跳到主要內容

臺灣博碩士論文加值系統

(44.220.255.141) 您好!臺灣時間:2024/11/13 09:02
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:吳昊禹
研究生(外文):Haw Yeu Wu
論文名稱:資訊安全管理檢核表使用之探索
論文名稱(外文):Exploring the Use of Checklists for Information Security Management
指導教授:廖耕億廖耕億引用關係
指導教授(外文):G. Y. Liao
學位類別:碩士
校院名稱:長庚大學
系所名稱:商管專業學院碩士學位學程在職專班資訊管理組
學門:電算機學門
學類:電算機一般學類
論文種類:學術論文
論文出版年:2019
畢業學年度:107
語文別:中文
論文頁數:86
中文關鍵詞:資訊安全資訊安全認知資訊安全檢核表
外文關鍵詞:Information securityInformation security awarenessInformation security checklist
相關次數:
  • 被引用被引用:0
  • 點閱點閱:315
  • 評分評分:
  • 下載下載:78
  • 收藏至我的研究室書目清單書目收藏:1
近年來隨著科技發展,人類透過科技進行管理、試驗、查找資訊等,隨著軟、硬體不斷更新而使依賴度不斷上升,資訊技術實為扮演著對行政管理、經濟發展、研究管理等不可或缺的重要角色,同時資訊安全的重要性不言可喻。而資安的關鍵是人為因素,不僅僅是組織內部資安從業人員,如果一般使用者沒有足夠對應的資安意識,資安問題恐屢見不鮮,因此透過資訊安全管理檢核表針對包含人員在內的所有對象作有效的檢核至關重要,亦是現今廣泛被採用的資安檢測手段之一。然而,檢核表本身是否充分涵蓋所有評核項目及標的,以及使用檢核表的人員(包含資安人員或是稽核人員)對檢核表本身是否有改進意見,是本文欲研究的主要目標。
本研究是以行政院公告之「資訊系統委外開發RFP資安需求範本」為研究基礎,探討資訊系統開發專案過程中導入資安檢核表後,其使用者的使用感想與意見來覆核該表的可用性。研究透過問卷調查與訪談來收集資料,對象為個案之資安檢核表的使用人員。研究結果顯示多數受訪者認為資安檢核表易於使用且對於提升資安專案安全度、改善組織或人員溝通效率、降低或避免資安風險皆有顯著效果。然而因開發專案資安等級的認定及相關資安政策標準的修訂,資安檢核表需在滿足特定條件如不斷更新且保持此覆核機制,才能維持其可用與有效性。
As technology advances, human beings have used information technology to manage, test and search for information, increasing our dependence on software and hardware. The role of information technology in administration, economics, and research are indispensable; information protection is just as crucial. Human factor is the key to information security. In addition to information technology personnel in organizations, ordinary users should own information security awareness. Otherwise, information crisis could be the results. Therefore, effective evaluation with the use of information security checklists is necessary. It is also one of the most typical method. The purpose of the study is to assess the effectiveness of security checklists, including the completeness of items, targets, and the use perceptions of checklist users (information security personnel and auditors).

This research is based on “the template for information security requirements in RFPs of information systems development outsourcing” of Executive Yuan and explores the feasibility of this checklist. User feedbacks were collected after the studied project had employed the checklist in the evaluation of an information system. This study conducted surveys and interviews with the checklist users for data collection. The findings revealed that most of the respondents agreed with the ease of checklist use, an increase in its effectiveness in improving information security, facilitating effective communications, and greatly reducing the information security risks. However, the issues of advance determination of information security risk level and rapid updates on information security protection standards, it is suggested that information security checklists must keep usable and effective via continually improving.
指導教授推薦書
論文口試委員會審定書
致謝 iii
中文摘要 iv
ABSTRACT vi
目錄 vii
圖目錄 ix
表目錄 x
第一章 緒論 1
1.1 研究背景 1
1.2 研究動機 2
1.3 研究目的 2
1.4 研究流程 3
第二章 文獻探討 6
2.1 資訊安全 6
2.1.1 資訊安全政策 7
2.2 資訊系統委外開發與RFP資安需求範本 8
2.3 ISO 27001 11
2.4 安全檢核表 15
2.4.1 醫療安全檢查表 17
2.4.2 資訊安全檢核表 18
第三章 研究方法 21
3.1 專案背景 21
3.2 研究設計 24
第四章 資料分析 28
4.1 問卷調查分析 28
4.2 訪談結果分析 31
第五章 結論 35
5.1 研究結論 35
5.2 研究建議 36
5.3 研究限制與未來研究方向 37
參考文獻 39
附錄A:行政院資訊系統委外開發RFP資安需求範本 42
附錄B:資訊開發個案「線上學習系統」資安檢核表 70


圖目錄
圖 1:本研究流程圖 ...................... 5
圖 2:PDCA 循環流程圖....................... 12
圖 3:原案件委託關係圖 ........................ 23

表目錄
表 1:受訪者答問統計表 ....................... 28
[1]國家資通安全技術服務中心 (2016)。國家資通安全科技中心資訊系統委外開發RFP資安需求範本:https://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1253。
[2]ISO/IEC 27002: 2013,資訊科技—安全技術—資訊安全管理作業法規。
[3]CNS 27001 X6049,資訊技術-安全技術-資訊安全管理系統-要求事項。
[4]Schneider, E. C., & Therkalsen, G. W. (1990). How secure are your system? Avenues to Automation, 68-72.
[5]吳琮璠、謝清佳 (2009)。資訊管理: 理論與實務。台北市:智勝文化事業有限公司。
[6]黃承聖 (2000)。企業資訊安全的起點─資訊安全政策,網路通訊。
[7]林勤經、樊國禎、方仁威 (2001)。資訊安全認證與電子化網路社會,資訊安全論壇,8(1),29-44。
[8]行政院國家資訊通信發展推動小組(NICI)-政府資訊委外服務團 (2014)。政府機關資訊通報第325期:https://www.ndc.gov.tw/Content_List.aspx?n=1253F03D2EC19826。
[9]行政院公共工程委員會 (2011)。資訊服務採購評選項目及配分權重範例:https://www.pcc.gov.tw/cp.aspx?n=33DE8745316D5A90。
[10]行政院公共工程委員會。資訊服務採購契約範本e化服務系統:http://www.nici.nat.gov.tw/econtract/。
[11]經濟部工業局 (2010)。機關資訊服務採購參考手冊(本文與附錄):http://www.mof.gov.tw/public/Attachment/1112813552472.pdf。
[12]行政院科技會報辦公室。政府資訊委外服務團網站:http://www.giast.org.tw/。
[13]內政部消防署 (2018)。內政部消防署暨所屬機關資訊委外作業程序規範:
http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040040131030200-1070109。
[14]國立臺灣師範大學 (2017)。國立臺灣師範大學單位資訊系統委外開發案件檢核單:
https://www.itc.ntnu.edu.tw/wp-content/uploads/2019/03/UP02_23.pdf
[15]古雪鈴、王拔群、陳雅惠、陳怡如、朱文慧、蕭富仁 (2006)。手術室醫護人員對使用 “病人安全辨識查檢表” 之態度調查, 醫療品質,3(2),1-9。
[16]耿筠、簡文慶 (2006)。網際網路時代資訊安全管理制度檢覈表之建立,智慧財產評論,4(1),45-62。
[17]田效文、陳秀玲、黃文聰、顏榮甫 (2011)。中小企業資訊安全診斷之個案研究,馬偕學報,(8),19-49。
[18]賴建成 (2012)。建構台灣金融產業 [異地備援] 生命週期檢核表, 淡江大學資訊管理學系碩士在職專班學位論文,1-133。
[19]Yin, R. K.著、尚榮安譯 (1994)。個案研究,台北:弘智文化。
[20]林勤經、樊國楨、方仁威、黃景彰 (2002)。資訊安全管理系統建置工作之研究,資訊管理研究,4(2),43-64。
連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
無相關期刊