ISO 27005資安風險管控標準導入部隊之影響-以國軍某單位為例_

English |FB 專頁 |Mobile

免費會員登入| 註冊

(3.237.178.91) 您好！臺灣時間：2021/03/07 02:23

字體大小：

詳目顯示:::

第 1 筆 / 共 1 筆

/1頁

論文基本資料
摘要
外文摘要
目次
參考文獻
電子全文
紙本論文
QR Code

本論文永久網址:

研究生:

王文杰

研究生(外文):

WANG,WEN-CHIEH

論文名稱:

ISO 27005資安風險管控標準導入部隊之影響-以國軍某單位為例

論文名稱(外文):

A Case Study of Applying ISO 27005 ISRMS to a Military Unit

指導教授:

陳樂惠

、劉興漢

指導教授(外文):

CHEN,LE-HUI、LIU,HSING-HAN

口試委員:

陳樂惠、劉興漢、余丁榮、林裕淇

口試委員(外文):

CHEN,LE-HUI、LIU,HSING-HAN、YU,TING-LUNG、LIN,YUH-CHI

口試日期:

2016-05-03

學位類別:

碩士

校院名稱:

國防大學

系所名稱:

資訊管理學系

學門:

電算機學門

學類:

電算機一般學類

論文種類:

學術論文

論文出版年:

2016

畢業學年度:

104

語文別:

中文

論文頁數:

中文關鍵詞:

ISO 27001、資訊安全管理系統、層級分析法、ISO 27005

外文關鍵詞:

ISO27001、ISMS、AHP、ISO27005

相關次數:

被引用:2
點閱:307
評分:
下載:60
書目收藏:1

在國防安全甚至國家安全的領域中，資訊安全的地位越來越重要，近年來，政府機關及國軍部隊均陸續導入ISO 27001規範大力推動資訊安全管理系統作業模式；資訊安全管理系統是一套有系統的管理資訊安全方法，藉由透過控制各項風險因子，把資訊安全風險降到可接受的程度，而「風險管理」是資安最核心之一環。
國軍部隊陸續通過ISO 27001認證，建立相關的標準作業程序，以有效遏止資安事件發生，但仍無法完全杜絕，在國防預算有限且持續緊縮的情形下，將有限資源發揮最大效益，投注在關鍵因素上以提升資訊安全，已成為必要手段。
ISO 27005規範了資訊安全風險指引和支持ISO 27001規範的一般概念，基於風險管理方法滿足實現資訊安全。
本篇根據專家文獻9大構面及81項威脅之架構，並依實際執行現況，藉由管理、督導及執行層面資訊人員協助，以層級分析法之方法評估並分析各威脅之權重，以「網路服務及通訊基礎設備」構面及「未經授權使用他人的電子郵件」等威脅項目為高風險，可做為「國軍通資電整體規劃」之參考，期以有限的資源針對高風險項目實施管控，期能降低資安風險。

In the realm of defense security, even national security, the character of information security is becoming more and more important, Recently, ROC government and military are actively promoting ISMS Mode of Operation, by importing ISO 27001 successively. ISMS is a systematic way to manage information security. By controlling all kinds of risk factors, we can reduce the information risk into an acceptable range. Therefore, risk management is the most important thing of information security.
Military units are certified via ISO 27001 to create an SOP (Standard Operating Procedures) to prevent the occurrence of information security case. But we still can't stop all the incident cases happening. Limited by the budget, we have to maximum benefit by using limited resource, and put on the key factors to leverage information security.
ISO 27005 provides guidelines for information security risk management and supports the general concepts specified in ISO 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.
In this paper, based on specialist's papers and the actual situations, proposed 9 facets and 81 structure of threat, and used AHP to assess and analysis every importance of threats by managerial,supervisory and executive level IT stuff. The facets of "network service and communications infrastructure“ and "using unauthorized e-mail", as two high risk threatening items, could be used as a reference for overall plan of military Communications Electronics and Information. We expect to use the limited resources to reduce the information security risk of high risk items.

摘要 i
目錄 i
圖目錄 i
表目錄 i

第一章、緒論1
1.1研究背景與動機1
1.2研究目的2
1.3研究範圍與限制3
第二章、文獻探討4
2.1資訊安全管理4
2.2資訊安全管理標準9
第三章、研究架構與研究方法19
3.1研究方法19
3.2研究流程與架構28
第四章、研究結果與資料分析33
4.1專家訪談結果與分析33
4.2AHP問卷調查結果與分析40
第五章、結論與建議54
5.1研究結論54
5.2研究建議及未來研究方向55
參考文獻57
附錄一60

中文部分
沙哲弘，2008，軍事院校資訊安全管理之研究，高雄第一科技大學資訊管理學系碩士論文。
葉姵君，2007，國軍資訊安全政策分析─以公共政策研究模式探討，國立中正大學管理學院資訊管理學系碩士論文。
鄭信一，1999，現代企業資訊安全之個案研究，銘傳大學管理科學研究所碩士論文。
呂芳懌、吳秀娟，2011，資訊安全風險評鑑之執行差異分析與原因探討-以中部私立大學為例，離島資訊技術與應用研討會論文集。
張保隆，2006，決策分析：方法與應用，台北市：華泰文化出版社。
樊國楨、方仁威、林勤經與徐士坦，2001，資訊安全管理系統驗證作業初探。建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書，105-125。經濟部標準檢驗局委辦計畫。
黎健文，2011，資訊安全對國軍影響之探討，海軍學術雙月刊，第45期，第2期，頁17-32。
鄧振源，曾國雄，1989，層級分析法的內涵特性與應用（上），中國統計學報，第27卷，第6期，頁13707-13724。
鄧振源，曾國雄，1989，層級分析法的內涵特性與應用(下)，中國統計學報，第27卷，第7期，頁13767-13870。
鄧振源，2002，計劃評估：方法與應用，海洋大學運籌規劃與管理研究中心。
顧志遠，1996，多架構AHP模式建立之研究，管理與系統，第三卷，第二期，217-232頁。
褚志鵬，2009，Analytic Hierarchy Process Theory層級分析法（AHP）理論與實作，東華大學企業管理學系暨研究所教學講義。
褚志鵬，2009，深度集群訪談法，褚志鵬教學講義。
行政院主計處，2011，政府機關資訊通報，第282期。
行政院研考會，2010，資訊系統風險評鑑參考指引(修訂)(V2.0)。

英文部分
ISO/IEC 27001 Information technology Security techniques Information security management systems Requirements,2005.
ISO/IEC 27001 Information technology Security techniques Information security management systems Requirements,2013.
ISO/IEC 27002 Information technology Code of practice for information security management, 2013.
ISO/IEC 27005 Information technology Security techniques Information security risk management, 2013.
National Institute of Standards and Technology (NIST), Special Publication 800-30,Risk Management Guide for Information Technology Systems, 2002.
National Institute of Standards and Technology (NIST), Special Publication 800-39, Managing Information Security Risk:The NIST Handbook, 2011.
Saaty, Thomas L,1980, "The Analytic Hierarchy Process, " 9th ed, New York: McGraw Hill.
Shameli-Sendi, M. Shajari, M. Hassanabadi, M. Jabbarifar,M. Dagenais,2012, “Fuzzy Multi-Criteria Decision-Making for Information Security Risk Assessment”.

網頁部分
ITHOME，Fortinet：2015年第4季有56億次網路攻擊襲臺，全亞太最嚴重，http://www.ithome.com.tw/news/101569，2016年1月7日檢索。
國家標準網路服務系統，資訊技術－安全技術－資訊安全管理系統－要求事項，http://www.cnsonline.com.tw，2015年1月5日檢索。
行政院國家資通安全會報，資安政策，http://www.nicst.ey.gov.tw/News_ Content3.aspx?n=F7DE3E86444BC9A8&sms=FB4DC0329B2277CF&s=1ACE1B808B9444DF，2015年3月5日檢索。

電子全文

國圖紙本論文

推文
網路書籤
推薦
評分
引用網址
轉寄

top

相關論文
相關期刊
熱門點閱論文

1.	軍事機關導入ISO 27001資訊安全管理成功因素之研究
2.	建立資訊安全管理系統之研究-以臺北市政府地政局為例
3.	運用ISO 27001資訊安全管理系統導入軍事院校之研究-以國防大學為例
4.	補強COBIT控制要項以滿足ISO27001資安要求之研究
5.	導入資訊安全管理系統之績效衡量架構－以國家研究單位為例
6.	以PDCA觀點，探討國軍個資管理導入策略
7.	應用層級分析法於資訊安全風險評估之研究－以中部某公務機關為例
8.	使用程式碼安全檢測改進軟體品質：以國稅再造專案為例
9.	導入ISO27001/ISMS對銀行組織影響之研究
10.	植基於資通安全治理模式建構風險評估機制─以國軍某單位為例
11.	應用層級分析法之資訊安全風險評鑑
12.	探討資訊安全政策導入後之成效分析-以ISO27001為基礎
13.	運用ISO 27001於企業導入資訊安全管理制度之研究－以資訊服務企業為例
14.	中華電信導入國際資訊安全標準ISO27001管理成效之研究
15.	銀行業資訊資產之資訊安全風險管理—以某銀行為例

1.	黎健文，2011，資訊安全對國軍影響之探討，海軍學術雙月刊，第45期，第2期，頁17-32。
2.	鄧振源，曾國雄，1989，層級分析法的內涵特性與應用（上），中國統計學報，第27卷，第6期，頁13707-13724。
3.	鄧振源，曾國雄，1989，層級分析法的內涵特性與應用(下)，中國統計學報，第27卷，第7期，頁13767-13870。
4.	顧志遠，1996，多架構AHP模式建立之研究，管理與系統，第三卷，第二期，217-232頁。

無相關點閱論文

簡易查詢 | 進階查詢 | 熱門排行 | 我的研究室