謝昀澤,2004,”如何保護公司機密資料”,資訊安全專刊。
15.瞿鴻斌,2005,資訊安全風險評估驗證系統,世新大學管理學院,資訊管理學系碩士學位論文。
16.Apr. 1997, “Information Distortion in a Supply Chain: The Bullwhip Effect”, Management Science. , Vol. 43, No.4, pp. 546-558.
17.Coyle, Bardi,and Langley,2003,The Management of Business Logistics,7th edition.
18.iSecurity,2000,全方位資訊安全教戰手冊,紐奧良文化。
19.ISO,ISO/IEC 17799, 2005, “Information technology – Security techniques – Code of practice for information security management”.
20.ISO,ISO/IEC 27001, 2005, “Information technology – Security techniques - Information security management systems – Requirements”.
21.Laura Horvath, 2001, ”Collaboration:the key to value creation in supplychain”, Supply Chain Management. pp. 205-207.
22.Lee Hau L.,V. Padmanabhan, and Seugjin Whang, 1997,”information
23.Lewis, B.R., Synder, C.A., and Raiiner, R.K., Summer 1995, “An Empirical Assessment of the Information Resource Management Co nstruct”, Journal of Management Information Systems, 12:1, pp.199-223 .
24.Loch K.D., Carr H.H., and WarkentinM.E., 1992, “Threats to Information Systems:Today’s Reality,Yesterday’s Understanding”, MIS Quarterly, pp. 173-186.
25.McDaniel, George, ed., 1994, IBM Dictionary of Computing, McGraw-Hill,Inc, New York, NY.
26.Microsoft Corporation, 2004, “The Security Risk Management Guide” http://www.microsoft.com/technet/security/guidance/secrisk/default.mspx.
27.Robert, Simons L. , Novermber 1999, “A Note on ldentifying Strategic Risk”, Harvard Business Review.
28.Schneider, E. C., Therkalsen, G. W., November 1990, “How Secure Are Your Systems ? ” , Avenues To Automation, pp.68-72.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔