跳到主要內容

臺灣博碩士論文加值系統

(44.200.169.3) 您好!臺灣時間:2022/12/05 19:47
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:郭國峰
研究生(外文):Kuo-Feng Kuo
論文名稱:應用層級分析法於資訊安全風險評估之研究-以中部某公務機關為例
論文名稱(外文):Applying Analytic Hierarchy Process to Improve the Information Security Risk Assessment – A Case Study of a Public Agency in Central Taiwan
指導教授:葉介山葉介山引用關係
指導教授(外文):Jieh-Shan Yeh
口試委員:王孝熙林俊榮
口試委員(外文):Hsiao-Hsi WangChun-Jung Lin
口試日期:2014-06-20
學位類別:碩士
校院名稱:靜宜大學
系所名稱:資訊碩士在職專班
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2014
畢業學年度:102
語文別:中文
論文頁數:84
中文關鍵詞:資訊安全資訊安全管理系統風險管理風險評估層級分析法
外文關鍵詞:information securityinformation security management systemrisk iii managementrisk assessmentAHP
相關次數:
  • 被引用被引用:3
  • 點閱點閱:373
  • 評分評分:
  • 下載下載:28
  • 收藏至我的研究室書目清單書目收藏:1
一個成功的資訊安全管理系統(Information Security Management System, ISMS)是從風險管理的角度切入,透過風險評估方法,讓管理者充分瞭解風險所在,並嘗試將風險降低至可接受的範圍內。長期以來研究個案機關風險評估都是由系統負責人來評估,這樣的模式往往會因為個人因素造成評估誤差,需要有另一套機制來驗證及修正風險評估方法,降低人為因素影響。
本研究利用層級分析法(Analytic Hierarchy Process, AHP)所提的層級架構,進而建立研究架構模式。第一階段將建構「影響資訊安全風險評估因素」,第二階段為「風險評估結果差異之原因」分析並以實際案例說明。
探討利用AHP於資訊安全風險評估,分析出「影響資訊安全風險評估因素」與「風險評估結果差異之原因」之權重,希望能找出機關迫切的風險,降低人為因素影響,以更科學方法使資訊安全評估結果差異降低,以作為未來機關執行資訊安全風險評估時之重要參考依據。

A successful information security management system (ISMS) operates from a risk management perspective, through risk assessment methods, allowing administrators to fully understand the risks and to reduce the risk within an acceptable range.
The risk assessment of an information system in the case study institution is usually evaluated by the persons who manage the system. Such phenomenon often results assessment errors caused by personal factors. Therefore, it is necessary to have another mechanism to verify and revise the risk assessment approach, in order to reduce the impact of human factors.
This study utilizes the Analytic Hierarchy Process (AHP) to create a research framework model. The first phase constructs "the impact of information security risk assessment factors." The second stage studies "the reasons for the differences in the result of the risk assessment."
To discover the urgent risk and to reduce the human factors by using AHP in the information security risk assessment to analysis the weight of "the impact of information security risk assessment factors" and "the reasons for the differences in the risk assessment," this study proposes a scientific method to reduce differences in the information security assessments. The research results can be an important reference on the execution of information security risk assessment for organizations.

第 一 章 緒論 1
1.1 研究背景與動機 1
1.2 研究目的 2
1.3 研究範圍 3
1.4 研究流程 3
第 二 章 文獻探討 5
2.1 資訊安全管理 5
2.2 資訊安全相關國際標準 7
2.2.1 ISO/IEC 27001:2005 7
2.2.2 ISO/IEC 27002:2005 9
2.2.3 ISO/IEC 27005:2008 9
2.3 風險評估 12
2.3.1 風險的定義 12
2.3.2 風險評估方法 17
2.4 層級分析法 19
2.4.1 AHP之應用範圍 19
2.4.2 AHP的優點 20
2.4.3 AHP 執行步驟 21
2.4.4 AHP 分析應用軟體 25
第 三 章 個案研究 26
3.1 個案背景說明 26
3.2 個案之風險評估程序 27
3.2.1 資訊資產鑑別與資產價值 28
3.2.2 弱點與威脅評估 30
3.2.3 風險值計算範例 32
3.3 個案風險評估結果 32
第 四 章 研究方法 39
4.1 研究設計 39
4.2 層級分析架構 39
4.3 問卷設計 44
第 五 章 資料分析與探討 45
5.1 問卷對象與回收 45
5.2 效信度分析說明 46
5.3 個案影響資訊安全風險評估因素探討 47
5.3.1 風險評估範圍層面區域之權重分析 48
5.3.2 風險管理目標層面區域之權重分析 50
5.3.3 資產類別層面區域之權重分析 51
5.3.4 風險類別層面區域之權重分析 52
5.4 個案風險評估結果差異之原因探討 53
5.5 研究發現 54
第 六 章 結論與建議 56
6.1 結論 56
6.2 研究限制 57
6.3 未來研究建議 58
參考文獻 59
附錄一 第一階段「影響資訊安全風險評估因素」架構案例問卷 62
附錄二 第二階段「風險評估結果差異之原因」架構案例問卷 78

Narasimhan, R.(1983), “An Analytic Hierarchical Process to Supplier Selection”,Journal of Purchasing & Material Management, 19, No. 1, 27-32.
OECD(1992), “OECD Recommendation,” Guidelines and Explanatory Memorandumfor the Security of Information Systems.
Ossadnik., & Lange. (1999) , “AHP-based evaluation of AHP-Software”, European Journal of Operational Research , 118, 578–588.
Saaty, T. L. (1980). The Analytic Hierarchy Process, New York: McGraw - Hill.
王平、羅濟群、黃俊傑、王宇文(2007)。風險評估方法。檢自:http://www.google.com.tw/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CC8QFjAB&url=http%3A%2F%2Fsvn.openfoundry.org%2Friskmanagement%2F%25E9%2597%259C%25E6%2596%25BC%25E6%2596%25B9%25E6%25B3%2595-PAPER%2F%25E9%25A2%25A8%25E9%259A%25AA%25E8%25A9%2595%25E4%25BC%25B0%25E6%2596%25B9%25E6%25B3%2595.pdf&ei=H75-U6KwEsWDlAWyuYHQBg&usg=AFQjCNGwtPDE7WIUr9oEfOM7gqjCHXZsZQ&bvm=bv.67720277,d.dGI&cad=rja
行政院國家資通安全會報技術服務中心(2011)。100年度資訊系統風險評鑑參考指引(修訂)v2.1。檢自:http://download.icst.org.tw/attachfilecomm/100%E5%B9%B4%E5%BA%A6%E8%B3%87%E8%A8%8A%E7%B3%BB%E7%B5%B1%E9%A2%A8%E9%9A%AA%E8%A9%95%E9%91%91%E5%8F%83%E8%80%83%E6%8C%87%E5%BC%95(%E4%BF%AE%E8%A8%82)v2.1pdf.rar
吳秀娟(2011)。資訊安全風險評估之執行差異分析與原因探討─以中部地區兩學術單位為例。東海大學資訊工程學系碩士論文,未出版,臺中市。
范淼(2002)。專案風險管理技術開發課程。中科院,臺北市。
陳育凱(2000)。ISP 之關鍵成功因素探討-運用AHP 法。中國文化大
學國際企業管理研究所碩士論文,未出版,臺北市。
陳冠彰(2005)。論資訊安全風險分析之謬誤。淡江大學資訊管理系研究所碩士論文,未出版,新北市。
傅雅萍、樊國楨、楊中皇(2008)。ISO/IEC 27005 風險管理標準整合CORAS 之可行性研究:以電力公司為例。檢自:http://security.nknu.edu.tw/psnl/publications/2009/05_FU,YA-PING/ISOIEC27005.pdf
曾雪卿(1999)。提升我國積體電路產業競爭優勢之關鍵因素。國立成功大學企業管理研究所碩士論文,未出版,台南市。
經濟部標準檢驗局(2006)。中華民國國家標準,資訊技術-安全技術-資訊安全管理系統-要求事項(CNS 27001)。臺北市:經濟部標準檢驗局。
經濟部標準檢驗局(2007)。中華民國國家標準,資訊技術-安全技術-資訊安全管理之作業規範(CNS 27002)。臺北市:經濟部標準檢驗局。
經濟部標準檢驗局(2010)。中華民國國家標準,資訊技術-安全技術-資訊安全風險管理(CNS 27005)。臺北市:經濟部標準檢驗局。
褚志鵬(2009)。 Analytic Hierarchy Process Theory 層級分析法(AHP)理論與實作。國立東華大學企業管理學系暨研究所教學講義。檢自:http://www.google.com.tw/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CC0QFjAA&url=http%3A%2F%2Ffaculty.ndhu.edu.tw%2F~chpchu%2FPOMR_Taipei_2009%2FAHP2009.pdf&ei=r2xPU43lBoPCkwX_q4H4Ag&usg=AFQjCNHQueq_u16JexR3Fei0-sGWgLHlZA&bvm=bv.64764171,d.dGI
樊國楨、黃健誠、王演芳、楊中皇(2008)。重要民生基礎建設資訊安全管理標準化初探-以台灣地區為例。第十四屆海峽兩岸資訊管理發展策略研討會。桃園縣中壢市:中央大學。
練兆欽(2010)。軍事機關導入ISO 27001資訊安全管理成功因素之研究。國防大學管理學院資訊管理學系碩士論文,未出版,台灣。
鄧振源、曾國雄(1989)。層級分析法(AHP)的內涵特性與運用(上)。中國統計學報,第27卷第6期,頁5~22。
鄧振源、曾國雄(1989)。層級分析法(AHP)的內涵特性與運用(下)。中國統計學報,第27卷第7期,頁1~19。

QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top