(3.237.178.91) 您好!臺灣時間:2021/03/07 02:23
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:王文杰
研究生(外文):WANG,WEN-CHIEH
論文名稱:ISO 27005資安風險管控標準導入部隊之影響-以國軍某單位為例
論文名稱(外文):A Case Study of Applying ISO 27005 ISRMS to a Military Unit
指導教授:陳樂惠陳樂惠引用關係劉興漢劉興漢引用關係
指導教授(外文):CHEN,LE-HUILIU,HSING-HAN
口試委員:陳樂惠劉興漢余丁榮林裕淇
口試委員(外文):CHEN,LE-HUILIU,HSING-HANYU,TING-LUNGLIN,YUH-CHI
口試日期:2016-05-03
學位類別:碩士
校院名稱:國防大學
系所名稱:資訊管理學系
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2016
畢業學年度:104
語文別:中文
論文頁數:82
中文關鍵詞:ISO 27001資訊安全管理系統層級分析法ISO 27005
外文關鍵詞:ISO27001ISMSAHPISO27005
相關次數:
  • 被引用被引用:2
  • 點閱點閱:307
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:60
  • 收藏至我的研究室書目清單書目收藏:1
在國防安全甚至國家安全的領域中,資訊安全的地位越來越重要,近年來,政府機關及國軍部隊均陸續導入ISO 27001規範大力推動資訊安全管理系統作業模式;資訊安全管理系統是一套有系統的管理資訊安全方法,藉由透過控制各項風險因子,把資訊安全風險降到可接受的程度,而「風險管理」是資安最核心之一環。
國軍部隊陸續通過ISO 27001認證,建立相關的標準作業程序,以有效遏止資安事件發生,但仍無法完全杜絕,在國防預算有限且持續緊縮的情形下,將有限資源發揮最大效益,投注在關鍵因素上以提升資訊安全,已成為必要手段。
ISO 27005規範了資訊安全風險指引和支持ISO 27001規範的一般概念,基於風險管理方法滿足實現資訊安全。
本篇根據專家文獻9大構面及81項威脅之架構,並依實際執行現況,藉由管理、督導及執行層面資訊人員協助,以層級分析法之方法評估並分析各威脅之權重,以「網路服務及通訊基礎設備」構面及「未經授權使用他人的電子郵件」等威脅項目為高風險,可做為「國軍通資電整體規劃」之參考,期以有限的資源針對高風險項目實施管控,期能降低資安風險。

In the realm of defense security, even national security, the character of information security is becoming more and more important, Recently, ROC government and military are actively promoting ISMS Mode of Operation, by importing ISO 27001 successively. ISMS is a systematic way to manage information security. By controlling all kinds of risk factors, we can reduce the information risk into an acceptable range. Therefore, risk management is the most important thing of information security.
Military units are certified via ISO 27001 to create an SOP (Standard Operating Procedures) to prevent the occurrence of information security case. But we still can't stop all the incident cases happening. Limited by the budget, we have to maximum benefit by using limited resource, and put on the key factors to leverage information security.
ISO 27005 provides guidelines for information security risk management and supports the general concepts specified in ISO 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.
In this paper, based on specialist's papers and the actual situations, proposed 9 facets and 81 structure of threat, and used AHP to assess and analysis every importance of threats by managerial,supervisory and executive level IT stuff. The facets of "network service and communications infrastructure“ and "using unauthorized e-mail", as two high risk threatening items, could be used as a reference for overall plan of military Communications Electronics and Information. We expect to use the limited resources to reduce the information security risk of high risk items.

摘要 i
目錄 i
圖目錄 i
表目錄 i

第一章、緒論1
1.1研究背景與動機1
1.2研究目的2
1.3研究範圍與限制3
第二章、文獻探討4
2.1資訊安全管理4
2.2資訊安全管理標準9
第三章、研究架構與研究方法19
3.1研究方法19
3.2研究流程與架構28
第四章、研究結果與資料分析33
4.1專家訪談結果與分析33
4.2AHP問卷調查結果與分析40
第五章、結論與建議54
5.1研究結論54
5.2研究建議及未來研究方向55
參考文獻57
附錄一60

中文部分
沙哲弘,2008,軍事院校資訊安全管理之研究,高雄第一科技大學資訊管理學系碩士論文。
葉姵君,2007,國軍資訊安全政策分析─以公共政策研究模式探討,國立中正大學管理學院資訊管理學系碩士論文。
鄭信一,1999,現代企業資訊安全之個案研究,銘傳大學管理科學研究所碩士論文。
呂芳懌、吳秀娟,2011,資訊安全風險評鑑之執行差異分析與原因探討-以中部私立大學為例,離島資訊技術與應用研討會論文集。
張保隆,2006,決策分析:方法與應用,台北市:華泰文化出版社。
樊國楨、方仁威、林勤經與徐士坦,2001,資訊安全管理系統驗證作業初探。建立我國通資訊基礎建設安全機制標準規範實作芻議研究報告書,105-125。經濟部標準檢驗局委辦計畫。
黎健文,2011,資訊安全對國軍影響之探討,海軍學術雙月刊,第45期,第2期,頁17-32。
鄧振源,曾國雄,1989,層級分析法的內涵特性與應用(上),中國統計學報,第27卷,第6期,頁13707-13724。
鄧振源,曾國雄,1989,層級分析法的內涵特性與應用(下),中國統計學報,第27卷,第7期,頁13767-13870。
鄧振源,2002,計劃評估:方法與應用,海洋大學運籌規劃與管理研究中心。
顧志遠,1996,多架構AHP模式建立之研究,管理與系統,第三卷,第二期,217-232頁。
褚志鵬,2009,Analytic Hierarchy Process Theory層級分析法(AHP)理論與實作, 東華大學企業管理學系暨研究所教學講義。
褚志鵬,2009,深度集群訪談法,褚志鵬教學講義。
行政院主計處,2011,政府機關資訊通報,第282期。
行政院研考會,2010,資訊系統風險評鑑參考指引(修訂)(V2.0)。

英文部分
ISO/IEC 27001 Information technology Security techniques Information security management systems Requirements,2005.
ISO/IEC 27001 Information technology Security techniques Information security management systems Requirements,2013.
ISO/IEC 27002 Information technology Code of practice for information security management, 2013.
ISO/IEC 27005 Information technology Security techniques Information security risk management, 2013.
National Institute of Standards and Technology (NIST), Special Publication 800-30,Risk Management Guide for Information Technology Systems, 2002.
National Institute of Standards and Technology (NIST), Special Publication 800-39, Managing Information Security Risk:The NIST Handbook, 2011.
Saaty, Thomas L,1980, "The Analytic Hierarchy Process, " 9th ed, New York: McGraw Hill.
Shameli-Sendi, M. Shajari, M. Hassanabadi, M. Jabbarifar,M. Dagenais,2012, “Fuzzy Multi-Criteria Decision-Making for Information Security Risk Assessment”.

網頁部分
ITHOME,Fortinet:2015年第4季有56億次網路攻擊襲臺,全亞太最嚴重,http://www.ithome.com.tw/news/101569,2016年1月7日檢索。
國家標準網路服務系統,資訊技術-安全技術-資訊安全管理系統-要求事項,http://www.cnsonline.com.tw,2015年1月5日檢索。
行政院國家資通安全會報,資安政策,http://www.nicst.ey.gov.tw/News_ Content3.aspx?n=F7DE3E86444BC9A8&sms=FB4DC0329B2277CF&s=1ACE1B808B9444DF,2015年3月5日檢索。

QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
無相關點閱論文
 
系統版面圖檔 系統版面圖檔