(3.236.118.225) 您好!臺灣時間:2021/05/16 10:44
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

: 
twitterline
研究生:吳秀娟
研究生(外文):Wu,Hsiu-Chuan
論文名稱:資訊安全風險評估之執行差異分析與原因探討 ─ 以中部地區兩學術單位為例
論文名稱(外文):The Differential Analyses of Information Security Risk Assessment Using Two Academic Units in central Taiwan as Examples
指導教授:呂芳懌呂芳懌引用關係
指導教授(外文):Leu,Fang-Yie
口試委員:林宜隆陳金鈴楊伏夷賴森堂
口試委員(外文):Lin,Yi-LongChen,Chin-LingYang,Fuw-YiLai,Sen-Tarng
口試日期:100年7月12日
學位類別:碩士
校院名稱:東海大學
系所名稱:資訊工程學系
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2011
畢業學年度:99
語文別:中文
論文頁數:84
中文關鍵詞:風險評估資訊安全威脅弱點層級分析法
外文關鍵詞:Risk AssessmentInformation SecurityThreatVulnerabilityAHP
相關次數:
  • 被引用被引用:5
  • 點閱點閱:394
  • 評分評分:
  • 下載下載:127
  • 收藏至我的研究室書目清單書目收藏:0
網路與資訊蓬勃發展,除帶來眾多便利亦伴隨著日益嚴重的資訊安全問題。各組織為能確保營運持續,紛紛投注相當資源來建立資訊安全管理系統,以保護重要資訊資產避免遭受各種威脅。有效的資訊安全管理系統並非消弭所有的風險,而是協助組織去辨識與評估所有的威脅與弱點,進而即早採取適當的方法來管理風險。
風險的存在性是不變的,但每個人對風險的認知與容忍程度都不盡相同,即使採用相同的方法論亦可能產生不同的風險評估結果。本研究將資訊安全風險評估之差異因素分成三大層面以進行分析,分別是驗證範圍層面、資訊特性層面與資訊類別層面,並用層級分析法(Analytic Hierarchy Process,AHP)所提的層級架構,建立研究架構的模式,最後並以實際案例說明其個別執行或相結合應用的程序。
本文探討相同風險評估模式應用於背景類似之組織時,其風險評估結果的差異原因,希望能找出風險評估方法與組織特質影響的關聯,以作為未來學術單位執行資訊風險評估之重要參考依據。
Recently, network and information have been vigorously developed, and have truly brought us much convenience for our every life. However, they also bring forth an increasingly serious security problem. Many organizations have invested considerable resources to establish their information security management systems to protect their critical information assets against threats and ensure the safety and security of their business continuity.
The main task of an information security management system is not eliminating all risks, but assisting the organizations to identify and evaluate all threats and vulnerabilities, and then help them to take appropriate and immediate methods for risk management.
Risks always exist in our surrounding. But a person's perception on risk and the degree of risk tolerance are different. Even with the same methodology, they may produce different risk assessment results. In this study, we compare the assessment results of two identical organizations. The information security risk assessment factors to be analyzed are divided into three levels, including the levels of risk verification, information characteristics and information category We use a hierarchical structure proposed by the Analytic Hierarchy Process (AHP for short) to establish our research model. Two actual implementation cases are employed to describe their processes on individuals and a combined application.
This study also explores the key reasons of the different results generated by two organizations of similar background which deployed the same risk assessment model, and try to find the reasons for differences in the risk assessment results. The purpose is to identify the impact of organizational characteristics associated with academic institutions. Someday, when organizations with the similar characteristics and background wish to perform their risk assessment, the research results can be a valuable and important reference.
第1章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 2
1.3 研究範圍 2
1.4 研究流程 2
第2章 文獻探討 4
2.1 資訊安全管理 4
2.2 資訊安全相關國際標準 4
2.2.1 ISO/IEC 27001:2005 5
2.2.2 ISO/IEC 27002:2005 6
2.2.3 ISO/IEC 27005:2008 7
2.3 風險評估 9
2.3.1 定性風險 15
2.3.2 定量風險 15
2.3.3 半定量風險 16
2.4 層級分析法 16
2.4.1 AHP的優點與應用 16
2.4.2 AHP 執行步驟 18
第3章 個案研究 23
3.1 個案之風險評估方法 23
3.1.1 資產分類與鑑價 23
3.1.2 資訊資產衝擊評價 24
3.1.3 資訊資產群組 25
3.1.4 識別威脅與弱點 25
3.1.5 鑑別風險 26
3.1.6 風險計算範例 27
3.2 個案風險評估結果:P大學 29
3.2.1 個案背景說明 29
3.2.2 P大學風險評估結果 30
3.3 個案風險評估結果:T大學 30
3.3.1 個案背景說明 31
3.3.2 T大學風險評估結果 32
3.4 個案差異說明 33
第4章 研究方法與資料分析 34
4.1 層級分析架構 34
4.2 問卷設計 37
4.3 問卷對象與回收 39
4.4 信度說明 42
4.5 個案風險評估差異原因探討 43
4.5.1 P大學風險評估原因分析 43
4.5.2 T大學風險評估原因分析 46
4.6 個案群體權重分析 50
4.6.1 層級評估構面之區域權重分析 50
4.6.2 層級各評估準則之區域權重分析 51
4.6.2.1 驗證範圍層面之區域權重分析 51
4.6.2.2 資產特性構面之區域權重分析 53
4.6.2.3 資產類別構面之區域權重分析 54
4.7 研究發現 55
第5章 結論與建議 57
5.1 結論 57
5.2 未來研究建議 58
5.3 研究限制 58
第6章 參考文獻 59
附錄一:資產弱點威脅衝擊對應表 60
附錄二: P大學風險評估結果彙整表 69
附錄三: T大學風險評估結果彙整表 72
附錄四:資訊安全風險評估之差異因素架構案例問卷 75

1.中華民國國家標準,資訊技術-安全技術-資訊安全管理系統-要求事項(CNS 27001),經濟部標準檢驗局,2006年。
2.中華民國國家標準,資訊技術-安全技術-資訊安全管理之作業規範(CNS 27002),經濟部標準檢驗局,2007年。
3.中華民國國家標準,資訊技術-安全技術-資訊安全風險管理(CNS 27005),經濟部標準檢驗局,2010年。
4.樊國楨、黃健誠、王演芳、楊中皇。重要民生基礎建設資訊安全管理標準化初探-以台灣地區為例。第十四屆海峽兩岸資訊管理發展策略研討會,2008年。
5.傅雅萍、樊國楨、楊中皇,ISO/IEC 27005 風險管理標準整合CORAS 之可行性研究:以電力公司為例,2008年。
6.劉興華,資訊安全風險管理(ISO/IEC FDIS 27005)議題初探,堅實我國資訊安全管理系統稽核作業相關標準系列討論會之25,2008年。
7.陳冠彰,論資訊安全風險分析之謬誤,淡江大學資訊管理系研究所碩士論文,2005年。
8.鄧振源、曾國雄(1989),層級分析法(AHP)的內涵特性與運用(上),中國統計學報,第27卷第6期,頁5~22。
9.鄧振源、曾國雄(1989),層級分析法(AHP)的內涵特性與運用(下),中國統計學報,第27卷第7期,頁1~19。
10.王志斌,結合層級分析法與德菲法發展資訊安全認知評量法之研究,世新大學資訊管理學系碩士論文,2010年。
11.Saaty Thomas L.,(1980),The Analytic Hierarchy Process, New York: McGraw-Hill.
12.顏鳳伶,靜宜大學導入ISO 270012005--資安管理系統經驗分享,2006年。
13.洪國興、趙榮耀,資訊安全管理理論之探討,產業論壇,頁17~47,2005年。
連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top